【议题】关于 Drift Protocol 黑客事件的反思 作者：Calvin - 2026 年 4 月 1 日 16:05 UTC，领先的基于 Solana 的永续去中心化交易所 Drift Protocol 遭遇了一次价值约 2.85 亿美元的攻击。这是一次精心策划的抵押品操纵攻击，攻击者利用窃取的管理员密钥在新现货市场上挂出毫无价值的代币，绕过提现安全机制，然后利用篡改后的抵押品价值提取了大量真实资产。 - 这次攻击结合了使用持久随机数 (nonce) 保护预签名和复杂的社会工程学手段。从3月23日开始，攻击者为两个多重签名用户和两个攻击者控制的账户创建了持久随机数账户，并在3月27日正常的多重签名操作结束后，重新获得了新多重签名用户的签名权限。攻击者通过伪造交易从合法签名用户处获取预签名，将其存储在持久随机数中，并在4月1日分批执行这些预签名以夺取管理员权限。经确认，此次事件不存在种子语法泄露或智能合约漏洞。 - 此次事件是继Resolv漏洞事件发生仅10天后，又一起重大运营安全事故。Resolv漏洞的崩溃是由于其缺乏多重签名机制，而Drift漏洞虽然具备多重签名机制，但由于阈值过低且缺乏额外的安全机制而崩溃。这两起连续发生的事件表明，亟需对授权结构进行根本性的重新设计。 🌎 完整文章（网站） 📱 文章摘录（X） FP网站 | Telegram（英文/韩文） | X（英文/韩文）