撰文：Oluwapelumi Adejumo

大家都在用的虚拟币交易平台推荐：

• OKX（欧易）>>>进入官网<<< >>>官方下载<<<
• Binance（币安）>>>进入官网<<< >>>官方下载<<<

编译：Chopper，Foresight News

4月1日，Solana链上Drift Protocol的交易流突然出现异常。监控警报一片寂静，但链上余额却在短短37秒内蒸发了2.86亿美元。资金通过一串看似合规的跨链桥接路径，转入17个新创建的钱&包，随后被迅速拆解、混币，最终消失在BSC与Tron网络的灰度地址群中。

仅仅两周后，4月18日，KelpDAO的质押池页面依然显示着正常的年化收益率，总锁仓价值数字也在稳定跳动。然而就在同一时刻，其底层验证消息正被悄然篡改——攻击者并非破解了LayerZero的零知识证明，而是悄无声息地接管了DVN节点所依赖的某个第三方RPC服务商的后台。那个被攻陷的API端点，在过去三年里从未接受过审计；它不处理签名，也不参与共识，只负责简单的“转发”工作——却成了整条信任链条上最沉默、也最致命的咽喉。

Drift 与 KelpDAO 遇袭

Drift被盗当天，Elliptic的分析师在内部Slack频道敲出了第一行比对结果：“交易签名哈希与UNC2591的历史样本匹配；Gas费消耗模式与2024年Wintermute事件如出一辙；混币路径终点的IP段，大量集中在平壤郊区数据中心。”几小时后，第二份链上归因报告浮出水面：攻击者复用了2023年渗透Coinbase钱&包SDK时使用的同一套前端注入载荷变体。

4月20日，LayerZero发布确认声明时，措辞谨慎得近乎克制：“受影响的RPC基础设施并非LayerZero核心协议组件……我们已隔离并轮换了全部密钥。”但声明末尾那句“正在配合执法机构进行链下取证”，却暴露了另一重残酷现实：攻击者早已清空服务器日志，删除了CI/CD流水线中的构建记录，并将远程访问痕迹嫁接到一家注册于柬埔寨的空壳运维公司。

这并非两起孤立事件。它们是同一条战术脉络的两次搏动——一次精准切开前端交互层，一次巧妙撬动后端数据管道。两者共享着同一个令人不安的指纹：缓慢、精准、绝不触碰核心合约字节码，专门挑选人眼最容易忽略的缝隙下刀。

攻击转向：渗透基础设施外围

KelpDAO的DVN节点原本只该做一件事：接收来自链上的原始区块头，校验后广播给其他验证者。但它调用的RPC服务，却额外加载了一个未签名的Ja vaScript配置模块——这个模块由服务商托管在公共CDN上，缓存策略甚至被设置为一年。黑客早在三周前就已黑入该CDN后台，替换了那个config.js文件。新版本悄悄覆盖了RPC响应解析逻辑：当收到特定格式的区块头时，它会伪造一个“已验证”标志位，直接返回虚假的成功信号。

整个过程，没有私钥泄露，没有签名被绕过，也没有重入漏洞。这仅仅是一次对“信任传递链条中第四个环节”的静默劫持。

Cyvers团队在内部简报中写道：“他们现在会花六个月时间测绘你的依赖图谱——目标不再是Solidity代码里的require()缺陷，而是你GitHub Actions里调用的npm包版本、CI环境变量的命名习惯、甚至是你工程师在Discord里抱怨过的某次部署失败。”

这种耐心令人窒息。就像2025年12月曝光的Axios供应链污染事件：攻击者并未直接攻击npm官方仓库，而是注册了一个形似“axiosjs”的组织名（ax1osjs），上传了一个带后门的镜像包。真正危险之处在于——它被某家知名DeFi项目的前端工程组，在一次深夜紧急热修复中手动安装，理由仅仅是“官方axios最新版破坏了他们的React Query缓存键生成逻辑”。

朝鲜渗透全球加密行业从业者

Ketman Project的调查始于一封看似平常的求职邮件。一名自称毕业于首尔科学技术院（KAIST）的候选人，用流利的英文提交了三份开源贡献链接——其中一份PR被合并进了以太坊基金会维护的RLP编码库。HR团队没有注意到，那份PR修改的其实是测试用例中的注释字符串；真正的攻击载荷藏在CI脚本新增的一行curl请求里，指向一个伪装成Vercel静态托管的命令与控制域名。

