上周 Solana 借贷协议 Drift 遭遇针对用户资产的严重盗窃事件，损失规模达 2.85 亿美元，而幕后推手并非传统的技术漏洞利用者，而是伪装成量化交易公司长达半年的国家级网络情报机构。该团伙自 2025 年秋季起便通过线下会议接触项目核心成员，利用合法身份存入超过 100 万美元资金以构建信任，随后通过 GitHub 代码分享环节将恶意软件植入开发者日常使用的编辑器中。

据午方 AI 监测显示，此类攻击利用 VSCode 等工具在打开代码时的静默执行漏洞，使得受害者在不知情的情况下让攻击者获得了系统权限，最终导致资金在 4 月 1 日被盗且所有痕迹被彻底抹除。加密行业紧急安全响应组织 SEAL 911 的调查显示，此次行动的资金流向与 2024 年 10 月 Radiant Capital 黑客事件高度一致，均指向朝鲜关联组织 UNC4736，其运作模式已具备高度专业化的情报机构特征，包括在海外招募不知情人员以规避国籍追踪。

区块链研究员 Tayvano 进一步指出，类似的潜伏手段自 2020 年以来已散布于 SushiSwap、THORChain 等多个知名 DeFi 项目，攻击者通过伪造身份进入开发社区，利用远程办公的匿名特性身兼数职并深度掌握协议架构。历史案例同样佐证了这一威胁模型的普遍性，从 2019 年币安被窃 7000 枚比特币到 2022 年 Ronin Network 损失 6.25 亿美元，社会工程学一直是朝鲜黑客集团的核心武器，其近期甚至利用伪造的视频通话和会议软件扩展了攻击面，仅此类手段预估窃取金额已超 3 亿美元。

面对这种将内部关系作为攻击跳板的新常态，单纯依赖代码审计已无法构筑有效防线，被盗资金通常会在 30 天内通过混币器、隐私币跨链转移及东南亚场外交易等复杂链路完成清洗并流入政府控制端。专家建议项目方必须建立专职蓝队监控关键节点，严格执行财务与开发设备的物理隔离，并保留时间锁缓冲机制，否则在缺乏统一监管且从业者年轻化的 Web3 生态中，开放性与安全性之间的矛盾将变得愈发难以调和。