根据团队在周日上午发布的详细事故更新，在2.7亿美元的Drift协议攻击之前，进行了六个月的情报行动，该行动由一个与北朝鲜国家相关的小组执行。

攻击者第一次联系是在2025年秋季的一次主要加密会议上，自我介绍为一个希望与Drift整合的量化交易公司。

他们在技术上非常流利，拥有可验证的专业背景，并且理解协议的运作方式，Drift表示。一个Telegram群组建立后，接下来的几个月中，他们就交易策略和保险库整合进行了实质性对话，这些互动是交易公司如何与DeFi协议对接的常规方式。

在2025年12月至2026年1月之间，该小组在Drift上整合了一个生态系统保险库，与贡献者进行了多次工作会议，存入了超过100万美元的自有资金，并在生态系统内建立了一个正常运作的存在。

Drift的贡献者在2月和3月的多个国家的几次主要行业会议上与该小组的成员进行了面对面的会面。当攻击在4月1日发动时，双方的关系已经快六个月了。

妥协似乎是通过两种方式实现的。

第二种方法是下载了一个TestFlight应用，这个应用是苹果公司用于分发预发布应用的平台注册，绕过了App Store的安全审查，该小组将其介绍为他们的钱包产品。

对于代码库的漏洞，Drift指出了VSCode和Cursor中的一个已知漏洞，这两个是软件开发中使用最广泛的代码编辑器，安全社区自2025年底以来就一直在提醒，简单地在编辑器中打开一个文件或文件夹就足以静默执行任意代码，而没有任何提示或警告。

一旦设备被妥协，攻击者就获得了所需的多签名批准，这使得CoinDesk在本周早些时候详细描述的耐久nonce攻击得以实现。这些预签名的交易在4月1日执行前静默了超过一周，从协议的保险库中抽走了2.7亿美元，时间不足一分钟。

追踪指向UNC4736，这是一个与北朝鲜国家相关的小组，也被称为AppleJeus或Citrine Sleet，基于链上资金流追溯到Radiant Capital攻击者和已知的与朝鲜有关的人物的操作重叠。

然而，在会议上亲自出现的个体并非北朝鲜国籍。此级别的朝鲜威胁行为者已知会部署拥有完整身份、工作历史和专业网络的第三方中介，以经受尽职调查。

Drift敦促其他协议审计访问控制，并将每一个接触多签名的设备视为潜在目标。更广泛的含义对一个依赖多签名治理作为主要安全模型的行业来说是令人不安的。

但如果攻击者愿意花六个月和一百万美元在一个生态系统内建立合法存在、亲自会见团队、贡献真实资本并等待，那么问题是，什么安全模型能够抓住这类攻击。