12分鐘內,2850億韓元消失了。
四天前,基於 Solana 的去中心化永續期貨交易所 Drift Protocol 遭遇大規模駭客攻擊。據安全分析公司 TRM Labs 稱,攻擊者在短短 12 分鐘內竊取了價值 2.85 億美元(約 3,948 億韓元)的資金。 Drift 不得不透過其官方管道發布緊急聲明,聲明中罕見地寫道:“這不是愚人節玩笑。”
這次損失規模是今年DeFi領域史上最大的駭客攻擊事件,也是Solana史上第二大駭客攻擊事件,僅次於2022年Wormhole Bridge駭客攻擊事件(損失金額達3.26億美元)。
攻擊發生後,Drift 的總鎖定價值 (TVL) 立即從 5.5 億美元暴跌至 2.4 億美元左右。 DRIFT 代幣的價格在 24 小時內暴跌高達 47%,跌至 0.04 美元左右。
這不是程式碼漏洞,而是違反了管理規定。
這次攻擊並非典型的利用智能合約程式碼漏洞的駭客攻擊事件。攻擊者將「社會工程學」與 Solana 的常規功能「持久隨機數」(Durable Nonce)結合,從而控制了整個治理結構。
準備工作始於三週前。 3月11日,攻擊者從以太坊混合者Tornado Cash中提取了ETH,並用其發行了一種名為「Carbonboat Token (CVT)」的完全虛構的資產。區塊鏈分析師指出,CVT的發行時間戳與平壤時間上午9點相符,TRM Labs和Elliptic分別獨立評估認為,這次攻擊的手法與北韓相關駭客組織的慣用手法一致。
隨後,攻擊者在Raydium去中心化交易所(DEX)上為CVT設定了極低的流動性,並透過洗錢交易抬高了價格。接著,在3月23日至30日期間,他們欺騙了Drift Security Council的多重簽名者,取得了表面上看似普通的交易的預簽名。這些簽名實際上變成了“保留執行金鑰”,攻擊者可以隨時立即執行。
這個嚴重漏洞是 Drift 本身在 3 月 27 日造成的。當天,Drift 完全移除了 Timelock,並將安全委員會的簽名結構切換為 2/5。 Timelock 是一種安全機制,它強制管理員操作延遲 24 至 72 小時,從而為檢測異常行為提供了機會。 Timelock 移除後,攻擊者預先簽署的交易立即生效。
4月1日,攻擊者將CVT註冊為有效抵押品,提高了提現限額,並存入數億美元的CVT,從Drift的風險引擎中提取真實資產。被竊資產包括USDC、SOL、JLP、WBTC等,攻擊者先在Solana上將這些資產兌換成USDC,然後透過CCTP(跨鏈轉帳協定)將其橋接到以太坊,最終兌換成ETH。
儘管 CVT 協議通過了 Trail of Bits (2022 年) 和 ClawSecure (2026 年 2 月) 的安全審計,但 CVT 的市場推廣和最近的治理變化卻逃過了審計網絡。
傳染迅速蔓延。
Drift的攻擊迅速蔓延到直接涉及的協議之外。連鎖反應導致超過20個Solana協定受到影響。
與 Drift 直接或間接相關的協議披露了損失程度並採取了緊急措施。 Carrot Protocol 在其總鎖定價值 (TVL) 的 50% 受到影響後暫停了增發和贖回功能。 Pyra Protocol 完全阻止了提現。 Ranger Finance 確認損失超過 90 萬美元,並暫停了 RGUSD 的充值和提現。 Prime Numbers Fi 報告了數百萬美元的損失。 PiggyBank 立即動用團隊資金彌補了 10.6 萬美元的損失。
即使是未直接受到影響的協議也未能倖免。 Solana 的 DeFi 總鎖定價值 (TVL) 在漏洞確認後的幾個小時內就下降了約 10 億美元,至 65.44 億美元。一些與此漏洞事件沒有直接關聯的大型協議,例如 Jito (-4.3%)、Raydium (-4.33%) 和 Sanctum (-3.83%),也出現了資金外流。
在去中心化金融(DeFi)中,信任運作於生態系統層面,而非協議層面。用戶無需等待二次確認,即可先提現,之後再做決定。
SOL價格也直接受到影響。
Solana (SOL) 也遭受了直接衝擊。 4月2日,SOL 的交易價格在 78 美元至 83 美元之間波動,24 小時內下跌超過 6%。當週跌幅達 11%,成為主要加密貨幣中跌幅最大的幣種。同日,美國現貨 Solana ETF 錄得 784 萬美元的淨流出,創下史上第四大單日資金流出紀錄。
然而,一個變數是宏觀經濟環境也同時惡化,WTI原油價格飆升了13%,因為川普總統威脅對伊朗採取軍事行動的言論恰逢DeFi駭客攻擊的衝擊。
治理成為一種新的攻擊途徑。
這次駭客攻擊帶來的最深刻教訓是攻擊手段的轉變。它再次證實,治理結構和人為判斷可能比智慧合約漏洞更容易受到攻擊。
移除時間鎖、更改多重簽名配置以及在經過審計的程式碼背後實施社會工程攻擊,這些行為都表明,僅靠技術安全審計無法預防的攻擊已經成為現實。整個產業越來越強烈地呼籲重新定義治理設計、金鑰管理以及強制實施時間鎖的相關標準。
在去中心化金融(DeFi)中,首先損失的是資金,其次是信任。而信任的恢復速度遠慢於總鎖定價值(TVL)。
【經濟分析】從通膨衝擊到需求崩潰…“關注軍情,而非推特”
查看完整 Alpha 報告 →<版權所有 ⓒ TokenPost,未經授權禁止複製和傳播>
