Drift 被盜 2.85 億美金：黑客給了熊市 DeFi 致命一槍？

編輯 | 吳說區塊鏈

2026 年 4 月 2 日前後，多家鏈上監測與媒體集中披露：Solana 生態衍生品與借貸一體化協議 Drift Protocol 出現異常資金外流，項目方確認正遭受攻擊，最終導致協議約 2.8 億美元資金被盜。協議已暫停存取款，並正與安全機構、跨鏈橋及交易平台協作處置。

Drift Protocol 是什麼？

Drift 屬於「類交易所」的複合型 DeFi：在 2021 年上線、以 Solana 永續合約起家的頭部交易協議之一，後來擴展到現貨、借貸和更多「一站式協議」敘事。Drift 官方曾在 2024 年表示，協議已擁有超過 3.5 億美元 TVL、17.5 萬以上交易者、累計 200 億美元以上交易量；同年 9 月又完成 2,500 萬美元 Series B，累計融資達到 5250 萬美元。

在機制層面，Drift 文檔明確承認其對外部預言機帳戶的依賴，並設計了包括 oracle validity、TWAP 修剪、價格偏離帶寬校驗、以及在必要時更新市場信息以限制特定動作的「護欄」。其歷史對外敘事也曾強調：預言機價格若「無效或被操縱」，可能導致交易所資產在短時間內被抽乾，因此要用多步校驗與「多區間熔斷」爭取反應窗口。

但本次攻擊事件顯示即便協議具備較完善的「市場風控護欄」，只要攻擊者能夠接觸或影響「權限層」（管理員密鑰、多籤、風險參數的治理通道），就可能把護欄本身變成可被挪用的工具 — — 例如把某些閾值調到失真、把某資產的抵押權重抬到非理性，最終讓系統在「規則被重寫」的前提下，「合法」地執行資產轉移。

Drift Protocol 回應 2.8 億美元損失：社會工程與 durable nonce 機制攻擊

Drift Protocol 就今日安全事件發佈聲明，一名惡意行爲者通過一種涉及 durable nonce 的新型攻擊方式，獲得了對協議的未授權訪問，並迅速接管了 Drift 安全委員會的管理權限。Drift 表示，這是一場高度複雜的攻擊行動，疑似經過數週籌備並分階段執行，其中包括利用 durable nonce 帳戶預籤交易、延遲執行等手法。

根據 Drift 目前的調查結果，此次事件並非由 Drift 程序或智能合約漏洞導致，也沒有證據表明相關助記詞已遭泄露。Drift 認爲，攻擊者是在執行前獲取了未經授權或被僞裝的交易批准，而 durable nonce 機制及複雜的社會工程手段很可能在其中發揮了關鍵作用。此次事件共導致協議約 2.8 億美元資產被轉出。

Drift 表示，攻擊者之所以能夠完成此次攻擊，主要包括幾個步驟：首先通過 durable nonce 帳戶預先部署訪問路徑；隨後獲取了多籤中的足夠審批權限，即 2/5 的多籤批准；之後在數分鐘內執行惡意管理員權限轉移，取得協議級權限控制；最終利用該權限引入惡意資產，並移除原有全部提現限制，從而對既有資金實施攻擊。

目前，所有存入借貸模塊、金庫以及交易帳戶中的資金均受到了影響。未受影響的資產包括：未存入 Drift 的 DSOL，包括質押至 Drift Validator 的資產；以及保險基金資產，相關資產將被撤出協議並轉移至更安全的環境進行保護。

作爲預防措施，Drift 已凍結協議剩餘所有功能，並已更新多籤配置，將受影響錢包移除。

此次事件已外溢至 Solana 生態多個 DeFi 協議。Reflect Money、Ranger Finance、Neutral Trade、Elemental DeFi、Project 0、Lulo Finance、Asgard Finance、DeFi Carrot、Pyra、xPlace、Fuse Wallet 等項目已確認受影響，部分項目暫停鑄造、贖回或存取款功能。其中 Ranger Finance 稱面臨約 90 萬美元風險敞口，佔其 TVL 的約 6%；Pyra 表示用戶因在 Drift 獲取收益的資金受影響，已暫停相關卡功能。

技術分析：虛假 CVT 代幣與預言機操縱

據 Helius 開發者 Ichigo 此前分析，Drift Protocol 本次事件或與攻擊者構造虛假 CVT 代幣並操縱 Switchboard 預言機有關，進而形成攻擊路徑；其稱攻擊者隨後通過社會工程手段進入安全委員會治理流程，並在多籤權限可能受損的情況下推動該代幣以高權重作爲抵押資產上線；攻擊者提前數週鑄造「虛假代幣」，並在 Raydium 上用極低流動性（約 500 美元）做池子「定價錨點」，再通過洗盤交易不斷製造價格與成交痕跡，爲後續的預言機價格歷史「鋪路」。值得一提的是，攻擊者存入約 2,000 萬枚價值接近零的 CVT 代幣，在價格被高估至逾 1 億美元后，以此爲抵押借出協議內真實資產並轉移資金，整體規模預計超過 2 億美元。

