耗资 2.8 亿美元的 Drift 破解秘笈：数周的设置，数分钟的耗尽

昨天，基于 Solana 的加密货币交易所 Drift Protocol 遭到黑客攻击，损失约 2.8 亿美元，这是为期数周的行动的一部分，该行动可能利用社会工程来破坏多个多重签名者的批准。

UTC+1 时间 4 月 1 日晚上 7 点，Drift 宣布协议出现“异常活动”，用户应避免存入资金。它强调，“这不是愚人节玩笑。”

随后，X 用户发出警报，称 Drift 正在被利用，而且这将是一次严重的利用。

Drift 随后证实，它正在遭受持续的攻击，需要暂停存款和取款。研究人员开始推测 Drift 的私钥已被泄露。

Drift Protocol 正在遭受主动攻击。存款和取款已暂停。我们正在与多家安全公司、桥梁和交易所协调以遏制这一事件。这不是愚人节玩笑。我们将从此帐户提供其他更新... https://t.co/03SRPq4fHj

— 漂移 (@DriftProtocol) 2026 年 4 月 1 日

此后，Drift 分享了详细的时间表，说明发生了什么以及如何发生。

它表示，“这是一项高度复杂的操作，似乎涉及数周的准备和分阶段执行，包括使用持久的随机数账户来预先签署延迟执行的交易。”

它声称这次攻击不是由 Drift 程序或智能合约中的错误引起的，没有证据表明种子短语受到损害，并且攻击在黑客执行之前涉及未经授权的交易批准。

然而，它承认这些批准很可能是通过对其员工进行的社会工程攻击和“持久随机数机制”的操纵而促成的。

Drift 的失败原因

持久随机数机制是一种区块链工具，可以绕过区块哈希签名并促进离线翻译签名。

Drift 声称，3 月 23 日创建了四个持久随机数账户，其中两个与 Drift 安全委员会多重签名成员相关，另外两个与攻击者控制的账户相关。

以下是事件的时间表。3 月 23 日：初始随机数设置创建了四个持久随机数帐户： – 两个与 Drift 安全委员会多重签名成员相关 – 两个与攻击者控制的帐户相关相关帐户：a....

— 漂移 (@DriftProtocol) 2026 年 4 月 2 日

然后，在 3 月 27 日，“由于安理会成员变更，Drift 执行了计划中的安理会迁移。”

三天后，为更新后多重签名的成员创建了另一个持久随机数帐户，使攻击者能够“有效访问更新后多重签名中的 2/5 签名者”。

执行日

Drift 声称，4 月 1 日，它从保险基金中执行了测试提款。然后，攻击者在获得多重签名批准的情况下，“在几分钟内执行了恶意管理传输，获得了协议级权限的控制权”。

然后，攻击者可以“利用该控制引入恶意资产并删除攻击现有资金的所有预设提款限制。”

Drift 尚未透露有关可能的社会工程攻击如何发生的任何细节。有时，攻击者可能会通过直接消息、电子邮件或电话使用虚假身份，诱骗某人授予他们访问关键权限的结果。

Drift 的合作伙伴 Circle 尚未冻结资金

这一事件引起了加密货币调查员 ZachXBT 的批评，他对稳定币公司 Circle 及其冻结被盗资金的缓慢行动提出了质疑。

Drift 于 2023 年集成了 Circle 的跨链传输协议 (CTTP)。ZachXBT 指出，“在美国时间，数百万美元的 USDC 通过 CCTP 从 Solana 交换到以太坊，数小时内，Circle 正在睡觉，而在美国时间，9 位数的 Drift 黑客攻击导致了数百万美元的 USDC 被交换。”

他说：“Circle 必须冻结价值 2.8 亿美元以上的 Drift 黑客事件中被盗资金，时间为 6 小时。”

在攻击似乎利用了中心化机制后，其他用户对该协议的“去中心化”分类提出了质疑。

其他用户感到恼火的是，Drift 仅需要五个多重批准中的两个即可执行交易。

这就是 500M TVL 的罪魁祸首 2/5 多重签名，没有时间锁定，这太疯狂了，你可能会认为这是 4/5 多重签名，但不，这些团队太疯狂了，然后他们会拿出一个技术性很强的废话来解释为什么用户资金消失后

— tobi (@tobific) 2026 年 4 月 2 日

该平台表示，它正在与安全公司、执法部门、桥梁和交易所合作，查明发生了什么并冻结被盗资产。它补充说，更详细的报告将在未来几天内发布。

Ledger 的首席技术官已经推测，此次黑客事件的作案手法与“去年的 Bybit 黑客事件类似，人们普遍认为是与朝鲜有关的行为者所为”。

Protos 已联系 Drift 征求意见，如果我们收到任何回复，我们将更新这篇文章。