Drift Protocol 遭黑客攻击，损失 2.85 亿美元

2026 年 4 月 1 日，Solana 生态去中心化永续合约交易所 Drift Protocol 遭受黑客攻击，累计被盗资产约 2.85 亿美元。攻击者通过获取协议多签钱包的管理员权限，在一小时内将多个资金池中的 USDC、SOL、cbBTC、WETH 等资产清空，并跨链转移至以太坊网络兑换为约 12.9 万枚 ETH（价值约 2.78 亿美元）。截至 2026 年 4 月 2 日，被盗资金已分散存储于 4 个以太坊地址，协议总锁定价值（TVL）从 5.5 亿美元骤降至约 2.55 亿美元，该事件成为 2026 年 DeFi 领域单笔损失最大的安全事件。

攻击时间线与技术路径

攻击并非突发，而是经历约八天的准备周期。链上数据显示，攻击者钱包地址 HkGz4K… 于 2026 年 3 月 24 日创建，通过 NEAR Intents 跨链系统获得初始资金，并向 Drift Vault 发送一笔小额测试交易（约 2.52 美元）以验证合约控制权限。攻击窗口于 4 月 1 日 16:00 UTC 正式开启：

• 第一笔交易从 Drift 金库转出约 4,170 万枚 JLP 代币（价值约 1.556 亿美元）。
• 后续约 11 笔协调交易在 60 分钟内陆续提取 USDC、SOL、cbBTC、wBTC、WETH 等资产，累计总额 2.85 亿美元。

技术路径上，攻击者并未利用智能合约代码漏洞，而是通过获取多签钱包管理员权限，依次完成以下操作：铸造假代币 CVT → 操纵预言机价格 → 禁用安全模块 → 提取高价值资产。

多签机制与时间锁缺失的核心漏洞

本次攻击的直接原因是 Drift 协议在多签管理配置上的安全缺陷。安全机构慢雾（SlowMist）的复盘报告指出，攻击发生前约一周，Drift 将多签机制调整为「2/5」模式（1 个旧签名者加 4 个新签名者），且未设置任何时间锁（Timelock）。

时间锁是一种强制延迟机制，要求高权限配置变更后必须经过 24–48 小时的等待期方可生效，为社群和安全机构提供异常检测的缓冲窗口。缺少时间锁意味着一旦新签名者的私钥被窃取或遭到恶意控制，攻击者可立即执行管理员级别操作。攻击者利用旧多签中唯一的原签名者与另一名新增签名者协同签名，将管理员权限转移至自身控制的地址，从而绕过所有用户层面的安全保护。

资金跨链转移与 ETH 转换的洗钱逻辑

攻击得手后，攻击者启动资金处置流程：

1. 跨链转移：通过 Wormhole 等跨链协议将 Solana 链上的多币种资产转移至以太坊网络。
2. 统一兑换：在以太坊去中心化交易所上将 USDC、SOL、wBTC 等资产全部兑换为 ETH。
3. 地址分散：约 12.9 万枚 ETH（价值约 2.78 亿美元）被分散存储于 4 个以太坊地址。

选择 ETH 作为最终资产的逻辑包括：以太坊网络流动性最高，便于快速变现；将多币种赃款统一为单一资产可切断原始资金的链上追踪轨迹；地址分散化降低单一地址被全部冻结的风险。部分 USDC 在以太坊网络上被发行方 Circle 冻结，但占被盗总额的比例极低。

对 Drift 协议 TVL 与 Solana 生态的冲击

事件对 Drift 协议的直接财务冲击体现在 TVL 数据上。根据 DeFiLlama 统计：

时间点 (UTC)

TVL (美元)

4月1日 00:00

约 5.5 亿

4月1日 22:41

约 2.55 亿

TVL 腰斩意味着流动性池规模缩减，将导致交易滑点上升、资金效率下降，进而压缩协议的交易量与手续费收入。从更宏观的 Solana 生态视角看，本次事件是自 2022 年 Wormhole 桥攻击（3.26 亿美元）以来该生态最大规模的 DeFi 安全事件。2026 年 1 月至 3 月，15 个 DeFi 协议累计损失约 1.37 亿美元，而 Drift 单次事件损失约为该金额的两倍，同时远超此前单次最大损失纪录 2,730 万美元。

稳定币发行方的干预角色与监管灰色地带

事件中，稳定币发行方 Circle 的响应速度引发行业讨论。攻击发生后，部分 USDC 在以太坊网络上被 Circle 冻结，但大量通过跨链桥转移的 USDC 因未经过 Circle 的直接托管地址而未被及时拦截。链上侦探 ZachXBT 对此提出批评，认为 Circle 在跨链 USDC 的冻结机制上存在响应滞后。

这一争议暴露了 DeFi 安全事件中的一个监管灰色地带：稳定币发行方在跨链环境下的主动干预义务缺乏明确的法律框架与行业共识。目前，Circle 等发行方仅能冻结其原生链（以太坊）上由 Circle 直接托管地址控制的 USDC，对于通过 Wormhole 等第三方跨链桥生成的「桥接 USDC」或跨链后的封装资产，发行方不具备直接冻结权限。该案例可能推动监管机构对稳定币发行方的风险响应义务提出更具体的要求。

结语

Drift 攻击事件的核心结构性矛盾在于：DeFi 协议在用户侧以非托管和无需信任为卖点，但在管理层级上往往保留高度集中的管理员权限（通常称为「上帝密钥」）。攻击者获得管理员权限后，能够在单笔交易中完成创建假市场、操纵预言机价格、解除提现限制三项高危操作，表明协议缺乏多层次验证机制、操作延迟阈值与实时风控触发条件。

值得注意的是，Drift 协议在 2022 年的 v1 版本中曾因类似的管理权限问题损失 1,450 万美元，团队事后进行了全额赔偿并发布了技术复盘。四年后相同模式的问题以更大规模重现，表明即使经过复盘和迭代，核心安全架构中的权限集中化风险仍未得到根本解决。

FAQ

问：Drift Protocol 被盗的 2.85 亿美元是否有可能追回？

截至 2026 年 4 月 2 日，被盗资金已被跨链转移至以太坊网络、兑换为 ETH 并分散存储于 4 个地址。2026 年 DeFi 安全事件的整体资金追回率不足 7%（1.37 亿美元中仅追回 900 万美元）。由于攻击者采用了成熟的多地址分散与跨链洗钱路径，技术追回的可行性极低。

问：此次攻击是否影响其他 Solana 生态 DeFi 协议的安全性？

本次攻击源于 Drift 协议自身在多签配置与时间锁机制上的特定漏洞，并非 Solana 底层区块链或通用智能合约标准的系统性缺陷。然而，事件将显著放大审计机构与用户对 Solana 生态内其他 DeFi 协议管理层权限配置的审查力度，可能引发短期内 TVL 的跨协议再分配。

问：协议开发者应如何防止类似的管理员权限攻击？

行业安全标准建议包括三项核心措施：第一，为所有高权限配置变更设置至少 24 小时的时间锁，并配套自动化监控告警；第二，采用至少 4/7 或更高阈值的多签方案，签名者私钥应使用硬件安全模块（HSM）存储并物理隔离；第三，部署链上实时风控模块，当单笔交易涉及管理员操作且金额超过预设阈值时自动触发延迟执行与社群验证流程。