Drift Protocol 遭駭客攻擊，損失 2.85 億美元

2026 年 4 月 1 日，Solana 生態去中心化永續合約交易所 Drift Protocol 遭受駭客攻擊，累計被盜資產約 2.85 億美元。攻擊者透過取得協議多簽錢包的管理員權限，在一小時內將多個資金池中的 USDC、SOL、cbBTC、WETH 等資產清空，並跨鏈轉移至以太坊網路兌換為約 12.9 萬枚 ETH（價值約 2.78 億美元）。截至 2026 年 4 月 2 日，被盜資金已分散存儲於 4 個以太坊地址，協議總鎖定價值（TVL）從 5.5 億美元驟降至約 2.55 億美元，此事件成為 2026 年 DeFi 領域單筆損失最大的安全事件。

攻擊時間線與技術路徑

攻擊並非突發，而是經歷約八天的準備週期。鏈上數據顯示，攻擊者錢包地址 HkGz4K… 於 2026 年 3 月 24 日建立，透過 NEAR Intents 跨鏈系統取得初始資金，並向 Drift Vault 發送一筆小額測試交易（約 2.52 美元）以驗證合約控制權限。攻擊窗口於 4 月 1 日 16:00 UTC 正式開啟：

• 第一筆交易從 Drift 金庫轉出約 4,170 萬枚 JLP 代幣（價值約 1.556 億美元）。
• 後續約 11 筆協調交易在 60 分鐘內陸續提取 USDC、SOL、cbBTC、wBTC、WETH 等資產，累計總額 2.85 億美元。

技術路徑上，攻擊者並未利用智慧合約程式碼漏洞，而是透過取得多簽錢包管理員權限，依序完成以下操作：鑄造假代幣 CVT → 操縱預言機價格 → 停用安全模組 → 提取高價值資產。

多簽機制與時間鎖缺失的核心漏洞

本次攻擊的直接原因是 Drift 協議在多簽管理設定上的安全缺陷。安全機構慢霧（SlowMist）的複盤報告指出，攻擊發生前約一週，Drift 將多簽機制調整為「2/5」模式（1 個舊簽名者加 4 個新簽名者），且未設定任何時間鎖（Timelock）。

時間鎖是一種強制延遲機制，要求高權限設定變更後必須經過 24–48 小時的等待期方可生效，為社群與安全機構提供異常偵測的緩衝窗口。缺少時間鎖意味著，一旦新簽名者的私鑰被竊取或遭到惡意控制，攻擊者可立即執行管理員級別操作。攻擊者利用舊多簽中唯一的原簽名者與另一名新增簽名者協同簽署，將管理員權限轉移至自身控制的地址，從而繞過所有使用者層面的安全保護。

資金跨鏈轉移與 ETH 轉換的洗錢邏輯

攻擊得手後，攻擊者啟動資金處置流程：

1. 跨鏈轉移：透過 Wormhole 等跨鏈協議將 Solana 鏈上的多種資產轉移至以太坊網路。
2. 統一兌換：在以太坊去中心化交易所上將 USDC、SOL、wBTC 等資產全部兌換為 ETH。
3. 地址分散：約 12.9 萬枚 ETH（價值約 2.78 億美元）被分散存儲於 4 個以太坊地址。

選擇 ETH 作為最終資產的邏輯包括：以太坊網路流動性最高，便於快速變現；將多種幣種贓款統一為單一資產可切斷原始資金的鏈上追蹤軌跡；地址分散化降低單一地址被全部凍結的風險。部分 USDC 在以太坊網路上被發行方 Circle 凍結，但占被盜總額的比例極低。

對 Drift 協議 TVL 與 Solana 生態的衝擊

事件對 Drift 協議的直接財務衝擊體現在 TVL 數據上。根據 DeFiLlama 統計：

時間點 (UTC)

TVL (美元)

