愚人節玩笑？Drift協議遭駭超2.8億美元

原創｜Odaily 星球日報（@OdailyChina）

作者｜Wenser（@wenser 2010）

中東局勢尚未平息，加密市場再遭重擊——Solana 生態重量級衍生品協議 Drift Protocol 於 4 月 1 日遭駭客攻擊，逾 2.8 億美元資產瞬間失竊。此事件不僅是 2026 年迄今 Solana 生態規模最大的 DeFi 安全事故，更再度凸顯「運營安全」在去中心化金融中的關鍵地位。

Drift Protocol 遭駭關鍵事實速覽

• 攻擊時間：2026 年 4 月 1 日凌晨（UTC+0），正值愚人節，但官方明確強調「這不是玩笑」；
• 損失金額：約 2.85 億美元（含 JLP、USDC、WSOL、cbBTC 等多種資產）；
• 攻擊手法：管理權限劫持 + 多簽漏洞利用（2/5 多簽無時間鎖）；
• 鏈上跡象：共執行 11 筆大額轉帳，資金迅速跨鏈至以太坊，購入近 2 萬枚 ETH；
• 國庫變化：Drift 國庫總資產由 3.09 億美元驟降至 4100 萬美元；
• 駭客地址：HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES；
• 潛在根源：管理員私鑰疑似洩露，非智能合約底層漏洞，屬權限層面突破。

攻擊過程：從權限接管到金庫清空

根據慢霧（SlowMist）創始人余弦分析，攻擊者於事發前已取得管理權限，並依序執行以下步驟：

• 接管 Drift 新部署的 2/5 多簽錢包（含 1 個舊地址與 4 個新簽名地址），且該配置未設置任何時間鎖（即操作可立即執行）；
• 鑄造偽造 CVT 代幣，操控價格預言機數據；
• 關閉關鍵安全機制，為後續盜取鋪路；
• 先行購入 4172 萬枚 Jupiter 流動性代幣（JLP），價值約 1.556 億美元；
• 大量提取 USDC（5161 萬枚）、WSOL（12.5 萬枚）、cbBTC（16.4 萬枚）等核心資產；
• 將資金跨鏈至以太坊，換購約 19,913 枚 ETH（折合 4260 萬美元）。

值得注意的是，駭客所用 Solana 錢包於一周前僅以 1 SOL 啟用，且曾收到来自 Drift 國庫的一筆 2.52 美元測試轉帳，顯示其可能早已完成權限驗證與潛伏部署。

安全分析：為何這次不是「合約漏洞」？

PeckShield 安全團隊指出，本次事件極可能源於管理員私鑰洩露或設備入侵，而非智能合約程式碼缺陷。換言之，問題不在「寫錯的程式」，而在「被拿走的鑰匙」。

社區亦提出另一推論：攻擊者或透過調整抵押品參數，人為抬高低流動性資產估值，再以此作為擔保借出高價值代幣，最終掏空國庫。此模式與過往多起 DeFi 治理攻擊高度相似。

目前調查仍未排除預言機操縱或合約邏輯邊界漏洞的可能性，但權限失控已被視為最可能主因。

市場震盪：DRIFT 代幣暴跌近 40%，SOL 短線承壓

消息曝光後，市場快速反應：

• Drift 原生代幣 DRIFT 24 小時內下跌逾 38%，現報約 0.042 美元；相較 2024 年 11 月歷史高點 2.60 美元，累計跌幅已超 98%；
• SOL 價格同步下挫，跌破 80 美元關卡，24 小時跌幅近 5%，現報 78.6 美元；
• Phantom 錢包已主動向用戶彈出風險警示；
• Forward Industries 及 DeFi Development Corp 等 Solana 財庫上市公司確認資金未受波及。

連鎖影響：至少 13 個項目明確受波及

據加密 KOL @lugeweb3 統整，受 Drift 攻擊直接或間接影響的協議包括：

• @piggybank_fi：損失 10.6 萬美元，團隊正注入流動性補償用戶；
• @DeFiCarrot：Boost／Turbo 功能正常，但鑄幣與兌換已暫停；
• @uselulo：傳統存款可能受影響（受保護型與增強型存款安全）；
• @reflectmoney：USDC+／USDT+ 全部增發與贖回凍結；
• @project0：以 Drift 市場為抵押的借款已全面中止；
• @ranger_finance：rgUSD 存提暫停，Drift 上 1460 萬美元 TVL 中有 90 萬美元被凍結；
• @elementaldefi：存入 Drift 的 SOL 與 Lend 資金被凍結（USDC／ONYC 安全）；
• @TradeNeutral：所有 Drift 相關金庫（含 JLP、BTC／ETH／SOL 超級質押等，TVL 約 360 萬美元）可能受影響，存提款暫停；
• @xplaceapp：存款／取款不可用，信用模式與借貸功能停用；
• @GetPyra：資金受影響，所有卡片功能暫停；
• @ExponentFinance：USDC+ 相關交易暫停；
• @fusewallet：存款功能暫停；
• @perena：穩定幣不受影響，但贖回暫停；Neutral Trade 上 JLP Vault（TVL 51.2 萬美元）可能受波及。

已明確聲明「完全不受影響」的項目包含：
@JupiterExchange、@kamino、@UnitasLabs、@onrefinance、@solflare、@hylo_so、@MarinadeFinance、@synatraxyz、@solsticefi、@defidevcorp、@jito_sol、@MeteoraAG、@sanctumso、@wormhole。

歷史級別事件：2026 年迄今最大 DeFi 安全事故

Drift 事件發生前，其總鎖倉價值（TVL）約為 5.5 億美元；此次攻擊導致直接損失達 2.85 億美元，占 TVL 超過一半。對比 3 月全月 DeFi 攻擊總損失約 5200 萬美元（涵蓋 20 起主要事件），Drift 單一事件便將 2026 年上半年安全損失拉升至全新量級。

若最終確認主因為管理員私鑰外洩，這將再次驗證一個永不過時的真理：無論智能合約審計多麼嚴謹，人的因素永遠是鏈上安全中最脆弱的一環。

Odaily 星球日報溫馨提醒：在 Drift Protocol 發布完整調查報告、明確修復方案及資金賠付計畫前，請勿向該協議存入任何資金或進行任何形式互動。