金色財經
作者:Merkle3s Capital;來源:X,@Merkle3sCapital
2026 年 4 月 1 日,美東時間下午 1 點半。鏈上監控工具 Lookonchain 發出了一條警報。幾分鐘後,PeckShield 確認了同一組異常數據:Solana 鏈上的 Drift Protocol 正在被大規模抽走資產。
Drift 團隊在 X 上發了一條推文。
"這不是愚人節玩笑。"
4 個小時後,鏈上流出的數字定格在了一個讓整個行業沉默的範圍:2 億到 2.85 億美元。這是 2026 年迄今最大規模的加密貨幣盜竊事件。超過當年所有此前 DeFi 攻擊事件的損失之和。
事情的荒誕之處在於:據多方報導,攻擊者用來啟動這場掠奪的本金,可能只有 500 美元。
這筆錢怎麼丟的?去了哪裡?誰乾的?以及——這件事為什麼恰好發生在機構資本加速湧入 DeFi 的時間窗口?
攻擊不是一瞬間發生的。它有節奏,有步驟,有預謀。
鏈上數據顯示,攻擊者在攻擊發生前整整一周就已經創建了錢包並進行過測試。這不是即興作案。這是一次蓄謀已久的精確打擊。
還原那 4 個小時:
13:30 ET — Lookonchain 和 PeckShield 幾乎同時檢測到 Drift Protocol 的異常大額轉出。資金正在從協議金庫中流出。
13:45 ET — Drift 團隊在 X 上確認異常。請求用戶暫停一切存款操作。推文末尾特意加了一句:這不是愚人節玩笑。
14:00 ET — Drift 正式暫停全部存款和提現功能。此時鏈上已經流出大量資產。
14:17 ET — 攻擊者通過 Jupiter Aggregator 在 Solana 鏈上快速兌換資產。Jupiter 是 Solana 生態最大的 DEX 聚合器,攻擊者選擇它是因為它提供最優的即時流動性。
~15:00 ET — 協議 TVL 從攻擊前的約 5.5 億美元 跌至約 2.8 億美元。一個小時,腰斬。
核心洞察:攻擊者一周前就創建並測試了錢包。這不是衝動作案,這是一次有預謀的精確打擊。攻擊者知道自己在做什麼,也知道怎麼做。
二、不是代碼漏洞,是治理失敗
Drift 團隊至今未發布正式的 postmortem。但慢霧創始人餘弦(evilcos)在 X 上給出了目前最接近真相的分析框架。他的結論出人意料:這不是智能合約的代碼漏洞,而是多簽治理層面的系統性失敗。
攻擊發生前約一周,Drift 進行了一次多簽遷移——從舊的多簽方案切換到一個新的 2/5 多簽結構(1 箇舊簽名者 + 4 個新簽名者)。問題在於,這次遷移設置了 0 秒時間鎖(timelock)。這意味著任何多簽操作都可以即時執行,沒有任何緩衝窗口。
攻擊者控制了舊簽名者(carryover signer),很可能是通過 Solana 的 Durable Nonce 機制 獲取了預簽名交易。這是一種離線預簽技術——攻擊者通過釣魚手段拿到有效簽名,然後在任意時刻廣播執行。餘弦稱其為"準備充分,手法專業且老練"。
攻擊發生前約 5 小時,攻擊者用舊簽名者發起了一次管理員權限移交提案。一名新簽名者幾乎立刻進行了共簽。0 秒時間鎖意味著交易即時生效。管理員權限就這樣被"合法地"轉移了。
拿到管理員權限後,攻擊者做了四件事:
鑄造虛假 CVT 代幣 — 創建沒有任何價值的代幣
操縱預言機價格 — 讓協議誤判這些虛假代幣的價值
關閉安全機制 — 解除協議的風控斷路器
抽幹流動性池 — 以虛假代幣為抵押,從統一流動性池中提取真實的 USDC、wETH、dSOL、JLP、cbBTC
被抽走的資金最終匯入約 129,000 ETH,分布在 4 個以太坊地址上。餘弦已通過慢霧 MistTrack 工具標記並追蹤這些地址。
這場攻擊的致命之處不在於技術有多高明,而在於它利用了"合法"的治理流程。多簽遷移 + 0 秒時間鎖 + 預簽名釣魚 = 管理員權限被"合規地"移交給了攻擊者。DeFi 最危險的敵人,不是代碼里的 bug,而是流程里的盲區。
鏈上數據把資金的去向畫得很清楚。
攻擊者 Solana 錢包地址為 HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES。Arkham Intelligence 已將該地址標記為疑似攻擊者控制。Solscan 和 SolanaFM 也在同步追蹤。
被盜資產的構成:
資金轉移路徑非常清晰:
Solana 鏈上 → Jupiter Aggregator 快速兌換 → 橋接至 Ethereum → 兌換為 19,913 ETH(約 4,260 萬美元)