六个月后，调查组交叉比对了107家Web3初创公司的入职记录、代码提交邮箱、SSH密钥指纹与Telegram群组活跃时段，拼凑出一张细密的网：这些“远程开发者”共用同一套虚拟身份生成模板，使用相同时区偏移量（UTC+09:00），并在每周二凌晨3:15集体离线——这恰好对应着平壤电力调度周期性的断电窗口。

ZachXBT追踪到的那个朝鲜特种网络，其成员在Upwork上以“Solidity审计顾问”身份接单，报价低于市场均价40%。他们交付的审计报告结构堪称完美：问题分类清晰、概念验证代码可运行、修复建议具体到行号。但所有报告都刻意遗漏了一个关键细节——对项目所用的自定义ERC-20分发合约中，transferFrom函数未校验_callerIsOwner()的边界条件。

当时无人质疑这份“专业”。直到三个月后，该合约上线，同一群人用另一批马甲发起治理提案，以“优化Gas消耗”为由，将那份被刻意漏掉的校验逻辑永久移除。

67.5 亿总盗窃额

在Chainalysis的2025年度图表上，朝鲜关联地址的赃款流入曲线陡峭如断崖。但真正刺眼的其实是另一组数据：在全年高达20亿美元的赃款中，有73%最终流向了中国境内OTC经纪商控制的银&行账户，其中61%经由深圳前海某家持牌支付机构完成法币结算；剩余部分则通过越南胡志明市的加密货币ATM网络，兑换成现金后由摩托车手分批运往老挝边境小镇。

这些路径的选择绝非随机。链上追踪显示，朝鲜黑客极少使用Tornado Cash或Flashbots Protect这类主流隐私工具——并非技术能力不足，而是主动规避。他们在混币时偏好选择中文社区运营的“担保交易群”，要求卖家提供实时视频验资；在跨链时倾向使用由华人团队开发的小众桥接器，因为其后台审核流程宽松，KYC往往仅需一张手持身份证照片。

这是一种受现实约束的精密。就像一个无法持有国际信用卡的特工，他不会尝试伪造Visa芯片，而是深耕本地便利店收银系统的漏洞——因为那里才是他真正能够触达的现金出口。

能否防范？

在新加坡的一场闭门会议上，Terence Kwok打开笔记本，投影出Drift被盗前72小时的权限日志截图：一名刚入职两周的前端工程师，被授予了生产环境API密钥轮换权限，理由仅仅是“需要快速响应前端SDK更新”。而该密钥，同时被硬编码在Drift的移动端热更新配置服务中。

“这根本算不上什么高级持续性威胁攻击，”他直言不讳，“这简直是把管理员密码贴在玻璃门上的抢劫。更糟糕的是，门上还贴着‘此门常开’的告示。”

他接着调出KelpDAO的架构图：在DVN节点与RPC服务商之间，本应存在双向TLS认证与响应签名验证。但在实际部署中，为了兼容旧版客户端，签名验证功能被直接注释掉了，旁边留着一行临时注释：“TODO: re-enable after v2.3 rollout — @devops_team”。这行注释的日期，是2024年8月。

那么，防范的答案究竟在哪里？它并不藏在未公开的零日漏洞库里，而在每次部署前必须严格执行的五项检查清单之中：是否所有外部依赖都锁定了SHA-256哈希？是否每个特权账户都绑定了硬件安全密钥？是否每笔超阈值转账都需要双签且包含链下生物特征确认？是否所有CI/CD流水线都禁用了动态代码执行？是否每个第三方服务接入点，都部署了独立的响应完整性校验中间件？

这些并非专门防御“朝鲜黑客”的方案。它们是防御任何愿意花六个月时间观察你、等待你犯错的人的基本安全纪律。DeFi的战场，早已从智能合约编译器的世界，转移到了会议室的白板上——那里既画着宏伟的架构图，也画着尚未关闭的权限缺口，画着被集体跳过的审计步骤，画着所有人默认“下次再做”而不断累积的安全债务。