2.85億美元,年度最大鏈上攻擊,還是最古老的私鑰問題
發生了什麼
2026年4月1日UTC下午約16:00,鏈上監控機構Lookonchain和PeckShield幾乎同時捕捉到異常信號:一個八天前剛創建的錢包HkGz4K…開始從Drift的多個金庫中大規模轉移資產。第一筆就是4170萬枚JLP代幣,價值約1.556億美元。
攻擊者系統性地清空了Drift的JLP Delta Neutral、SOL Super Staking和BTC Super Staking三個核心金庫,涉及超過15種代幣——USDC、SOL、cbBTC、wBTC、流動性質押代幣,甚至Meme幣Fartcoin也沒被放過。總計約2.7億至2.85億美元的資產在一小時內被抽乾。
攻擊者的撤退路線
比入侵更值得關注的是攻擊者的退出策略。
竊取資產後,攻擊者迅速透過Jupiter聚合器將各類代幣兌換為USDC,隨後跨鏈橋接至以太坊。截至UTC 17:49,攻擊者已購入19,913枚ETH(約4260萬美元);到18:17,這個數字翻倍至38,820枚ETH(約8266萬美元)。同時,另一部分SOL被直接存入了幣安和HyperLiquid。
多鏈分散、多平臺套現、實時對沖。這不是一個臨時起意的黑客,而是一套經過預演的撤退方案。
Drift的分量
Drift不是一個無名小協議。
它由Cindy Leow和David Lu於2021年聯合創立,是Solana生態中規模最大的去中心化永續合約交易所。2024年初,Polychain Capital領投了2350萬美元的A輪融資,總融資額達到5230萬美元。截至事發前,Drift累計交易量超過550億美元,總鎖倉量突破10億美元,活躍交易者超過20萬人。
Cindy Leow在2024年接受Fortune訪問時說,她想把Drift做成立「加密世界的Robinhood」。現在,這個比喻有了一層不太好的新含義——Robinhood在2021年GameStop事件中凍結了用戶的交易權限,Drift則被攻擊者凍結了自己的管理權限。
這也是自2022年Wormhole跨鏈橋被盜3.25億美元以來,Solana生態遭受的最大安全事件。
DeFi安全的老問題
把Drift事件放入歷史序列裡看,畫面並不陌生。
2022年Ronin Bridge被盜6.25億美元——驗證節點私鑰洩露。2025年2月Bybit被盜14億美元——Safe{Wallet}前端被注入惡意代碼,本質上還是密鑰管理鏈條的斷裂。現在是Drift,同樣的劇本:管理員密鑰被攻破,協議淪陷。
2.85億美元放在DeFi被盜排行榜上大約排在第五到第六位。但數字的大小已經不是重點。重點是,去中心化協議反覆在同一個環節失守——不是代碼邏輯,不是密碼學,而是那把掌管一切的鑰匙由誰保管、怎麼保管。
永續合約協議賣的是無需許可的金融自由。但當一把管理員鑰匙就能在一小時內清空所有金庫,「無需許可」這四個字到底保護了誰?
善後與懸念
Drift團隊在事發後迅速暫停了存取款功能,並聲明正與「多家安全公司、跨鏈橋和交易所」協調追蹤資金。但截至發稿,沒有任何資金被成功凍結或追回的消息。
DRIFT代幣在消息傳出後暴跌超過25%,從約0.072美元跌至0.055美元。DeFi Development Corp.(一家持有大量SOL的DAT上市公司)則火速發聲澄清自己與Drift無關聯。
攻擊者的手機仍在活躍。鏈上數據顯示,資產仍在被持續轉換和分散。這是一場仍在進行的撤退。
幾個關鍵問題仍然懸而未決:管理員私鑰究竟如何洩露?是運維疏忽、社工攻擊,還是內部人員?攻擊者提前八天創建錢包並在OKX和Jupiter上進行過小額交易——這是試探還是佈局?已被轉移至中心化交易所的資金是否有可能被凍結?
2026年4月1日,一個八天前才被創建的錢包,用一把管理員鑰匙打開了Solana上最大永續合約平臺的所有金庫。整個過程不到一小時。在鏈上,鎖和鑰匙的關係從來都不是隱喻。