Circle 已被通知關注相關地址。部分 USDC 可能被凍結。但對於 SOL、JitoSOL 和 ETH 這類原生資產,追回的可能性接近於零。
資金轉移路徑與朝鮮(DPRK)駭客組織的常用手法高度吻合:即時鏈上兌換 → 跨鏈轉移 → 等待混幣器處理。這不是白帽行為,也不是內部糾紛。這是一次有組織的資金掠奪。
DeFi 的核心賣點是不可逆性。沒有仲介,沒有撤銷鍵。交易一旦上鏈,就是最終結果。
這既是信任的基石,也是盜竊的溫床。
Drift 是 Solana 生態最核心的永續合約協議之一。攻擊發生前,它的 TVL 約為 5.5 億美元,日均永續交易量約 7000 萬美元。這個規模意味著它不是一個邊緣協議——它是整個 Solana DeFi 生態的基礎設施。
當基礎設施被攻破,後果不是"某個協議虧錢了",而是"整個生態的可信度被動搖"。
另一個對比值得思考:500 美元本金,2.85 億美元損失。槓桿倍數是 57 萬倍。這個數字比任何 DeFi 交易協議能提供的槓桿都要極端。
DeFi 的安全審計行業花了幾年時間建立了一套標準化的檢查流程。但攻擊者不按審計報告的檢查清單行動。審計檢查的是"代碼是否符合規範",攻擊者利用的是"規範本身是否有盲區"。
DeFi 的安全審計是"合規",不是"安全"。合規意味著你按規則做了檢查,安全意味著你能擋住不按規則來的攻擊。這兩者之間的差距,正是 2.85 億美元消失的空間。
攻擊的影響遠不止 Drift 自身。
Drift 協議 — TVL 腰斬。充提暫停。信任重建不是幾周能完成的事情。用戶會不會回來,取決於 postmortem 的質量和補償方案。
Solana 生態 — Phantom 錢包主動屏蔽了 Drift。其他 Solana 上的 DeFi 協議也面臨用戶信任壓力。當一個核心協議被攻破,用戶會對整個生態產生懷疑。
DRIFT 代幣持有者 — 代幣從約 0.072 跌至 0.048。跌幅約 30-35%。而 DRIFT 在此之前已經從歷史高點下跌了約 98%。大部分重大駭客攻擊的協議,其代幣價格在一年內都無法恢復到攻擊前的水平。對仍在持有的社區成員來說,這又是一次重擊。
穩定幣生態 — Circle 已經聲明,部分被盜 USDC 被凍結。但是這次 2.8 億美元通過 Circle 的網路持續了 6 小時轉走,卻沒有觸發任何風控,直接被 KOL ZachXBT 點名批評。
DeFi 的系統性風險不是單點故障,而是信任鏈條的斷裂。當一個協議被攻破,影響的不是它自己的 TVL——是所有用戶對"DeFi 能不能保管我的錢"這個問題的信心。
這件事的時機讓人不安。
Franklin Templeton 上季度剛設立了專門的加密資產管理業務。多家主流託管機構正在搭建 DeFi 集成方案。監管框架剛剛開始成型。機構資本花了多年觀望,終於開始從"再看看"轉向"開始布局"。
然後 Drift 被黑了。
這不是在某個市場低迷期發生的。這是在機構資本從觀望轉向行動的窗口期發生的。每一個正在評估 DeFi 風險敞口的合規官,今天早上都會把這件事寫進報告。
這不是一次普通的安全事件。它給整個 DeFi 行業的機構化進程踩了一腳剎車。不是因為技術不行,而是因為安全敘事在關鍵節點被打斷了。
2026 年最大加密盜竊案。超過當年所有此前事件的損失之和。
資金轉移模式暗示攻擊方具備組織化資源和國家級行動能力。如果最終確認與朝鮮駭客組織相關,那這場攻擊的性質就不只是"駭客盜錢",而是"國家級行為體對金融基礎設施的系統性打擊"。
行業的應對方向大致有三個:
保險機制 — DeFi 保險仍然極度不成熟。這次事件可能加速鏈上保險協議的發展。
多簽和權限升級 — 從 2/3 到更高閾值。從人工審計到自動化權限監控。
預言機冗餘 — 單一預言機源已經不夠。多源聚合 + 異常檢測將成為標準配置。
Drift 事件不是終點,它是起點。DeFi 安全正在從"事後補救"向"事前對抗"發生範式轉移。這個轉變不會很快,但它是不可逆的。
當據稱僅 500 美元的本金能撬動 2.85 億美元,問題不在於攻擊者有多強,而在於防線有多薄。
Drift 的 postmortem 將是一面鏡子。它照出的不只是 Drift 自己的漏洞,而是整個 DeFi 行業在安全基礎設施上的系統性欠賬。
機構資本會不會因此推遲入場?這個問題的答案不取決於 Drift 做什麼,而取決於整個行業在接下來 90 天內做什麼。
如果 postmortem 只是一份技術報告,那信任重建會很慢。
如果它成為全行業安全升級的起點,那 2.85 億美元的學費不算白交。
來源:金色財經
發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
上一篇
下一篇
