500美元撬动2.85亿：Drift被攻击背后的三层疑问

作者：Merkle3s Capital；来源：X，@Merkle3sCapital

引言：愚人节那天，有人笑不出来了

2026 年 4 月 1 日，美东时间下午 1 点半。链上监控工具 Lookonchain 发出了一条警报。几分钟后，PeckShield 确认了同一组异常数据：Solana 链上的 Drift Protocol 正在被大规模抽走资产。

Drift 团队在 X 上发了一条推文。

"这不是愚人节玩笑。"

4 个小时后，链上流出的数字定格在了一个让整个行业沉默的范围：2 亿到 2.85 亿美元。这是 2026 年迄今最大规模的加密货币盗窃事件。超过当年所有此前 DeFi 攻击事件的损失之和。

事情的荒诞之处在于：据多方报道，攻击者用来启动这场掠夺的本金，可能只有 500 美元。

这笔钱怎么丢的？去了哪里？谁干的？以及——这件事为什么恰好发生在机构资本加速涌入 DeFi 的时间窗口？

一、4小时时间线：一场精密的链上掠夺

攻击不是一瞬间发生的。它有节奏，有步骤，有预谋。

链上数据显示，攻击者在攻击发生前整整一周就已经创建了钱包并进行过测试。这不是即兴作案。这是一次蓄谋已久的精确打击。

还原那 4 个小时：

• 13:30 ET — Lookonchain 和 PeckShield 几乎同时检测到 Drift Protocol 的异常大额转出。资金正在从协议金库中流出。

• 13:45 ET — Drift 团队在 X 上确认异常。请求用户暂停一切存款操作。推文末尾特意加了一句：这不是愚人节玩笑。

• 14:00 ET — Drift 正式暂停全部存款和提现功能。此时链上已经流出大量资产。

• 14:17 ET — 攻击者通过 Jupiter Aggregator 在 Solana 链上快速兑换资产。Jupiter 是 Solana 生态最大的 DEX 聚合器，攻击者选择它是因为它提供最优的即时流动性。

• ~15:00 ET — 协议 TVL 从攻击前的约 5.5 亿美元 跌至约 2.8 亿美元。一个小时，腰斩。

核心洞察：攻击者一周前就创建并测试了钱包。这不是冲动作案，这是一次有预谋的精确打击。攻击者知道自己在做什么，也知道怎么做。

二、不是代码漏洞，是治理失败

Drift 团队至今未发布正式的 postmortem。但慢雾创始人余弦（evilcos）在 X 上给出了目前最接近真相的分析框架。他的结论出人意料：这不是智能合约的代码漏洞，而是多签治理层面的系统性失败。

攻击发生前约一周，Drift 进行了一次多签迁移——从旧的多签方案切换到一个新的 2/5 多签结构（1 个旧签名者 + 4 个新签名者）。问题在于，这次迁移设置了 0 秒时间锁（timelock）。这意味着任何多签操作都可以即时执行，没有任何缓冲窗口。

攻击者控制了旧签名者（carryover signer），很可能是通过 Solana 的 Durable Nonce 机制 获取了预签名交易。这是一种离线预签技术——攻击者通过钓鱼手段拿到有效签名，然后在任意时刻广播执行。余弦称其为"准备充分，手法专业且老练"。

攻击发生前约 5 小时，攻击者用旧签名者发起了一次管理员权限移交提案。一名新签名者几乎立刻进行了共签。0 秒时间锁意味着交易即时生效。管理员权限就这样被"合法地"转移了。

拿到管理员权限后，攻击者做了四件事：

• 铸造虚假 CVT 代币 — 创建没有任何价值的代币

• 操纵预言机价格 — 让协议误判这些虚假代币的价值

• 关闭安全机制 — 解除协议的风控断路器

• 抽干流动性池 — 以虚假代币为抵押，从统一流动性池中提取真实的 USDC、wETH、dSOL、JLP、cbBTC

被抽走的资金最终汇入约 129,000 ETH，分布在 4 个以太坊地址上。余弦已通过慢雾 MistTrack 工具标记并追踪这些地址。

这场攻击的致命之处不在于技术有多高明，而在于它利用了"合法"的治理流程。多签迁移 + 0 秒时间锁 + 预签名钓鱼 = 管理员权限被"合规地"移交给了攻击者。DeFi 最危险的敌人，不是代码里的 bug，而是流程里的盲区。

三、资金流向：Solana → Jupiter → Ethereum → 混币器

链上数据把资金的去向画得很清楚。

攻击者 Solana 钱包地址为 HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES。Arkham Intelligence 已将该地址标记为疑似攻击者控制。Solscan 和 SolanaFM 也在同步追踪。

被盗资产的构成：

• 约 1.03 亿美元 USDC — 最大单一被盗资产，Circle 发行的美元稳定币

• 约 59,100 SOL 及衍生品 — 包含 SOL、JitoSOL 等 Solana 生态资产

• 约 1,200 万美元 WETH — 跨链包装的以太坊

• cbBTC / WBTC — 约 1,900 万至 3,000 万美元估值的包装比特币

• 其他代币 — 多种 Solana 链上资产

资金转移路径非常清晰：

Solana 链上 → Jupiter Aggregator 快速兑换 → 桥接至 Ethereum → 兑换为 19,913 ETH（约 4,260 万美元）

Circle 已被通知关注相关地址。部分 USDC 可能被冻结。但对于 SOL、JitoSOL 和 ETH 这类原生资产，追回的可能性接近于零。

资金转移路径与朝鲜（DPRK）黑客组织的常用手法高度吻合：即时链上兑换 → 跨链转移 → 等待混币器处理。这不是白帽行为，也不是内部纠纷。这是一次有组织的资金掠夺。

