一、事件概述與背景
Drift Protocol 是 Solana 生態內的頭部永續合約去中心化交易所(DEX),其核心優勢在於,它是
Solana 生態內少數支持高杠杆永續合約交易的協議 —— 用戶最高可使用 20 倍杠杆進行加密資產交易。這一特性,讓 Drift Protocol 迅速成為 Solana 生態內最受歡迎的 DeFi 協議之一:截至 2026 年 3 月,其平臺的總鎖倉價值(TVL)已突破 12 億美元,在 Solana 生態的 DEX 中排名第三,甚至超過了 Serum 等老牌協議。
為了保障平臺資金安全,Drift
Protocol 設計了一套看似嚴格的多簽治理機制:其安全委員會採用 5/5 多簽架構 ——
即任何涉及核心許可權變更、資金調撥的操作,必須經過 5 名安全委員會成員的全部簽名才能執行。同時,團隊還引入了 Solana 網路特有的 “持久化亂數”(Durable Nonces)機制,為多簽交易提供時間戳驗證,以此防止交易被重放或篡改。理論上,這一架構的安全等級極高,即使有 1-2 名多簽成員的私鑰被洩露,攻擊者也無法完成核心操作。但後續的攻擊表明,再完善的技術架構,也無法抵禦人為層面的突破。
二、攻擊事件完整還原
本次攻擊並非臨時起意的 “閃電攻擊”,而是一場策劃長達 6 個月的 “信任獵殺”。根據安全機構的溯源結果,攻擊者隸屬於朝鮮國家級駭客組織 Lazarus Group 的分支 UNC4736—— 該組織此前已多次針對
Web3 生態發起高價值攻擊,累計損失金額超 20 億美元。其攻擊的完整時間線,清晰展現了 “信任滲透” 的核心邏輯:
l 潛伏與信任構建階段(2025 年 10 月 - 2026 年 2 月) :攻擊者首先偽造了一家新加坡量化交易機構的身份
—— 不僅註冊了完整的公司主體、搭建了專業的官方網站,還在 LinkedIn、Twitter 等平臺上,為核心成員創建了包含真實交易記錄的職業資料。隨後,他們通過參與
Solana 生態的線下峰會、線上技術論壇等活動,主動接觸 Drift Protocol 的核心團隊成員,並在
Drift 的官方 Discord 社群中,以 “資深用戶” 的身份,多次提出針對平臺永續合約機制的優化建議
—— 這些建議不僅具備可操作性,還幫助 Drift 團隊修復了一個潛在的手續費計算漏洞,最終讓攻擊者成功混入了 Drift 的核心貢獻者社群,甚至獲得了與安全委員會成員直接溝通的許可權。
l 預簽名交易誘導階段(2026 年 3 月 23 日 - 3 月 30 日) :在獲取信任後,攻擊者開始實施核心誘導步驟。他們利用 Solana 生態開發者對 “持久化亂數”
機制的信任,設計了一個看似合理的測試場景:聲稱要測試 Drift 平臺的 “多簽交易離線簽名相容性”,需要安全委員會成員對幾筆
“用於測試跨鏈資產充值的交易” 進行預簽名。由於攻擊者此前已通過多次技術貢獻,獲得了團隊的充分信任,5 名安全委員會成員中的 2 名,未對交易內容進行任何鏈上驗證,就完成了盲簽操作 —— 而這些預簽名交易,本質上是用於轉移 Drift 協議管理員許可權的惡意交易。
l 攻擊執行階段(2026 年 4 月 1 日) :4 月 1 日 UTC 時間 12:00 左右,攻擊者首先執行了一筆來自 Drift 保險基金的小額測試提款交易 —— 這一操作的目的,是確認平臺的監控系統處於正常狀態,同時麻痹團隊的警惕性。約 1 分鐘後,攻擊者迅速連續執行了兩筆預簽名的持久化亂數交易,且兩筆交易的區塊間隔僅為 4 個 Solana 插槽(約 8 秒)。第一筆交易的作用,是創建並批准
“將 Drift 協議的管理員許可權轉移至攻擊者控制地址” 的提案;第二筆交易則是直接執行該提案。由於 Drift 的多簽機制未設置任何時間鎖 —— 即提案一旦通過,即可立即執行,攻擊者在短短 10 秒內,就完成了整個許可權轉移流程,正式接管了 Drift 協議的核心控制權。
l 資產轉移與逃逸階段:在獲得管理員許可權後,攻擊者立即採取了一系列措施變現資產:首先,他們在 Drift 平臺上創建了一個虛假的
cvt 代幣市場,並通過操縱預言機,將該代幣的價格虛標為 1 美元;隨後,他們關閉了平臺的提款保護機制,允許大額資產無限制提取;最後,他們將平臺保險基金和用戶保證金帳戶中的資產,分批轉移至攻擊者控制的地址。整個資產轉移過程,僅耗時約 12 分鐘,且所有交易均通過攻擊者控制的管理員許可權執行,未觸發任何安全警報。
