Drift 协议被盗资产已经被攻击者换成 12.9 万枚 ETH,价值 2.78 亿。
撰文:马赫,Foresight News
4 月 2 日,Drift Protocol 在 X 平台上连发两条公告,先是“观察到协议异常活动,正在调查,请勿存入资金”,随后直接确认“正在遭受主动攻击”,存款和提现全部暂停”。
链上数据显示,协议金库在几十分钟内流出超过 2.85 亿美元资产,成为 2026 年至今规模最大的单次 DeFi 攻击事件。Bitget 行情显示,DRIFT 代币暴跌超 30%,一度跌至 0.04 美元附近。DefiLlama 最新数据显示,其 TVL 从约 5.5 亿美元暴降至 2.5 亿美元。
此次攻击从 4 月 2 日凌晨开始。链上监控平台 PeckShield 发出警报:Drift 主金库地址开始向一个新创建的钱包 HkGz4K 大规模转账。首批转出的主要是 JLP(Jito Liquidity Provider)代币,价值约 1.55 亿美元,随后是 USDC、SOL、cbBTC、wBTC、WETH 以及部分 meme 币。
Drift Protocol 成立于 2021 年底,是 Solana 上最早一批专注于永续合约交易的 DEX 之一。它以低延迟、高杠杆和丰富的产品线闻名,支持 SOL、BTC、ETH 等主流资产以及大量 meme 币和新兴代币的永续合约。
2024 年以来,随着 Solana 生态复苏,Drift 的日交易量稳定在数亿美元级别,TVL 长期维持在 3-5 亿美元区间。2024 年 9 月,Drift 曾完成 2500 万美元融资,Multicoin Capital 领投。
Drift 协议采用独特的 Vault 设计,用户存款进入不同风险等级的金库,协议通过动态费率和保险基金机制来平衡多空仓位。正是这种“用户资金直接进入金库”的设计,本该提供更高的透明度和安全性,却在这次攻击中成为致命弱点。
本次攻击事件持续时间不足 1 小时,PeckShield 数据显示,累计流出资产 2.85 亿美元。攻击者动作极快,先通过 Jupiter 聚合器将大部分资产换成 USDC,再跨链桥接到以太坊,在以太坊上持续买入 ETH。
攻击始末
黑客的操作细节在攻击发生数小时后浮出水面。根据区块链风险分析服务提供商 Chaos Labs 联创 Omer 的分析,Drift 协议的管理员密钥遭到入侵,导致其协议在不到 10 秒内被抽走超过 2.13 亿美元的资金。
攻击者利用被入侵的签名者密钥,对市场创建、预言机分配和提款限制拥有完全控制权,且协议没有时间锁、多签或延迟保护。整个攻击过程在不到 15 秒内完成,后续额外 wETH 和 dSOL 提款可能使总损失超过 2.4 亿美元。
本次黑客攻击 Drift 事件,从现货市场创建开始,在单一交易中,攻击者调用 InitializeSpotMarket 创建了 CVT 的现货市场#63,并设置了极端参数。这些参数允许攻击者存入无价值代币并获得完全、无限的借贷能力。同时,在同一交易中,攻击者将 5 个真实资产市场的电路断路器提升 20 倍,包括 USDC、wETH、dSOL、JLP 和 cbBTC,从而确保后续大额提款不受阻挡。
接下来是预言机操纵:攻击者为 CVT 市场使用了自己控制的 SwitchboardOnDemand 预言机,将 Drift 配置为从 oracle_source=11 的 Switchboard feed 读取价格,并将价格设置使 CVT 看起来价值数亿美元 SOL。该预言机在 4 月 1 日期间有 20 笔池子交易,显示了活跃的价格操纵行为。
最后是代币攻击环节:攻击者铸造了 CVT 代币,总供应量约 7.5 亿(固定供应,铸造权限为空),自己持有约 6 亿(占 80%),并分两次存入 Drift 协议(先存 5 亿枚,后存剩余 1 亿枚)。该代币没有任何有机市场活动,纯粹为此次攻击而创建。
黑客攻击完成后,JLP 金库从 4170 万几乎被完全抽干,仅剩 133 JLP。
后续更新显示,此次入侵与 Drift 从旧多签迁移到新多签有关。
Omer 补充了管理员密钥被盗的细节:一周前,Drift 迁移到一个新的多签,该新多签由旧多签中的一名签名者创建,但该签名者并未将自己加入新多签。攻击者还在旧多签中发起了提案,将管理员控制权移交给这个新钱包。
新多签共有 5 名签名者,其中仅 1 名来自之前的设置,另外 4 名为全新地址,设置了 2/5 阈值和 0 秒时间锁。约五小时前,那唯一延续的旧签名者使用新多签提出更改 Drift 的管理员权限,一名新签名者在一秒后签名,瞬间达到 2/5 阈值。由于没有时间锁,交易立即执行。
黑客攻击事件后,Drift 团队的反应迅速但信息有限。官方公告除暂停存提、协调多家安全公司、桥接协议和交易所外,并未立即披露具体攻击向量或损失明细。
Phantom 钱包紧急切断了与 Drift 的交互入口,用户无法再直接访问协议界面。Jupiter 官方表示其借贷产品 Jupiter Lend 未涉及 Drift 市场,且 JLP 资产完全由底层资产支持。
截至目前,Drift 协议仍处于暂停状态。Drift 协议被盗的 2.85 亿美元资产已经被攻击者换成 12.9 万枚 ETH ( 价值约 2.78 亿 )。
历史上类似规模的攻击中,成功追回难度不小。
