12分钟内,2850亿韩元消失了。
四天前,基于 Solana 的去中心化永续期货交易所 Drift Protocol 遭遇大规模骇客攻击。据安全分析公司 TRM Labs 称,攻击者在短短 12 分钟内窃取了价值 2.85 亿美元(约 3,948 亿韩元)的资金。 Drift 不得不透过其官方管道发布紧急声明,声明中罕见地写道:“这不是愚人节玩笑。”
这次损失规模是今年DeFi领域史上最大的骇客攻击事件,也是Solana史上第二大骇客攻击事件,仅次于2022年Wormhole Bridge骇客攻击事件(损失金额达3.26亿美元)。
攻击发生后,Drift 的总锁定价值 (TVL) 立即从 5.5 亿美元暴跌至 2.4 亿美元左右。 DRIFT 代币的价格在 24 小时内暴跌高达 47%,跌至 0.04 美元左右。
这不是程式码漏洞,而是违反了管理规定。
这次攻击并非典型的利用智能合约程式码漏洞的骇客攻击事件。攻击者将「社会工程学」与 Solana 的常规功能「持久随机数」(Durable Nonce)结合,从而控制了整个治理结构。
准备工作始于三周前。 3月11日,攻击者从以太坊混合者Tornado Cash中提取了ETH,并用其发行了一种名为「Carbonboat Token (CVT)」的完全虚构的资产。区块链分析师指出,CVT的发行时间戳与平壤时间上午9点相符,TRM Labs和Elliptic分别独立评估认为,这次攻击的手法与北韩相关骇客组织的惯用手法一致。
随后,攻击者在Raydium去中心化交易所(DEX)上为CVT设定了极低的流动性,并透过洗钱交易抬高了价格。接著,在3月23日至30日期间,他们欺骗了Drift Security Council的多重签名者,取得了表面上看似普通的交易的预签名。这些签名实际上变成了“保留执行金钥”,攻击者可以随时立即执行。
这个严重漏洞是 Drift 本身在 3 月 27 日造成的。当天,Drift 完全移除了 Timelock,并将安全委员会的签名结构切换为 2/5。 Timelock 是一种安全机制,它强制管理员操作延迟 24 至 72 小时,从而为检测异常行为提供了机会。 Timelock 移除后,攻击者预先签署的交易立即生效。
4月1日,攻击者将CVT注册为有效抵押品,提高了提现限额,并存入数亿美元的CVT,从Drift的风险引擎中提取真实资产。被窃资产包括USDC、SOL、JLP、WBTC等,攻击者先在Solana上将这些资产兑换成USDC,然后透过CCTP(跨链转帐协定)将其桥接到以太坊,最终兑换成ETH。
尽管 CVT 协议通过了 Trail of Bits (2022 年) 和 ClawSecure (2026 年 2 月) 的安全审计,但 CVT 的市场推广和最近的治理变化却逃过了审计网络。
传染迅速蔓延。
Drift的攻击迅速蔓延到直接涉及的协议之外。连锁反应导致超过20个Solana协定受到影响。
与 Drift 直接或间接相关的协议披露了损失程度并采取了紧急措施。 Carrot Protocol 在其总锁定价值 (TVL) 的 50% 受到影响后暂停了增发和赎回功能。 Pyra Protocol 完全阻止了提现。 Ranger Finance 确认损失超过 90 万美元,并暂停了 RGUSD 的充值和提现。 Prime Numbers Fi 报告了数百万美元的损失。 PiggyBank 立即动用团队资金弥补了 10.6 万美元的损失。
即使是未直接受到影响的协议也未能幸免。 Solana 的 DeFi 总锁定价值 (TVL) 在漏洞确认后的几个小时内就下降了约 10 亿美元,至 65.44 亿美元。一些与此漏洞事件没有直接关联的大型协议,例如 Jito (-4.3%)、Raydium (-4.33%) 和 Sanctum (-3.83%),也出现了资金外流。
在去中心化金融(DeFi)中,信任运作于生态系统层面,而非协议层面。用户无需等待二次确认,即可先提现,之后再做决定。
SOL价格也直接受到影响。
Solana (SOL) 也遭受了直接冲击。 4月2日,SOL 的交易价格在 78 美元至 83 美元之间波动,24 小时内下跌超过 6%。当周跌幅达 11%,成为主要加密货币中跌幅最大的币种。同日,美国现货 Solana ETF 录得 784 万美元的净流出,创下史上第四大单日资金流出纪录。
然而,一个变数是宏观经济环境也同时恶化,WTI原油价格飙升了13%,因为川普总统威胁对伊朗采取军事行动的言论恰逢DeFi骇客攻击的冲击。
治理成为一种新的攻击途径。
这次骇客攻击带来的最深刻教训是攻击手段的转变。它再次证实,治理结构和人为判断可能比智慧合约漏洞更容易受到攻击。
移除时间锁、更改多重签名配置以及在经过审计的程式码背后实施社会工程攻击,这些行为都表明,仅靠技术安全审计无法预防的攻击已经成为现实。整个产业越来越强烈地呼吁重新定义治理设计、金钥管理以及强制实施时间锁的相关标准。
在去中心化金融(DeFi)中,首先损失的是资金,其次是信任。而信任的恢复速度远慢于总锁定价值(TVL)。
【经济分析】从通膨冲击到需求崩溃…“关注军情,而非推特”
查看完整 Alpha 报告 →<版权所有 ⓒ TokenPost,未经授权禁止复制和传播>
