SlowFog раскрывает цепочку атаки Drift: замена многофакторного механизма подписи, утечка прав администратора

慢雾（SlowMist）于 4 月 2 日发布技术分析，揭示 Drift Protocol 被盗事件的关键前置条件：攻击发生前约一周，Drift 将多签机制进行调整，且未同步设置时间锁保护机制。攻击者随后取得管理员权限，伪造 CVT 代币、操纵预言机并关闭安全模块，从资金池中系统性提取高价值资产。

慢雾还原攻击前兆：无时间锁的多签修改是核心漏洞

（来源：慢雾）

慢雾分析揭示了此次攻击最令人警惕的前置节点：被盗前约一周，Drift 在没有设置任何时间锁的情况下，将多签机制调整为“2/5”模式，同时引入 4 个全新签名者。

时间锁在协议安全设计中是多签机制的必要配套。它在高风险配置变更执行前设置强制等待期（通常 24-48 小时或更长），使社群和安全机构有足够时间发现异常并介入。缺少时间锁意味着一旦新签名者的私钥被窃取或遭到恶意控制，攻击者可以在无任何等待缓冲的情况下立即执行管理员级别的操作。

被盗前一周发生的多签架构修改（引入 4 个新签名者），在时机上高度可疑，是此次安全分析中最受关注的预警节点。

攻击步骤还原：从管理员泄漏到 105,969 枚 ETH 被盗

根据慢雾的技术分析，攻击者在取得管理员控制权后，按以下步骤系统性执行了资产清空：

伪造 CVT 代币：在协议内部伪造虚假代币，绕过正常的资产验证逻辑

操纵预言机（Oracle）：更改协议的外部价格来源，使链上定价失真，为后续提取创造有利条件

关闭安全机制：停用协议内置的风控和安全限制模块，消除资产提取的障碍

转移高价值资产：从资金池中系统性地提取高流动性资产，完成最终的资产清空

目前被盗资金已主要归集至以太坊地址，合计约 105,969 枚 ETH（约 2.26 亿美元），慢雾表示相关资金流向仍在持续追踪中。

ZachXBT 点名 Circle：数小时不冻结 USDC 遭业界强烈批评

链上侦探 ZachXBT 在同日对 Circle 发出强烈批评。他指出，在 Drift 被盗期间的美国交易时段，数十万美元规模的 USDC 通过跨链协议从 Solana 桥接至以太坊，整个过程“持续数小时却无人干预”，相关资金已完成全部转移而 Circle“再次未采取任何措施”。

ZachXBT 同时揭示 Circle 此前的另一个问题：Circle 曾错误冻结超过 16 个业务热钱包，相关解冻程序至今仍在进行中。他点名 Circle 执行长 Jeremy Allaire，称 Circle 的表现对整个加密行业产生了负面影响。

这一指控引发了业界对稳定币发行商在安全事件中应承担何种主动干预职责的广泛讨论。

常见问题

多签修改时未设置时间锁为何是此次攻击的核心问题？

时间锁是多签机制的关键安全配套，在高权限操作执行前设置强制等待期，使社群和安全机构有时间发现异常并采取行动。Drift 在调整多签架构时未设置时间锁，意味着一旦新增签名者的凭证遭到泄漏，攻击者可立即执行管理员操作，绕过了社群监督的最后防线。被盗前一周引入 4 个新签名者的修改时机，是目前调查中最受关注的疑点。

Circle 在此次事件中应承担什么责任？

ZachXBT 的批评指向 Circle 在大规模跨链 USDC 转移过程中缺乏即时监控和干预。作为 USDC 发行方，Circle 在技术上具备冻结涉案地址的能力，但在数小时的资金转移过程中未采取行动。这一争议触及了稳定币发行商在 DeFi 安全事件中的主动干预职责边界，是当前业界热议的核心议题。

伪造 CVT 代币与操纵预言机组合的技术意义是什么？

伪造 CVT 代币允许攻击者在协议内部制造虚假的流动性或抵押品；操纵预言机使协议在定价时使用失真的市场数据。两者结合，使协议“误以为”存在足够的抵押支持，进而允许攻击者提取远超实际应得的资产，是智能合约攻击中的经典组合手法，在多个 DeFi 被盗案例中均有出现。