一、事件概述與背景

Drift Protocol 是 Solana 生態內的頭部永續合約去中心化交易所（DEX），其核心優勢在於，它是 Solana 生態內少數支持高杠杆永續合約交易的協議 —— 用戶最高可使用 20 倍杠杆進行加密資產交易。這一特性，讓 Drift Protocol 迅速成為 Solana 生態內最受歡迎的 DeFi 協議之一：截至 2026 年 3 月，其平臺的總鎖倉價值（TVL）已突破 12 億美元，在 Solana 生態的 DEX 中排名第三，甚至超過了 Serum 等老牌協議。

為了保障平臺資金安全，Drift Protocol 設計了一套看似嚴格的多簽治理機制：其安全委員會採用 5/5 多簽架構 —— 即任何涉及核心許可權變更、資金調撥的操作，必須經過 5 名安全委員會成員的全部簽名才能執行。同時，團隊還引入了 Solana 網路特有的 “持久化亂數”（Durable Nonces）機制，為多簽交易提供時間戳驗證，以此防止交易被重放或篡改。理論上，這一架構的安全等級極高，即使有 1-2 名多簽成員的私鑰被洩露，攻擊者也無法完成核心操作。但後續的攻擊表明，再完善的技術架構，也無法抵禦人為層面的突破。

二、攻擊事件完整還原

本次攻擊並非臨時起意的 “閃電攻擊”，而是一場策劃長達 6 個月的 “信任獵殺”。根據安全機構的溯源結果，攻擊者隸屬於朝鮮國家級駭客組織 Lazarus Group 的分支 UNC4736—— 該組織此前已多次針對 Web3 生態發起高價值攻擊，累計損失金額超 20 億美元。其攻擊的完整時間線，清晰展現了 “信任滲透” 的核心邏輯：

l  潛伏與信任構建階段（2025 年 10 月 - 2026 年 2 月） ：攻擊者首先偽造了一家新加坡量化交易機構的身份 —— 不僅註冊了完整的公司主體、搭建了專業的官方網站，還在 LinkedIn、Twitter 等平臺上，為核心成員創建了包含真實交易記錄的職業資料。隨後，他們通過參與 Solana 生態的線下峰會、線上技術論壇等活動，主動接觸 Drift Protocol 的核心團隊成員，並在 Drift 的官方 Discord 社群中，以 “資深用戶” 的身份，多次提出針對平臺永續合約機制的優化建議 —— 這些建議不僅具備可操作性，還幫助 Drift 團隊修復了一個潛在的手續費計算漏洞，最終讓攻擊者成功混入了 Drift 的核心貢獻者社群，甚至獲得了與安全委員會成員直接溝通的許可權。

l  預簽名交易誘導階段（2026 年 3 月 23 日 - 3 月 30 日） ：在獲取信任後，攻擊者開始實施核心誘導步驟。他們利用 Solana 生態開發者對 “持久化亂數” 機制的信任，設計了一個看似合理的測試場景：聲稱要測試 Drift 平臺的 “多簽交易離線簽名相容性”，需要安全委員會成員對幾筆 “用於測試跨鏈資產充值的交易” 進行預簽名。由於攻擊者此前已通過多次技術貢獻，獲得了團隊的充分信任，5 名安全委員會成員中的 2 名，未對交易內容進行任何鏈上驗證，就完成了盲簽操作 —— 而這些預簽名交易，本質上是用於轉移 Drift 協議管理員許可權的惡意交易。

l  攻擊執行階段（2026 年 4 月 1 日） ：4 月 1 日 UTC 時間 12:00 左右，攻擊者首先執行了一筆來自 Drift 保險基金的小額測試提款交易 —— 這一操作的目的，是確認平臺的監控系統處於正常狀態，同時麻痹團隊的警惕性。約 1 分鐘後，攻擊者迅速連續執行了兩筆預簽名的持久化亂數交易，且兩筆交易的區塊間隔僅為 4 個 Solana 插槽（約 8 秒）。第一筆交易的作用，是創建並批准 “將 Drift 協議的管理員許可權轉移至攻擊者控制地址” 的提案；第二筆交易則是直接執行該提案。由於 Drift 的多簽機制未設置任何時間鎖 —— 即提案一旦通過，即可立即執行，攻擊者在短短 10 秒內，就完成了整個許可權轉移流程，正式接管了 Drift 協議的核心控制權。

l  資產轉移與逃逸階段：在獲得管理員許可權後，攻擊者立即採取了一系列措施變現資產：首先，他們在 Drift 平臺上創建了一個虛假的 cvt 代幣市場，並通過操縱預言機，將該代幣的價格虛標為 1 美元；隨後，他們關閉了平臺的提款保護機制，允許大額資產無限制提取；最後，他們將平臺保險基金和用戶保證金帳戶中的資產，分批轉移至攻擊者控制的地址。整個資產轉移過程，僅耗時約 12 分鐘，且所有交易均通過攻擊者控制的管理員許可權執行，未觸發任何安全警報。

