刚刚读完 Drift 关于那次 $270 million 漏洞利用事件的事故报告，老实说，这里的技术成熟度有点离谱。这里说的并不是某种随机的黑客入侵——我们讲的是一个与朝鲜有关的国家关联团体开展了长达六个月的情报行动，基本上是在攻击之前就已经把自己嵌入到了协议之中。

那么事情是怎么发生的呢？大约在 2025 年秋天，这些行动者出现在一场大型加密货币会议上，假扮成一家量化交易公司。他们技术能力强、背景看起来也很“正当”，而且确实懂得 Drift 的协议。在接下来的几个月里，他们经历了一套看上去完全正常的入职流程——建立了一个 Telegram 群组，围绕交易策略和金库集成进行过真实交流，投入了自己资金超过 $1 million，甚至在 2 月和 3 月期间通过不同国家的多场会议与 Drift 的贡献者线下见面。

等到他们在 4 月 1 日执行漏洞利用时，这段关系已经持续了将近六个月。这种耐心，是大多数攻击者都不具备的。

真正的渗透来自两个巧妙的路径。首先，他们让人通过 TestFlight 下载了一个伪造的钱包应用，从而绕过了苹果的安全审查流程。其次，他们利用了一个早已为安全社区在 2025 年 末以来反复警告的、存在于 VSCode 和 Cursor 中的已知漏洞——基本上，只要在编辑器里打开一个文件，就能在不引起任何警告的情况下悄悄执行任意代码。

一旦设备被攻破，他们就能够获得所需的多签批准。预先签署的交易在超过一周的时间里都处于沉睡状态，直到 4 月 1 日才执行，在不到一分钟内就把 $270 million 里的资金掏空。

调查人员将这起事件追溯到 UNC4736，也被称为 AppleJeus 或 Citrine Sleet——同一个团伙，背后也曾发动 Radiant Capital 的攻击。有趣的是，真正出现在会议现场的人并不是朝鲜籍公民。这些行动者会部署完整构建的第三方身份，配有就业经历和专业人脉，专门用来经得起尽职调查。

真正令人不安的是，这件事引出了 DeFi 更广泛的疑问：如果攻击者愿意花六个月、耗费一百万美元来建立“合法”的存在感、线下面见团队、投入真实资本，并且只是耐心等待正确的时机——那到底是什么样的安全模型才能真正捕捉到这种风险？Drift 正在提醒其他协议审计访问控制，并把任何一台接触多签的设备都当作潜在目标。但令人不舒服的真相是，多签治理——行业里大多数人依赖的首要安全模型——在面对这种级别的技术与周密程度时，可能存在一些深层的结构性弱点。

这类事件会逼着你重新思考：在大规模场景下，“安全”到底意味着什么。