鏈上交易所 Drift Protocol 遭駭損失 2.8 億美元,Solana 生態恐出現連鎖反應?
去中心化交易平台 Drift Protocol 於 4 月 2 日遭受重大駭客攻擊,損失估計高達 2.8 億美元,成為 Solana 生態系史上規模最大的 DeFi 安全事件之一。攻擊者利用多簽漏洞取得管理員金鑰,在短時間內抽乾多個金庫,並迅速將資產跨鏈轉移至以太坊。
「不是愚人節玩笑」Drift 遭攻擊緊急暫停存提款
Drift Protocol 週三凌晨發文表示,偵測到平台上出現「異常交易活動」,並警告用戶在問題解決前切勿存入資金,後續也宣布已暫停平台上的存款與提款功能,將持續更新調查進度。受此消息影響,官方代幣 DRIFT 事發至今下跌超過 36%,現報 0.042 美元。
Drift Protocol is experiencing an active attack. Deposits and withdrawals have been suspended. We are coordinating with multiple security firms, bridges, and exchanges to contain the incident. This is not an April Fools joke. We’ll provide additional updates from this account as… https://t.co/03SRPq4fHj
— Drift (@DriftProtocol) April 1, 2026
廣告 - 內文未完請往下捲動
事發過去九小時,Drift Protocol 官方解釋,這起攻擊並非源自智能合約漏洞,而是攻擊者利用一種名為「持久性 Nonce (durable nonces)」的新型攻擊手段,提前數週預先簽署交易,並透過社會工程 (social engineering) 手段,取得多簽錢包的批准權限。後續趁 Drift 進行多簽遷移之際執行攻擊。
團隊表示,受影響資產包括協議內的所有借款與借出存款、Vault 資金及抵押品,保險基金資產則未受波及。團隊事發當下已立即凍結所有協議功能,並更新多簽以移除遭攻擊的錢包:
「我們正與多家安全公司、跨鏈橋接、交易所及執法單位合作,追蹤並凍結被盜資金,並表示將於近日發布詳細的事後分析報告。」
損失規模:逾 20 種資產遭竊,價值超過 2.8 億美元
根據資安公司 PeckShield 整理,此次攻擊波及逾 20 種加密資產,預計損失 2.85 億美元。包括價值約 1.59 億美元的 JLP 代幣、7,142 萬美圓的 USDC、1,627 萬美元的 BTC 相關資產、1,357 萬美元的 SOL 相關資產、468 萬美元的 ETH 相關資產,以及數千萬美元的其他穩定幣。
Rekt 資料顯示,此次事件將成為今年規模最大的加密貨幣竊案,同時是 Solana 生態史上最嚴重的安全事件之一,僅次於 2022 年造成 3.26 億美元損失的 Wormhole 橋接漏洞。
Solana 生態面臨風險?受影響協議一次看
加密 KOL @lugeweb3 彙整了 Drift Protocol 遭駭事件對其他 Solana 協議的影響,包括 PiggyBank 遭竊 10.6 萬美元,Carrot Finance、Lulo、Reflect 與 Ranger 等專案則已暫停部分功能並凍結部分資金。
文中同時確認了 Jupiter、Kamino、Meteora、Wormhole 和 Solflare 等主要協議的安全性。
攻擊手法:管理員金鑰遭破解,多簽防護形同虛設
區塊鏈安全公司 Chaos Labs 分析指出,此次攻擊的核心在於 Drift Protocol 的管理員簽署金鑰 (admin key) 遭駭客破解。
事發約一週前,Drift 將多簽架構遷移至新錢包,新架構由 5 位簽署者組成,門檻設定為 2/5,時間鎖卻為零秒,意味著只要任兩人簽署,交易就能立刻執行。新多簽錢包權限擁有者中更有 4 位成員為全新加入,僅 1 位來自舊團隊。
攻擊者取得管理員權限後,在鏈上建立一個假冒的 CVT 現貨市場,並指定自己控制的預言機人為哄抬資產價格,再存入毫無價值的代幣作為抵押,同時將 USDC、wETH 等主要資產的提款上限調高 20 倍,最終一次性提領鏈上資金。
Chaos Labs 創辦人 Omer Goldberg 指出,整個攻擊流程在幾秒內完成,似乎沒有任何安全機制或警告被觸發。
九位數資金跨鏈轉入以太坊,Circle 遭批反應遲緩
事發後,駭客透過 Solana 鏈上 DEX Jupiter,將竊得資產大量兌換為 USDC,再透過 Circle 的跨鏈轉帳協議 (CCTP) 將穩定幣橋接至以太坊,進一步換成 ETH。
鏈上偵探 ZachXBT 對此批評,高達九位數的非法資金於美國工作時間在 CCTP 上移轉,Circle 卻沒有採取任何凍結或阻擋行動,直言 Circle 與其創辦團隊都是產業中的害群之馬。
產業警示:DeFi 金鑰單點風險需被正視
同樣引發關注的是,Drift Labs 共同創辦人 Cindy leow 去年剛入選富比士 30 位 30 歲以下精英榜 (Forbes 30 under 30),又被稱作反指標榜單,社群甚至對此推測內部團隊監守自盜的可能性。
如今,這次事件再度揭示 DeFi 協議在高權限金鑰管理上的單點風險。Goldberg 呼籲各 DeFi 協議應儘快導入參數邊界設定、提款速率限制,以及具備實質效果的時間鎖機制,才能降低用戶資產遭駭的風險。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
