2026年4月1日Solana生态头部DeFi平台Drift Protocol检测到异常活动。2.8亿美元从5个金库中被抽走整个过程只用了10秒钟。这并非普通的漏洞利用而是一场精心策划、长达6个月的社会工程攻击。攻击者的突破口不是代码而是“人的信任”。一、不是代码漏洞是“人的漏洞”传统的攻击往往从扫描系统漏洞开始但这次不一样。Drift Protocol在事后调查中披露攻击者至少提前6个月就开始布局。他们伪装成一家量化交易公司在多个国家的行业会议上线下、面对面地接触Drift的核心贡献者。一次不够就两次一个国家不够就多个国家。在长达半年的时间里这些“中介人”持续与Drift员工建立关系。之后沟通转移到了Telegram上他们讨论交易策略、讨论技术集成方案看起来就像一家正常的合作方在进行常规对接。直到2.8亿美元被抽走的那一刻这些Telegram群组被瞬间删除。这不是技术漏洞而是信任被武器化。传统的防火墙、VPN对这类攻击几乎无能为力因为攻击者没有触碰网络边界他们触碰的是“人的边界”。企业安全防线必须从“网络边界”延伸到“身份与行为”。二、突破口开发工具链正在成为攻击入口攻击者是如何最终进入系统的Drift给出了两个高度可信的入侵路径。第一条是恶意代码仓库攻击者与某位贡献者共享了一个恶意代码仓库可能利用了VSCode或Cursor的漏洞一旦贡献者打开项目恶意代码就在本地静默执行无需任何交互完全不可见。第二条是恶意TestFlight应用攻击者向贡献者推荐了一款伪装成钱包应用的iOS TestFlight测试应用看起来完全正常但背后是精心构造的恶意软件。这两个入口有一个共同点它们都绕过了传统安全边界。代码仓库的访问发生在开发者的本地环境中TestFlight应用运行在员工的个人移动设备上这些都不是企业防火墙能够覆盖的领域。开发工具链IDE、代码仓库、第三方库正成为高价值攻击目标企业需要审视是否对开发环境实施了零信任访问控制是否能够检测和阻断来自终端设备的异常行为。三、25秒部署10秒抽干34小时86万笔交易攻击执行的速度是这起事件的另一个震撼之处。UTC时间16:05:39攻击者通过此前获取的admin权限一次性提交了两项关键操作创建一个假的抵押品市场CVT一种他们20天前自己铸造的毫无价值的代币以及修改平台的安全熔断机制将触发阈值提高到500万亿。PIF Research Labs指出“整个武器化过程所用的时间比点一杯咖啡还短。”25秒后攻击开始。攻击者存入了5亿个CVT代币通过伪造的预言机这些无价值代币被估值超过1亿美元然后在10秒内从六个金库中抽走资金其中JLP金库被完全抽空。紧接着洗钱机器启动了。资金被转移到27个中间钱包然后通过自动化机器人被分散到57,331个钱包地址。这些机器人在34小时内执行了超过86万笔交易平均每分钟590笔横跨多条区块链和中心化交易平台。当安全团队还在定位问题时资金已经消失了。攻击执行速度已远超人工响应能力当攻击可以在10秒内完成防御就必须是实时的、自动化的——这要求企业安全架构具备全网流量可视化、AI驱动的异常行为检测以及“永不信任、始终验证”的零信任架构。四、攻击者的“履历”不止一起事件根据多家安全公司的分析此次事件背后的攻击组织有着丰富的“实战经验”2023年的3CX供应链攻击影响了全球数十万用户2024年的Radiant Capital 5000万美元资产失窃以及多次Chrome零日漏洞的利用。这个组织的特点是攻击目标广泛、手法精湛、持久性强。而这次事件他们展示了最新的战术进化从“线上攻击”延伸到“线下接触”。那些在行业会议上与Drift员工握手、交谈的“合作方代表”可能只是被雇佣的、不知情的中介人。威胁可能来自任何地方——不仅仅是网络上的扫描和钓鱼邮件还有行业会议上的握手、Telegram上的技术交流、GitHub上的代码仓库。企业需要建立全谱系的安全意识而不仅仅是“别点可疑链接”。五、从“技术预置”到“信任预置”企业如何应对这次攻击展示了一种新型的“预置”——提前6个月预置人的信任。攻击者不打无准备之仗无论是技术基础设施还是人的信任都需要时间去搭建、去渗透。6个月正在成为高等级攻击组织的标准“准备周期”。这对企业的安全防御提出了新的要求。第一零信任架构从不信任始终验证。攻击者拿到了admin权限但零信任架构要求在每一次操作时都进行验证即使用户拥有最高权限如果平台实施了真正的零信任攻击者即便获得了admin密钥也无法在25秒内完成两项关键配置变更。第二供应链安全开发工具链是新的边界。VSCode/Cursor漏洞、恶意TestFlight应用这些攻击入口不在传统安全边界内。企业需要对开发环境实施严格的访问控制对所有第三方代码和工具进行安全审查对员工移动设备实施合规性检查。第三AI驱动的异常行为检测跟上机器的速度。34小时86万笔交易人工根本无法响应。企业需要部署AI/UEBA用户与实体行为分析能力在行为偏离基线的毫秒级内发出告警或自动阻断。第四全谱系安全意识不止于钓鱼邮件。攻击者在线下会议上接触员工、通过Telegram建立信任安全意识培训需要覆盖线下社交工程、即时通讯工具的使用规范、开发工具链的安全使用。结语网络安全的“人的维度”这次事件的教训是深刻的最坚固的代码也防不住被信任武器化的人。攻击者用了6个月的时间不是去破解加密算法不是去挖掘零日漏洞而是去建立信任——在会议上握手、在Telegram上聊天、在代码仓库里“协作”。当信任被武器化技术防线再坚固也无济于事。对于企业而言攻击者不仅盯着网络更盯着员工。真正的防御是在技术防线之外建立起“人的防线”——通过零信任架构、供应链安全、AI驱动的检测以及持续的安全意识建设。报告全文Drift loses $280 million as North Korean hackers seize Security Council powers https://www.securityweek.com/north-korean-hackers-drain-285-million-from-drift-in-10-seconds/