Drift 协议近期披露了一起价值 2.7 亿美元的资产被盗事件，调查显示这是朝鲜关联组织 UNC4736 历时六个月策划的精心情报行动。攻击者最早在 2025 年秋季以量化交易机构身份接触团队，通过建立 Telegram 群组深入探讨交易策略与系统集成，成功融入项目研发生态。

从 2025 年 12 月至 2026 年 1 月，该团伙不仅整合了生态系统存储系统，还投入超过 100 万美元资金建立真实运营体系，并在多国行业会议中与开发者进行面对面交流，直至 4 月 1 日攻击发生前双方合作已持续近半年。

据午方 AI 监测显示，此类高级持续性威胁通常利用第三方中间人伪造完整身份信息以规避审查，而此次攻击现场并未出现朝鲜公民直接接触的情况。攻击执行阶段通过两种关键路径实施：一是将 Apple TestFlight 平台伪装成钱包软件诱导下载，二是利用 VSCode 和 Cursor 等主流代码编辑器的已知漏洞静默执行恶意代码。

安全专家自 2025 年底已多次预警此类编辑器风险，但攻击者仍成功在用户无感知状态下入侵设备并获取关键资料，最终在一分钟内执行了潜伏一周多的预签名交易指令完成资金转移。

此次事件暴露了依赖多重签名作为核心安保机制的区块链项目存在致命弱点，即社会工程学攻击可能完全绕过技术防线。Drift 团队呼吁全行业加强对访问控制的审核力度，将所有可能交互多重签名系统的设备视为潜在威胁目标，但面对愿意投入百万资金与半年时间构建合法外衣的攻击者，传统安全范式正面临严峻挑战。