Drift Protocol 的安全團隊，直到攻擊者將大部分資產轉移至跨鏈橋地址後，才通過鏈上監控工具檢測到異常。但此時攻擊者已將資產分散至 Solana、Ethereum、Tron 等多條公鏈，團隊僅能在 UTC 時間 12:12 緊急暫停平臺的所有交易功能。最終，本次攻擊的總損失金額，經區塊鏈安全公司 CertiK 評估，約為 2.85 億美元。

三、技术分析

本次攻擊的核心突破點，並非 Drift Protocol 的智能合約存在代碼漏洞，而是其多簽治理機制的 “人為環節” 被突破 —— 攻擊者利用了 “持久化亂數” 機制的特性，結合社會工程學手段，繞開了看似嚴格的技術防禦。其技術實現的核心邏輯，可以拆解為兩個關鍵部分：

l  其一，持久化亂數機制的武器化：Solana 的 “持久化亂數” 機制，原本是為了解決硬體錢包離線簽名的痛點 —— 它允許用戶在離線環境下，對交易進行預簽名，且簽名後的交易，在 “亂數被消耗前” 永久有效。但攻擊者卻將這一特性，轉化為了 “時間炸彈”：他們預先創建了 4 個持久化亂數帳戶，其中 2 個關聯 Drift 安全委員會成員的合法地址，另外 2 個由攻擊者自己控制。通過誘導安全委員會成員對關聯帳戶的交易進行預簽名，攻擊者實際上獲得了 “在未來任意時間執行惡意交易” 的許可權 —— 而這一許可權，甚至不需要攻擊者接觸成員的私鑰。

l  其二，多簽機制的許可權失控：Drift Protocol 採用的是 “2/5 多簽” 閾值 —— 即僅需 2 名安全委員會成員的簽名，即可執行核心操作。但更關鍵的是，其多簽機制未設置任何時間鎖：這意味著，一旦攻擊者獲取了足夠的簽名，就能在瞬間完成許可權轉移，不給團隊任何反應時間。此外，Drift 的多簽簽名驗證，僅針對 “簽名是否來自合法成員”，而未對 “交易的具體內容” 進行鏈上校驗 —— 這讓攻擊者的惡意預簽名交易，得以順利通過驗證。

四、影响与后续

本次攻擊不僅給 Drift Protocol 帶來了毀滅性打擊，更暴露了整個 DeFi 治理機制的系統性缺陷：

l  其一，平臺聲譽與用戶流失：攻擊發生後，Drift Protocol 的 TVL 在 48 小時內暴跌超 80%，從 12 億美元跌至不足 2 億美元。大量用戶因對平臺安全機制的不信任，紛紛提取了在 Drift 的存款，截至 2026 年 4 月 21 日，其 TVL 僅恢復至約 3 億美元，用戶規模也較攻擊前下降了 60%—— 這對依賴用戶流動性的永續合約 DEX 而言，幾乎是致命的打擊。

l  其二，行業信任危機：本次攻擊直接暴露了 DeFi 治理機制的核心脆弱性 —— 即使技術架構再完善，也無法抵禦人為層面的社會工程攻擊。此前，DeFi 生態普遍認為，多簽機制是保障協議安全的 “最後防線”，但 Drift 的案例證明，若多簽成員的安全意識不足，這道防線會瞬間崩塌。這也引發了整個行業對 “治理機制中人為因素” 的重新思考：如何在保障治理效率的同時，降低人為失誤帶來的風險。

l  其三，資金流向與追回難度：鏈上追蹤數據顯示，攻擊者在得手後，將約 40% 的被盜資產轉移至以太坊網路，兌換為 WETH；30% 轉移至 Tron 網路，兌換為 USDT；剩餘 30% 則留在 Solana 網路，通過 Serum、Raydium 等 DEX 兌換為 SOL。隨後，攻擊者將所有資產拆分至超 500 個新創建的地址中，每個地址的轉賬金額均不超過 10 萬美元 —— 這一策略，正是為了規避 Chainalysis、Elliptic 等鏈上監測平臺的大額交易預警。截至 2026 年 4 月 21 日，僅追回了不足 0.05% 的被盜資產，資金追回工作基本陷入僵局。

五、参考

l  两笔交易、2.85 亿美元蒸发：Drift 协议攻击事件全解：https://a.foresightnews.pro/article/detail/96059

l  47 起加密事件复盘：所有人都栽在同一个人为漏洞：https://www.cointeeth.com/zh/news/a-retrospective-of-47-encryption-incidents-all-fell-victim-to

l  Drift 被盗 2.85 亿美金：黑客给了熊市 DeFi 致命一枪？：https://www-tc.aicoin.com/zh-Hans/article/525085

l  两笔交易、2.85 亿美元蒸发：Drift 协议攻击事件全解析：https://a.foresightnews.pro/article/detail/96059