Drift Protocol 的安全團隊,直到攻擊者將大部分資產轉移至跨鏈橋地址後,才通過鏈上監控工具檢測到異常。但此時攻擊者已將資產分散至 Solana、Ethereum、Tron 等多條公鏈,團隊僅能在 UTC 時間 12:12 緊急暫停平臺的所有交易功能。最終,本次攻擊的總損失金額,經區塊鏈安全公司
CertiK 評估,約為 2.85 億美元。
三、技术分析
本次攻擊的核心突破點,並非
Drift Protocol 的智能合約存在代碼漏洞,而是其多簽治理機制的 “人為環節” 被突破 ——
攻擊者利用了 “持久化亂數” 機制的特性,結合社會工程學手段,繞開了看似嚴格的技術防禦。其技術實現的核心邏輯,可以拆解為兩個關鍵部分:
l 其一,持久化亂數機制的武器化:Solana 的 “持久化亂數” 機制,原本是為了解決硬體錢包離線簽名的痛點 —— 它允許用戶在離線環境下,對交易進行預簽名,且簽名後的交易,在
“亂數被消耗前” 永久有效。但攻擊者卻將這一特性,轉化為了
“時間炸彈”:他們預先創建了 4 個持久化亂數帳戶,其中 2 個關聯 Drift 安全委員會成員的合法地址,另外 2 個由攻擊者自己控制。通過誘導安全委員會成員對關聯帳戶的交易進行預簽名,攻擊者實際上獲得了
“在未來任意時間執行惡意交易” 的許可權 —— 而這一許可權,甚至不需要攻擊者接觸成員的私鑰。
l 其二,多簽機制的許可權失控:Drift Protocol 採用的是 “2/5 多簽” 閾值 ——
即僅需 2 名安全委員會成員的簽名,即可執行核心操作。但更關鍵的是,其多簽機制未設置任何時間鎖:這意味著,一旦攻擊者獲取了足夠的簽名,就能在瞬間完成許可權轉移,不給團隊任何反應時間。此外,Drift 的多簽簽名驗證,僅針對 “簽名是否來自合法成員”,而未對 “交易的具體內容” 進行鏈上校驗 —— 這讓攻擊者的惡意預簽名交易,得以順利通過驗證。
四、影响与后续
本次攻擊不僅給 Drift
Protocol 帶來了毀滅性打擊,更暴露了整個 DeFi 治理機制的系統性缺陷:
l 其一,平臺聲譽與用戶流失:攻擊發生後,Drift Protocol 的 TVL 在 48 小時內暴跌超 80%,從 12 億美元跌至不足 2 億美元。大量用戶因對平臺安全機制的不信任,紛紛提取了在 Drift 的存款,截至 2026 年 4 月 21 日,其 TVL 僅恢復至約 3 億美元,用戶規模也較攻擊前下降了 60%—— 這對依賴用戶流動性的永續合約 DEX 而言,幾乎是致命的打擊。
l 其二,行業信任危機:本次攻擊直接暴露了 DeFi 治理機制的核心脆弱性 —— 即使技術架構再完善,也無法抵禦人為層面的社會工程攻擊。此前,DeFi 生態普遍認為,多簽機制是保障協議安全的 “最後防線”,但 Drift 的案例證明,若多簽成員的安全意識不足,這道防線會瞬間崩塌。這也引發了整個行業對 “治理機制中人為因素” 的重新思考:如何在保障治理效率的同時,降低人為失誤帶來的風險。
l 其三,資金流向與追回難度:鏈上追蹤數據顯示,攻擊者在得手後,將約 40% 的被盜資產轉移至以太坊網路,兌換為 WETH;30% 轉移至 Tron 網路,兌換為 USDT;剩餘 30% 則留在 Solana 網路,通過 Serum、Raydium 等 DEX 兌換為 SOL。隨後,攻擊者將所有資產拆分至超 500 個新創建的地址中,每個地址的轉賬金額均不超過 10 萬美元 ——
這一策略,正是為了規避
Chainalysis、Elliptic 等鏈上監測平臺的大額交易預警。截至 2026 年 4 月 21 日,僅追回了不足 0.05% 的被盜資產,資金追回工作基本陷入僵局。
五、参考
l 两笔交易、2.85 亿美元蒸发:Drift 协议攻击事件全解:https://a.foresightnews.pro/article/detail/96059
l 47 起加密事件复盘:所有人都栽在同一个人为漏洞:https://www.cointeeth.com/zh/news/a-retrospective-of-47-encryption-incidents-all-fell-victim-to
l Drift 被盗 2.85 亿美金:黑客给了熊市 DeFi 致命一枪?:https://www-tc.aicoin.com/zh-Hans/article/525085
l 两笔交易、2.85 亿美元蒸发:Drift 协议攻击事件全解析:https://a.foresightnews.pro/article/detail/96059
