【議題】關於 Drift Protocol 黑客事件的反思 作者：Calvin - 2026 年 4 月 1 日 16:05 UTC，領先的基於 Solana 的永續去中心化交易所 Drift Protocol 遭遇了一次價值約 2.85 億美元的攻擊。這是一次精心策劃的抵押品操縱攻擊，攻擊者利用竊取的管理員密鑰在新現貨市場上掛出毫無價值的代幣，繞過提現安全機制，然後利用篡改後的抵押品價值提取了大量真實資產。 - 這次攻擊結合了使用持久隨機數 (nonce) 保護預簽名和複雜的社會工程學手段。從3月23日開始，攻擊者為兩個多重簽名用戶和兩個攻擊者控制的賬戶創建了持久隨機數賬戶，並在3月27日正常的多重簽名操作結束後，重新獲得了新多重簽名用戶的簽名權限。攻擊者通過偽造交易從合法簽名用戶處獲取預簽名，將其存儲在持久隨機數中，並在4月1日分批執行這些預簽名以奪取管理員權限。經確認，此次事件不存在種子語法洩露或智能合約漏洞。 - 此次事件是繼Resolv漏洞事件發生僅10天后，又一起重大運營安全事故。Resolv漏洞的崩潰是由於其缺乏多重簽名機制，而Drift漏洞雖然具備多重簽名機制，但由於閾值過低且缺乏額外的安全機制而崩潰。這兩起連續發生的事件表明，亟需對授權結構進行根本性的重新設計。 🌎 完整文章（網站） 📱 文章摘錄（X） FP網站 | Telegram（英文/韓文） | X（英文/韓文）