市場即時反應

Drift Protocol 遭受攻擊後，其治理代幣 DRIFT 在過去 24 小時內暴跌超 40%，Binance 等主流交易所的 DRIFT U 本位永續合約年化負費率已飆升至頂格，超過 6,000%，由空頭向多頭大量補貼。

此次事件的時間線

3 月 23 日，攻擊者完成初始 nonce 佈局。當日共創建了 4 個 durable nonce 帳戶，其中兩個與 Drift 安全委員會多籤成員相關，另外兩個由攻擊者控制。Drift 認爲，這意味着至少已有 2/5 的多籤簽名者曾對與 durable nonce 帳戶相關的交易進行簽署，從而使延遲執行成爲可能。

3 月 25 日：疑似攻擊者主錢包地址（HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES）通過 Near Intents 獲得初始資金，後長期保持不活躍狀態，直至攻擊當日突然激活並接收 Drift 金庫大額資金。

3 月 27 日，Drift 因安全委員會成員變更，按計劃執行了一次安全委員會多籤遷移。

3 月 30 日，新的 durable nonce 活動再次出現。一個新的 durable nonce 帳戶被爲更新後多籤中的一名成員創建。Drift 認爲，這說明攻擊者再次獲得了更新後多籤中 2/5 簽名者的實際可用權限。

4 月 1 日，攻擊進入執行階段。首先，Drift 執行了一筆來自保險基金的測試性提款交易。約 1 分鐘後，攻擊者迅速執行了兩筆事先簽署好的 durable nonce 交易，且兩筆交易之間僅相隔 4 個 slot。第一筆交易用於創建並批准惡意管理員轉移，第二筆交易則用於批准並執行該惡意管理員轉移。至此，攻擊者正式接管協議關鍵權限。

4 月 1 日下午至晚間，鏈上監測工具 MLM 已率先檢測到相關地址出現異常資金流動，總規模約 2.706 億美元（約佔 Drift TVL 的 50%），主要涉及 JLP、USDC 等資產。Helius CEO mert 表示鏈上跡象顯示協議可能已被攻擊；Drift 官方隨即發佈聲明，確認正在觀察協議中的異常活動，並建議用戶在進一步通知前不要向協議存入資金。

Drift 表示，此次攻擊的實現，核心在於兩點結合：一是事先簽署的 durable nonce 交易，使攻擊者能夠在未來時點延遲執行；二是多個多籤簽名者的批准遭到攻破，而這很可能是通過有針對性的社會工程攻擊或交易信息僞裝實現的。

行業專家觀點與治理反思

Ledger 首席技術官 Charles Guillemet 表示，此次攻擊並非智能合約漏洞，而是多籤機制遭到長期潛伏破壞。黑客疑似控制了多籤持有者的設備或私鑰，誤導操作員批准惡意交易。該手法與去年疑似與北朝黑客組織（DPRK）相關的 Bybit 事件高度相似。他呼籲行業提升終端檢測能力，並採用硬件支持的明文簽名以防操作層面風險。

Uniswap 創始人 Hayden Adams 直言，必須停止讓中心化項目自稱爲 DeFi；若管理員密鑰能夠掏空全部資金，本質上就是 CeFi。Chaos Labs 創始人 Omer Goldberg 補充，Drift 協議的簽名密鑰對市場創建、預言機分配及提款限額擁有完全控制權，且缺乏時間鎖，攻擊者據稱僅用約10秒即完成資金竊取。

資金追蹤與後續反應

鏈上追蹤顯示，疑似攻擊者地址（HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES）在攻擊後將資金快速轉移/兌換，並通過 Wormhole 跨鏈轉至以太坊。部分 USDC 通過 Circle CCTP 橋轉移時，Circle 未及時凍結資金流向，引發 Delphi Digital 聯合創始人 Tommy Shaughnessy 和鏈上偵探 ZachXBT 的批評，認爲 Circle 在具備中心化凍結能力的情況下反應遲緩。

目前，Drift 正與多家安全公司協作調查事件根因，同時也正與跨鏈橋、交易所及執法機構合作，追蹤並凍結被盜資產。Drift 表示，未來幾天將公佈更詳細的事後分析報告，並歡迎任何與調查相關的信息線索協助。

瀏覽 1.4萬