昨天,基于 Solana 的加密货币交易所 Drift Protocol 遭到黑客攻击,损失金额约为 2.8 亿美元。此次攻击持续数周,很可能是利用社会工程手段获取了多个多重签名者的授权。
4月1日晚上7点(UTC+1),Drift宣布协议上出现“异常活动”,并提醒用户避免充值。Drift强调:“这不是愚人节玩笑。”
此前,X 用户发出警告,称 Drift 漏洞正在被利用,而且这种利用将会非常严重。
Drift随后证实其正遭受攻击,并将暂停存款和取款服务。研究人员开始推测Drift的私钥可能已被泄露。
Drift Protocol 目前正遭受攻击。充值和提现功能已暂停。我们正与多家安全公司、桥接器和交易所协调,以控制此次事件。这不是愚人节玩笑。我们将通过此账号发布更多更新信息…… https://t.co/03SRPq4fHj
— Drift (@DriftProtocol) 2026年4月1日
Drift 随后分享了事件经过的详细时间线。
报告称:“这是一起高度复杂的行动,似乎涉及数周的准备和分阶段执行,包括使用持久性随机账户预先签署交易,从而延迟执行。”
该公司声称,此次攻击并非由 Drift 的程序或智能合约中的漏洞引起,也没有证据表明助记词已被泄露,并且此次攻击涉及在黑客攻击执行之前未经授权的交易批准。
然而,该公司承认,这些批准很可能是通过对其员工进行社会工程攻击和操纵“持久随机数机制”而促成的。
Drift到底发生了什么事
持久随机数机制是一种区块链工具,可以绕过区块哈希签名,并促进离线转换签名。
Drift 声称,3 月 23 日创建了四个持久 nonce 帐户,其中两个与 Drift 安全委员会多重签名成员有关,另外两个与攻击者控制的帐户有关。
以下是事件时间线。
— Drift (@DriftProtocol) 2026年4月2日
3月23日:初始随机数设置
创建了四个持久性随机数账户:
– 两名与漂移安全理事会多签名成员有关联的成员
– 两个与攻击者控制的账户有关
相关账户:
一个。…
然后,3月27日,“由于安理会成员变更,Drift执行了计划中的安理会成员迁移。”
三天后,为更新后的多重签名组中的一个成员创建了另一个持久 nonce 帐户,使攻击者“能够有效访问更新后的多重签名组中 5 个签名者中的 2 个”。
行刑日
Drift 声称,4 月 1 日,它对保险基金进行了一次测试性提款。随后,攻击者利用多重签名授权,在几分钟内执行了一次“恶意管理员转账,从而获得了协议级权限”。
攻击者随后可以“利用该控制权引入恶意资产,并取消所有预设的提款限制,从而攻击现有资金”。
Drift公司尚未透露此次疑似社交工程攻击的具体细节。这类攻击有时可能是攻击者伪装身份,通过私信、电子邮件或电话等方式诱骗他人授予关键权限。
Drift的合作伙伴Circle尚未冻结资金。
该事件引起了加密货币调查员 ZachXBT 的批评,他对稳定币公司 Circle 冻结被盗资金的缓慢行动提出了质疑。
Drift 于 2023 年集成了 Circle 的跨链转账协议 (CTTP)。ZachXBT 指出,“在 Drift 遭受九位数黑客攻击期间,数以百万计的USDC通过 CCTP 从Solana兑换到以太坊,而 Circle 却在美东时间的几个小时内处于休眠状态。”
他说:“Circle 花了 6 个小时才冻结了从 Drift 黑客事件中被盗的超过 2.8 亿美元的资金。”
其他用户对该协议的“去中心化”分类提出了异议,因为此次攻击似乎利用了中心化机制。
其他用户则对 Drift 仅要求五项 MultiG 授权中的两项即可完成交易感到不满。
就在那儿。
— tobi (@tobific) 2026 年 4 月 2 日
罪魁祸首就在这里。
2/5 多重签名,500M TVL,没有时间锁定,简直疯了。
你可能会觉得这是 4/5 多重签名,但别傻了,这些团队简直疯了,等用户资金损失殆尽后,他们还会编造一套高深的技术术语来解释原因。
该平台表示,正与安全公司、执法部门、桥梁运营商和交易所合作,查明事件真相并冻结被盗资产。平台还补充说,将在未来几天内发布更详细的报告。
Ledger 的首席技术官已经推测,此次黑客事件的作案手法与去年Bybit黑客事件的作案手法类似,“后者被广泛认为是与朝鲜民主主义人民共和国有关联的行为者所为”。
Protos 已联系 Drift 征求意见,如有任何回复,我们将更新本文。
