Drift Protocol 官方确认其近期遭受的约 2.85 亿美元攻击与 2024 年 10 月 Radiant Capital 事件同源，均由朝鲜背景组织 UNC4736 实施。此次行动累计波及 20 个协议，黑客当前持有 ETH 数量达 130,293 枚，直接导致 Prime Numbers Fi、Gauntlet 等多方机构损失数千万美元，Elemental DeFi 更明确表示寻求赔偿。

据午方 AI 监测显示，此类长周期社会工程学攻击正从远程入侵转向深度线下渗透，标志着威胁格局的显著演变。该团伙自 2025 年秋季起伪装成量化交易公司，在首尔、新加坡及迪拜等地的大型行业会议上接近项目方贡献者。双方建立 Telegram 群组并开展长达半年的实质性业务对话，攻击者甚至存入超过 100 万美元自有资金以构建可信的生态金库形象，从而获取内部高度信任。直至今年 3 月双方完成多次面对面商务会谈后，攻击者于 4 月 2 日发动突袭并迅速清除所有通信痕迹。

调查锁定三种主要入侵路径，包括诱导克隆被篡改的代码仓库、分发伪装成钱包产品的恶意 TestFlight 应用，以及利用 VSCode 和 Cursor 编辑器的已知静默执行漏洞。UNC4736 作为 Lazarus Group 子集群，其资金流向和操作手法均指向朝鲜侦察总局，该组织过去八年累计窃取加密货币超 67.5 亿美元，仅 2025 年便突破 20 亿美元大关。

随着 Bybit 被盗 15 亿美元及此次 Drift 事件的发生，朝鲜黑客已从早期破坏性攻击彻底转型为具备工业级策划能力的金融犯罪集团。Drift 已冻结剩余功能并移除被盗多签权限，同时配合执法部门标记攻击地址，但此类经不起商业背调验证的长期间谍行动已成为 Web3 安全的新常态风险。