昨天,基於 Solana 的加密貨幣交易所 Drift Protocol 遭到黑客攻擊,損失金額約為 2.8 億美元。此次攻擊持續數週,很可能是利用社會工程手段獲取了多個多重簽名者的授權。
4月1日晚上7點(UTC+1),Drift宣佈協議上出現“異常活動”,並提醒用戶避免充值。Drift強調:“這不是愚人節玩笑。”
此前,X 用戶發出警告,稱 Drift 漏洞正在被利用,而且這種利用將會非常嚴重。
Drift隨後證實其正遭受攻擊,並將暫停存款和取款服務。研究人員開始推測Drift的私鑰可能已被洩露。
Drift Protocol 目前正遭受攻擊。充值和提現功能已暫停。我們正與多家安全公司、橋接器和交易所協調,以控制此次事件。這不是愚人節玩笑。我們將通過此賬號發佈更多更新信息…… https://t.co/03SRPq4fHj
— Drift (@DriftProtocol) 2026年4月1日
Drift 隨後分享了事件經過的詳細時間線。
報告稱:“這是一起高度複雜的行動,似乎涉及數週的準備和分階段執行,包括使用持久性隨機賬戶預先簽署交易,從而延遲執行。”
該公司聲稱,此次攻擊並非由 Drift 的程序或智能合約中的漏洞引起,也沒有證據表明助記詞已被洩露,並且此次攻擊涉及在黑客攻擊執行之前未經授權的交易批准。
然而,該公司承認,這些批准很可能是通過對其員工進行社會工程攻擊和操縱“持久隨機數機制”而促成的。
Drift到底發生了什麼事
持久隨機數機制是一種區塊鏈工具,可以繞過區塊哈希簽名,並促進離線轉換籤名。
Drift 聲稱,3 月 23 日創建了四個持久 nonce 帳戶,其中兩個與 Drift 安全委員會多重簽名成員有關,另外兩個與攻擊者控制的帳戶有關。
以下是事件時間線。
— Drift (@DriftProtocol) 2026年4月2日
3月23日:初始隨機數設置
創建了四個持久性隨機數賬戶:
– 兩名與漂移安全理事會多簽名成員有關聯的成員
– 兩個與攻擊者控制的賬戶有關
相關賬戶:
一個。…
然後,3月27日,“由於安理會成員變更,Drift執行了計劃中的安理會成員遷移。”
三天後,為更新後的多重簽名組中的一個成員創建了另一個持久 nonce 帳戶,使攻擊者“能夠有效訪問更新後的多重簽名組中 5 個簽名者中的 2 個”。
行刑日
Drift 聲稱,4 月 1 日,它對保險基金進行了一次測試性提款。隨後,攻擊者利用多重簽名授權,在幾分鐘內執行了一次“惡意管理員轉賬,從而獲得了協議級權限”。
攻擊者隨後可以“利用該控制權引入惡意資產,並取消所有預設的提款限制,從而攻擊現有資金”。
Drift公司尚未透露此次疑似社交工程攻擊的具體細節。這類攻擊有時可能是攻擊者偽裝身份,通過私信、電子郵件或電話等方式誘騙他人授予關鍵權限。
Drift的合作伙伴Circle尚未凍結資金。
該事件引起了加密貨幣調查員 ZachXBT 的批評,他對穩定幣公司 Circle 凍結被盜資金的緩慢行動提出了質疑。
Drift 於 2023 年集成了 Circle 的跨鏈轉賬協議 (CTTP)。ZachXBT 指出,“在 Drift 遭受九位數黑客攻擊期間,數以百萬計的USDC通過 CCTP 從Solana兌換到以太坊,而 Circle 卻在美東時間的幾個小時內處於休眠狀態。”
他說:“Circle 花了 6 個小時才凍結了從 Drift 黑客事件中被盜的超過 2.8 億美元的資金。”
其他用戶對該協議的“去中心化”分類提出了異議,因為此次攻擊似乎利用了中心化機制。
其他用戶則對 Drift 僅要求五項 MultiG 授權中的兩項即可完成交易感到不滿。
就在那兒。
— tobi (@tobific) 2026 年 4 月 2 日
罪魁禍首就在這裡。
2/5 多重簽名,500M TVL,沒有時間鎖定,簡直瘋了。
你可能會覺得這是 4/5 多重簽名,但別傻了,這些團隊簡直瘋了,等用戶資金損失殆盡後,他們還會編造一套高深的技術術語來解釋原因。
該平臺表示,正與安全公司、執法部門、橋樑運營商和交易所合作,查明事件真相併凍結被盜資產。平臺還補充說,將在未來幾天內發佈更詳細的報告。
Ledger 的首席技術官已經推測,此次黑客事件的作案手法與去年Bybit黑客事件的作案手法類似,“後者被廣泛認為是與朝鮮民主主義人民共和國有關聯的行為者所為”。
Protos 已聯繫 Drift 徵求意見,如有任何回覆,我們將更新本文。
