資產追蹤：攻擊者錢包已在各交易所及跨鏈橋營運商處標記黑名單。客案

測試版應用程序：另一名貢獻者被誘導下載了一個TestFlight應用程序，場策必安交易所官方資訊受黑錢包已從多簽(Multisig)中移除。月的疑請立即聯系@SEAL911。攻擊關聯全面還原4月1日攻擊事件的組織真相。Drift公開這些信息，布黑報告北韓擁有可驗證的客案專業背景，他們不再是場策陌生人，

行動特征：此次行動中使用的月的疑身份，特別感謝@tayvano_,攻擊關聯必安交易所官方資訊@tanuki42_,@pcaversaccio與@bax1337的專業協助。即2024年10月攻擊Radiant Capital的組織團體。需要組織性的布黑報告北韓支持、我們對受影響的客案設備、

Drift仍在努力進行調查。場策分享此更新是為了幫助生態系降低風險。第三方行動中使用的個人資料(Profiles)均經過精美包裝，

2.建立信任(2025年12月–2026年1月)

他們表現出極高的技術素養，已知此類級別的北韓威脅者會雇用第三方中間人進行面對面的關系建立。

關聯依據：

• 鏈上證據：用于測試和部署此次行動的資金流，這顯然是有針對性的接觸，對方聲稱這是為了部署保險庫的前端。與已知與北韓相關的活動有顯著重疊。此時，并據此保護自己。

  當前狀態

  • 協議凍結：所有剩余的協議功能已凍結，

    • 深度溝通：雙方在第一次見面后便建立了Telegram群組，無需用戶點擊、他們耐心地在Drift生態系中建立了一個運作正常的實體形象。在接下來的六個月里，最終判斷需等待硬件設備鑒識完成。請務必檢查您的團隊，

    • 實際投入：他們在Drift上架了一個「生態系保險庫」，Drift遭遇的是一場結構化的情報行動，亦被稱為Apple Jeus或Citrine Sleet)。為保護現正進行中的調查完整性，即可靜默執行任意代碼，

    • IDE漏洞利用：針對代碼庫向量，

    3.持續滲透(2026年2月–3月)

    集成的對話持續進行，

  特別注意：親自露面的人員并非北韓籍。官方也發布事故調查報告。

一場策劃6個月的攻擊

初步調查顯示，Drift的多名貢獻者在多次會議中與這群人多次面談。

1.鎖定與接觸(2025年秋季)

大約在2025年秋季，就在攻擊發生的同時，公開憑證和專業社交網絡。對方稱其為他們的錢包產品。

Drift正積極與執法部門、刻意尋找并聯系特定的Drift貢獻者。包含完整的工作經歷、官方已直接透過以太坊區塊鏈，部分細節將暫保持簡要。該團體的成員在多個國家的多次大型行業會議上，

我們非常感謝行業專家的鼎力相助，

歸屬單位：Mandiant將其歸因為UNC4736(北韓關聯組織，試圖與攻擊者開啟談判大門。現在看來，是因為生態系中的其他團隊應了解此類攻擊的實際樣貌，我們現在可以分享更多關于「攻擊向量」以及該行動如何策劃的細節。Drift的貢獻者在一場大型加密貨幣會議上被一群人搭訕。今(5)日稍早，完全經得起商業盡職調查。甚至存入了超過100萬美元的自有資金。

隨著調查與鑒識工作的持續進行，審計權限設置，

潛在的滲透機制

我們認為可能存在三個攻擊向量：

• 代碼庫克隆：一名貢獻者可能在克隆(Clone)該團體分享的代碼庫時受黑。只要在編輯器中打開文件或資料夾，

  4.攻擊觸發與清理

  在4月1日漏洞被利用后，可追溯至Radiant攻擊者。且對Drift的運作模式了若指掌。鑒識合作伙伴及生態系團隊合作，

歸因分析

根據SEAL 911團隊的支持，

幣圈子(120btc.CoM)：去中心化永續合約交易所Drift Protocol于4月1日慘遭黑客洗劫約2.85億美元后，

注：Mandiant尚未正式歸因此次Drift攻擊。這段關系已建立近半年，填寫了詳細的策略說明，Drift貢獻者面談的人員花了數月時間建立的人格特質，

結語

調查顯示，

若您的團隊懷疑遭到相同團體的鎖定，向四個持有被盜資金的黑客錢包發送了鏈上訊息，我們以「中高程度的信心」評估：此次行動是由同一批威脅行為者所為，隨后進行了數月關于交易策略和保險庫(Vault)集成的實質性對話。帳號和通訊歷史進行了徹底的鑒識審查。

專業介入：已聘請Mandiant(知名資安公司)主導調查。一種可能性是利用VSCode或Cursor的已知漏洞(安全社群在2025年12月至2026年2月間曾積極示警)。大量資源以及數月的刻意準備。授權或任何警告。