四、DeFi 的安全悖论：不可逆的信任代价

DeFi 的核心卖点是不可逆性。没有中介，没有撤销键。交易一旦上链，就是最终结果。

这既是信任的基石，也是盗窃的温床。

Drift 是 Solana 生态最核心的永续合约协议之一。攻击发生前，它的 TVL 约为 5.5 亿美元，日均永续交易量约 7000 万美元。这个规模意味着它不是一个边缘协议——它是整个 Solana DeFi 生态的基础设施。

当基础设施被攻破，后果不是"某个协议亏钱了"，而是"整个生态的可信度被动摇"。

另一个对比值得思考：500 美元本金，2.85 亿美元损失。杠杆倍数是 57 万倍。这个数字比任何 DeFi 交易协议能提供的杠杆都要极端。

DeFi 的安全审计行业花了几年时间建立了一套标准化的检查流程。但攻击者不按审计报告的检查清单行动。审计检查的是"代码是否符合规范"，攻击者利用的是"规范本身是否有盲区"。

DeFi 的安全审计是"合规"，不是"安全"。合规意味着你按规则做了检查，安全意味着你能挡住不按规则来的攻击。这两者之间的差距，正是 2.85 亿美元消失的空间。

五、连锁反应：谁在买单？

攻击的影响远不止 Drift 自身。

Drift 协议 — TVL 腰斩。充提暂停。信任重建不是几周能完成的事情。用户会不会回来，取决于 postmortem 的质量和补偿方案。

Solana 生态 — Phantom 钱包主动屏蔽了 Drift。其他 Solana 上的 DeFi 协议也面临用户信任压力。当一个核心协议被攻破，用户会对整个生态产生怀疑。

DRIFT 代币持有者 — 代币从约 0.072 跌至 0.048。跌幅约 30-35%。而 DRIFT 在此之前已经从历史高点下跌了约 98%。大部分重大黑客攻击的协议，其代币价格在一年内都无法恢复到攻击前的水平。对仍在持有的社区成员来说，这又是一次重击。

稳定币生态 — Circle 已经声明，部分被盗 USDC 被冻结。但是这次 2.8 亿美元通过 Circle 的网络持续了 6 小时转走，却没有触发任何风控，直接被 KOL ZachXBT 点名批评。

DeFi 的系统性风险不是单点故障，而是信任链条的断裂。当一个协议被攻破，影响的不是它自己的 TVL——是所有用户对"DeFi 能不能保管我的钱"这个问题的信心。

六、时机之殇：机构进场窗口 vs 安全现实

这件事的时机让人不安。

Franklin Templeton 上季度刚设立了专门的加密资产管理业务。多家主流托管机构正在搭建 DeFi 集成方案。监管框架刚刚开始成型。机构资本花了多年观望，终于开始从"再看看"转向"开始布局"。

然后 Drift 被黑了。

这不是在某个市场低迷期发生的。这是在机构资本从观望转向行动的窗口期发生的。每一个正在评估 DeFi 风险敞口的合规官，今天早上都会把这件事写进报告。

这不是一次普通的安全事件。它给整个 DeFi 行业的机构化进程踩了一脚刹车。不是因为技术不行，而是因为安全叙事在关键节点被打断了。

七、趋势判断：DeFi安全进入"战时状态"

2026 年最大加密盗窃案。超过当年所有此前事件的损失之和。

资金转移模式暗示攻击方具备组织化资源和国家级行动能力。如果最终确认与朝鲜黑客组织相关，那这场攻击的性质就不只是"黑客盗钱"，而是"国家级行为体对金融基础设施的系统性打击"。

行业的应对方向大致有三个：

• 保险机制 — DeFi 保险仍然极度不成熟。这次事件可能加速链上保险协议的发展。

• 多签和权限升级 — 从 2/3 到更高阈值。从人工审计到自动化权限监控。

• 预言机冗余 — 单一预言机源已经不够。多源聚合 + 异常检测将成为标准配置。

Drift 事件不是终点，它是起点。DeFi 安全正在从"事后补救"向"事前对抗"发生范式转移。这个转变不会很快，但它是不可逆的。

结论：500美元的教训

当据称仅 500 美元的本金能撬动 2.85 亿美元，问题不在于攻击者有多强，而在于防线有多薄。

Drift 的 postmortem 将是一面镜子。它照出的不只是 Drift 自己的漏洞，而是整个 DeFi 行业在安全基础设施上的系统性欠账。

机构资本会不会因此推迟入场？这个问题的答案不取决于 Drift 做什么，而取决于整个行业在接下来 90 天内做什么。

如果 postmortem 只是一份技术报告，那信任重建会很慢。

如果它成为全行业安全升级的起点，那 2.85 亿美元的学费不算白交。