#DriftProtocolHacked

#Gate广场四月发帖挑战
六個月籌劃的 $285 百萬劫案
2026年4月1日原本該是個笑話。這個日期讓 Drift Protocol 的第一則貼文看起來不真實，因為他們確認平台正在遭受攻擊。當訊息上線時，損失早已造成。$200 百萬和 $285 百萬之間的資金已被抽走。這不是什麼智慧合約漏洞或倉促部署的結果；而是一場持續數月、以精準與耐心運作的社交工程攻擊行動。攻擊者參加會議、建立關係、投入資本，並在執行最後一步前，將自己定位成值得信賴的參與者。當他們採取行動時，資金在幾分鐘內完成抽提。
Drift Protocol 是什麼？以及風險何在？
Drift Protocol 是 Solana 上最大的去中心化永續期貨交易所。它允許用戶在沒有中心化對手方的情況下交易槓桿部位。在攻擊發生當時，其總鎖倉價值約為 $550 百萬。這不只是重要的協議，更是 Solana DeFi 流動性的關鍵支柱。當 Drift 被攻破，影響就擴散到整個生態系統。TVL（總鎖倉價值）在數小時內從 $550 百萬下跌到低於 $250 百萬。這並非孤立事件。它影響了多個依賴 Drift 流動性與定價架構的協議。
六個月的佈局
攻擊早在數月前就開始了，當時有人以量化交易公司自居。他們參加產業活動，與團隊成員互動，並隨時間逐步建立可信度。他們向協議存入超過 $1 百萬，建立信任。隨著時間推移，他們逐漸接近參與治理與基礎設施的貢獻者。此次受攻是透過惡意的儲存庫以及針對具高權限個人的假錢包應用程式完成的。等到利用程式發生時，攻擊者早就取得了他們所需要的一切。
耐用隨機數如何成為武器
此次攻擊的技術核心涉及 Solana 的耐用隨機數（durable nonces）功能。一般而言，交易因為區塊雜湊（blockhash）生命週期很短而很快過期。耐用隨機數允許交易在更長的期間內仍保持有效，從而實現延遲執行。這項功能對合法用途很有幫助，但在這次利用中成為關鍵工具。在攻破安全委員會成員之後，攻擊者取得了看似例行的交易之有效簽名。這些交易在數週前就已完成預先簽署。由於使用了耐用隨機數，它們不會過期。當交易執行時，它們具備完整授權。系統運作完全符合設計，但情境已被操控。
資金抽提
一旦執行開始，攻擊者就動作迅速。資產以結構化方式被抽走，以最大化價值。Jupiter 流動性池的代幣占了很大一部分，此外還有 USDC、包裹比特幣（wrapped Bitcoin）以及 SOL。多樣化降低了立即被發現與介入的機率。幾分鐘內，就有數億資金離開協議。監控系統雖然標記了異常活動，但反應時間不足以阻止預先授權的交易。
USDC 轉移爭議
大量資金約 $230 百萬以 USDC 形式存在。這些資金透過跨鏈基礎設施在數小時內從 Solana 橋接到 Ethereum。這引發了重大爭議。發行方具備凍結與漏洞相關資金的能力，卻沒有在該時間窗口內採取行動。資金轉移透過多筆交易一路持續，直到完成。這引發了關於回應責任與去中心化生態系統內集中控制的限制之嚴肅問題。
市場影響
市場反應立刻出現。DRIFT 代幣在數小時內急劇下跌，價值幾乎腰斬。總鎖倉價值崩潰，因為用戶趕緊撤回資金。由於曝露於 Drift 的流動性，超過十個基於 Solana 的協議出現中斷。整體生態系統因風險在相互連結的平台間蔓延而出現信心下滑。此次事件凸顯了 DeFi 系統之間已變得多麼緊密耦合。
這次攻擊揭示了什麼
這次漏洞利用並不是關於程式碼被破壞。而是關於一個依賴人類協調的系統中，信任被破壞。多簽（multisig）安全模型並未被繞過，而是使用透過欺騙取得的合法簽名來達成要求。治理架構按原本設計運作，但決策層卻被操控。這暴露了 DeFi 的一個關鍵弱點。審計能驗證程式碼，但無法保證授權人員不會被社交工程所影響。
最後的話
Drift Protocol 的漏洞利用帶來一個清楚的教訓。DeFi 的安全不只是智慧合約的問題。它關乎人、流程與假設。為了彈性而設計的功能，如果被濫用，就可能成為攻擊途徑。治理結構的強度取決於背後的人。損失 $285 百萬固然重大，但更深層的影響在於它所揭示的內容。產業現在必須正視現實：人為層面的弱點，遠比技術層面的弱點更難以防禦。#GateSquareAprilPostingChallenge #CryptoMarketSeesVolatility #OilPricesRise