加密货币中性

DRIFT攻击调查：朝鲜黑客线下接触团队成员，加密货币会议安全警钟长鸣 | YayaNews分析

对DRIFT协议的初步调查揭露朝鲜中间人曾在行业会议上当面接触项目成员。本文深度分析国家背景黑客的混合攻击模式，探讨DeFi安全新威胁及行业应对之策，揭示从线上到线下的全面安全挑战。

YayaNews2026-04-12 22:560 阅读来源 T

核心要点

核心提炼

DRIFT攻击初步调查显示，团队成员曾在会议上被疑似朝鲜中间人线下接触。
事件揭示了国家背景黑客组织采用线上技术攻击与线下社交工程结合的混合威胁模式。
行业会议等公开场合可能成为安全软肋，项目团队需提升物理与社交安全意识。
DeFi安全防御需从单纯的技术审计，扩展到运营风控和行业协同的多层次体系。

DRIFT攻击调查：朝鲜黑客线下接触团队成员，加密货币会议安全警钟长鸣 | YayaNews分析 — 图片来源： T

朝鲜黑客的线下渗透：从 DRIFT 攻击事件看加密货币安全新威胁

近日，一则关于去中心化金融协议 DRIFT 遭受攻击的调查进展，在加密货币社区引发了远超事件本身损失金额的关注。据社交媒体平台 X 上的消息披露，对 DRIFT 攻击的初步调查显示，其团队成员曾在行业会议上被怀疑是朝鲜的中间人当面接触。这一细节，将加密货币安全战场的战线，从纯粹的线上代码攻防，延伸到了线下物理世界的社交工程，揭示了国家背景黑客组织日益复杂和隐蔽的攻击手段。

事件回顾：不止于代码漏洞

DRIFT 协议攻击的具体损失金额，目前尚未有统一的公开精确报告。然而，调查指向的“线下接触”这一路径，其严重性可能远超一次简单的智能合约漏洞利用。据报道，攻击者可能通过行业会议等公开场合，识别并接近项目核心开发或运营人员，通过建立信任关系或直接的社会工程学手段，为后续的网络入侵铺平道路。这种结合了线上技术与线下情报搜集的混合攻击模式，正成为高级持续性威胁（APT）组织的标志性手法。

拉撒路集团：加密货币领域的国家级“掠食者”

尽管初步调查仅提及“朝鲜中间人”，但业界几乎立刻将矛头指向了臭名昭著的“拉撒路集团”（Lazarus Group）。该组织被认为受朝鲜政府支持，多年来在全球范围内发动了一系列针对加密货币交易所和协议的重大攻击。根据多家区块链安全公司的报告，拉撒路集团及其关联组织已窃取了价值数十亿美元的加密货币资产，这些资金据信被用于资助朝鲜的武器计划。

从2018年入侵日本交易所Coincheck，到2022年对Ronin桥发起史诗级攻击，拉撒路集团展现了其不断进化的技术能力。而此次DRIFT事件中曝光的线下接触策略，表明他们的攻击链条更加完整：前期通过行业会议、领英等渠道进行人员识别与情报收集，中期可能结合钓鱼攻击、供应链污染或零日漏洞，最终完成资产窃取。这种“人”与“技术”的结合，使得防御难度呈指数级上升。

会议安全：被忽视的行业软肋

全球各地的加密货币峰会、开发者大会本是行业交流思想、促成合作的重要平台。然而，DRIFT事件为整个行业敲响了警钟：这些公开、开放的场合也可能成为攻击者的“狩猎场”。攻击者可以伪装成投资者、研究员或同行，在轻松的氛围中与项目成员交谈，套取非公开的技术架构信息、团队分工，甚至个人习惯（如常用的通讯软件、邮箱），为后续的精准钓鱼攻击埋下伏笔。

对于许多初创型加密项目团队而言，安全意识和资源往往集中在智能合约审计和服务器防护上，对核心成员的物理安全、社交安全培训几乎是一片空白。如何在不损害开放协作精神的前提下，提升团队整体的安全意识，识别并防范潜在的恶意接触，已成为项目风控的新课题。

DeFi安全格局的演变与应对

去中心化金融（DeFi）领域在过去几年经历了爆炸式增长，其锁定的总价值（TVL）据 DeFiLlama 等数据平台统计，曾达到超过一千亿美元的规模。巨大的资金规模使其成为黑客，特别是有国家背景黑客组织的首要目标。安全威胁也从早期的单一合约漏洞，演变为跨协议、跨链的复杂组合攻击，如今更叠加了线下社会工程学风险。

为应对这种立体化威胁，行业正在多层面加强防御：