4月1日 00:00

約 5.5 億

4月1日 22:41

約 2.55 億

TVL 腰斬意味著流動性池規模縮減，將導致交易滑點上升、資金效率下降，進而壓縮協議的交易量與手續費收入。從更宏觀的 Solana 生態視角看，本次事件是自 2022 年 Wormhole 橋攻擊（3.26 億美元）以來該生態最大規模的 DeFi 安全事件。2026 年 1 月至 3 月，15 個 DeFi 協議累計損失約 1.37 億美元，而 Drift 單次事件損失約為該金額的兩倍，同時遠超此前單次最大損失紀錄 2,730 萬美元。

穩定幣發行方的介入角色與監管灰色地帶

事件中，穩定幣發行方 Circle 的回應速度引發業界討論。攻擊發生後，部分 USDC 在以太坊網路上被 Circle 凍結，但大量透過跨鏈橋轉移的 USDC 因未經過 Circle 的直接託管地址而未被及時攔截。鏈上偵探 ZachXBT 對此提出批評，認為 Circle 在跨鏈 USDC 的凍結機制上存在回應延滯。

這場爭議凸顯了 DeFi 安全事件中的一個監管灰色地帶：穩定幣發行方在跨鏈環境下的主動介入義務缺乏明確的法律框架與業界共識。目前，Circle 等發行方僅能凍結其原生鏈（以太坊）上由 Circle 直接託管地址控制的 USDC，對於透過 Wormhole 等第三方跨鏈橋生成的「橋接 USDC」或跨鏈後的封裝資產，發行方不具備直接凍結權限。該案例可能推動監管機構對穩定幣發行方的風險回應義務提出更具體的要求。

結語

Drift 攻擊事件的核心結構性矛盾在於：DeFi 協議在使用者端以非託管、無需信任作為賣點，但在管理層級上往往保留高度集中的管理員權限（通常稱為「上帝密鑰」）。攻擊者取得管理員權限後，能夠在單筆交易中完成建立假市場、操縱預言機價格、解除提款限制三項高風險操作，表明協議缺乏多層次驗證機制、操作延遲閾值與即時風控觸發條件。

值得注意的是，Drift 協議在 2022 年的 v1 版本中曾因類似的管理權限問題損失 1,450 萬美元，團隊事後進行了全額賠償並發布了技術複盤。四年後相同模式的問題以更大規模重現，表明即使經過複盤與迭代，核心安全架構中的權限集中化風險仍未得到根本解決。

FAQ

問：Drift Protocol 被盜的 2.85 億美元是否有可能追回？

截至 2026 年 4 月 2 日，被盜資金已被跨鏈轉移至以太坊網路、兌換為 ETH 並分散存儲於 4 個地址。2026 年 DeFi 安全事件的整體資金追回率不足 7%（1.37 億美元中僅追回 900 萬美元）。由於攻擊者採用了成熟的多地址分散與跨鏈洗錢路徑，技術追回的可行性極低。

問：此次攻擊是否影響其他 Solana 生態 DeFi 協議的安全性？

本次攻擊源於 Drift 協議自身在多簽設定與時間鎖機制上的特定漏洞，並非 Solana 底層區塊鏈或通用智慧合約標準的系統性缺陷。然而，事件將顯著放大稽核機構與使用者對 Solana 生態內其他 DeFi 協議管理層權限設定的審查力度，可能引發短期內 TVL 的跨協議再分配。

問：協議開發者應如何防止類似的管理員權限攻擊？

業界安全標準建議包含三項核心措施：第一，為所有高權限設定變更設定至少 24 小時的時間鎖，並配套自動化監控告警；第二，採用至少 4/7 或更高閾值的多簽方案，簽名者私鑰應使用硬體安全模組（HSM）儲存並物理隔離；第三，部署鏈上即時風控模組，當單筆交易涉及管理員操作且金額超過預設閾值時自動觸發延遲執行與社群驗證流程。