2026年4月1日,一家基于Solana的永续期货交易所在12分钟内损失了2.86亿美元。此前,攻击者花了三周时间悄然制造虚假抵押品,并对该协议的签署人实施了社会工程学攻击。过去几天里,这起事件已成为加密货币圈最热议的话题。
2026年Drift Protocol黑客攻击事件:事件经过、受损方及后续发展
分享
朝鲜“Lazarus”组织涉嫌参与Drift Protocol 2.86亿美元Solana盗窃案
作为索拉纳网络上最大的去中心化永续期货交易所,Drift Protocol在目睹其总锁仓价值(TVL)于一个早晨内从约5.5亿美元暴跌至2.5亿美元以下后,确认了此次攻击事件。目前TVL已降至2.32亿美元。Bitcoin.com News最先报道了此事。 随后数小时内,DRIFT代币暴跌37%至42%,最低跌至0.04至0.05美元区间。
报道指出,此次攻击并非源于代码漏洞,而是始于一次Tornado Cash的提现操作。3月11日,攻击者从该基于以太坊的隐私协议中提取了ETH,并于3月12日利用这些资金部署了carbonvote代币(CVT)。区块链分析师注意到,该代币的部署时间戳对应平壤时间约09:00,这一细节立即引发了警觉。
多份报告详细描述,在随后的三周内,攻击者在Raydium去中心化交易所为CVT注入了极少的流动性,并通过对冲交易将价格维持在1.00美元左右。Drift的预言机将该价格识别为有效。攻击者构建了虚假抵押品,在所有监控该资产的自动化系统看来都真实无误。
“今天早些时候,一名恶意攻击者通过一种涉及持久性随机数的创新攻击手段,未经授权入侵了Drift协议,导致Drift安全委员会的管理权限被迅速接管,”Drift团队写道。 该项目的X账号补充道:
“这是一次极其复杂的行动,似乎经过数周的准备并分阶段实施,包括利用持久性随机数账户预先签署交易以延迟执行。”
据称,在3月23日至3月30日期间,Drift的攻击者转向了人为操作层面。据报道,攻击者利用Solana平台名为“持久性随机数”(durable nonces)的合法功能,诱使Drift安全委员会的多签成员预先签署看似常规的交易。这些签名成为预先批准的访问密钥,被保留待用,直至攻击者准备就绪。
这一后门于3月27日被关闭,当时Drift将其安全委员会的签名阈值调整为5人中2人同意,并完全移除了时间锁。时间锁通常会对管理操作强制延迟24至72小时,以便社区有时间发现并撤销任何可疑操作。在没有时间锁的情况下,攻击者获得了零延迟的执行权限。一旦时间锁被移除,预签名的交易便立即生效。
4月1日,攻击者激活了这些交易,将CVT列为有效抵押品,提高了提现限额,并存入数亿CVT代币,Drift的风险引擎据此发放了真实资产。该协议移交了数百万JLP代币、数百万USDC、数百万SOL,以及少量包装比特币和以太坊。31笔提现交易在约12分钟内完成。
攻击者利用Jupiter将窃取的代币兑换为USDC,通过跨链桥转至以太坊网络,并兑换成数万枚ETH。部分资金经由Hyperliquid转出,另有部分直接转入币安。4月3日,Drift从一个以太坊地址向四个由黑客控制的钱包发送了一条链上消息。媒体cryptonomist.ch报道称,该消息内容为:
“我们准备好对话了。”
安全公司Elliptic和TRM Labs将此次攻击归因于与朝鲜有关联的威胁行为者,理由包括Tornado Cash的来源、平壤时间的部署特征、对社会工程学的侧重,以及攻击后的洗钱速度。Lazarus集团在2022年Ronin桥攻击中也采用了同样的耐心和针对人的方法。 美国政府已将这些盗窃案与朝鲜武器计划的资金来源联系起来,而Elliptic追踪数据显示,仅2026年第一季度被盗金额就超过3亿美元。 此次攻击波及20多个协议。Prime Numbers Fi报告称损失达数百万美元。Carrot Protocol在总锁仓价值(TVL)受损50%后暂停了铸造和赎回功能。 Pyra Protocol 彻底关闭了提现功能,导致所有用户资金无法动用。Piggybank 损失了 10.6 万美元,并从团队自有金库中向用户进行了赔偿。 在纳斯达克上市且采用 Solana 金库策略的 DeFi Development Corp. 于 4 月 1 日确认,其并未持有 Drift 相关资产。该公司的风险框架完全排除了该协议。这一事实引发的关注程度,恐怕超出了公司的预期。
Drift Protocol 遭 SOL 漏洞攻击,逾 2 亿美元被盗:2026 年最大的 DeFi 黑客攻击事件?
据报道,2026年4月1日,Solana上的Drift Protocol在一次疑似漏洞攻击中损失了超过2亿美元。该项目的原生代币价格大幅下跌。 read more.
立即阅读
Drift Protocol 遭 SOL 漏洞攻击,逾 2 亿美元被盗:2026 年最大的 DeFi 黑客攻击事件?
据报道,2026年4月1日,Solana上的Drift Protocol在一次疑似漏洞攻击中损失了超过2亿美元。该项目的原生代币价格大幅下跌。 read more.
立即阅读Drift Protocol 遭 SOL 漏洞攻击,逾 2 亿美元被盗:2026 年最大的 DeFi 黑客攻击事件?
立即阅读据报道,2026年4月1日,Solana上的Drift Protocol在一次疑似漏洞攻击中损失了超过2亿美元。该项目的原生代币价格大幅下跌。 read more.
Drift事件带来了一条明确的教训,尽管业内大多数人早已知晓却未完全落实:时间锁绝非可有可无。3月27日移除这一唯一防护措施,将一场复杂且持续数周的攻击转化为12分钟的套现行动。缺乏延迟机制的协议治理,无异于敞开大门。
此次 DeFi 攻击后的 48 小时被视为 Drift 能否维系用户信任并规划恢复路径的关键时期。截至 4 月 3 日,尚未公布任何全面的赔偿方案。
常见问题 🔎
- Drift Protocol发生了什么?2026年4月1日,攻击者利用虚假抵押品和预签名的管理交易,在12分钟内清空了Drift Protocol的核心金库,盗取了2.86亿美元。
- 谁应对 Drift Protocol 遭黑客攻击负责?包括 Elliptic 和 TRM Labs 在内的多家安全公司,根据洗钱模式及与 Lazarus Group 惯用手法一致的链上时间戳,将此次攻击归因于与朝鲜(DPRK)有关联的威胁行为者。
- 我在 Drift Protocol 上的资金安全吗?Drift 在攻击发生后暂停了所有存取款操作;截至 2026 年 4 月 3 日,Pyra 和 Carrot 等受影响协议的用户仍无法提取资金。
- Solana DeFi中的持久性随机数攻击是什么?持久性随机数攻击利用Solana的一项合法功能,预先签署看似常规的交易,并将这些交易作为有效的授权密钥保留,直到攻击者选择执行它们。
