撰文：吴说区块链

2026 年 4 月 2 日前后，多家链上监测与媒体集中披露：Solana 生态衍生品与借贷一体化协议 Drift Protocol 出现异常资金外流，项目方确认正遭受攻击，最终导致协议约 2.8 亿美元资金被盗。协议已暂停存取款，并正与安全机构、跨链桥及交易平台协作处置。

Drift Protocol 是什么？

Drift 属于「类交易所」的复合型 DeFi：在 2021 年上线、以 Solana 永续合约起家的头部交易协议之一，后来扩展到现货、借贷和更多「一站式协议」叙事。Drift 官方曾在 2024 年表示，协议已拥有超过 3.5 亿美元 TVL、17.5 万以上交易者、累计 200 亿美元以上交易量；同年 9 月又完成 2,500 万美元 Series B，累计融资达到 5250 万美元。

在机制层面，Drift 文档明确承认其对外部预言机账户的依赖，并设计了包括 oracle validity、TWAP 修剪、价格偏离带宽校验、以及在必要时更新市场信息以限制特定动作的「护栏」。其历史对外叙事也曾强调：预言机价格若「无效或被操纵」，可能导致交易所资产在短时间内被抽干，因此要用多步校验与「多区间熔断」争取反应窗口。

但本次攻击事件显示即便协议具备较完善的「市场风控护栏」，只要攻击者能够接触或影响「权限层」（管理员密钥、多签、风险参数的治理通道），就可能把护栏本身变成可被挪用的工具 — — 例如把某些阈值调到失真、把某资产的抵押权重抬到非理性，最终让系统在「规则被重写」的前提下，「合法」地执行资产转移。

Drift Protocol 回应 2.8 亿美元损失：社会工程与 durable nonce 机制攻击

Drift Protocol 就今日安全事件发布声明，一名恶意行为者通过一种涉及 durable nonce 的新型攻击方式，获得了对协议的未授权访问，并迅速接管了 Drift 安全委员会的管理权限。Drift 表示，这是一场高度复杂的攻击行动，疑似经过数周筹备并分阶段执行，其中包括利用 durable nonce 账户预签交易、延迟执行等手法。

根据 Drift 目前的调查结果，此次事件并非由 Drift 程序或智能合约漏洞导致，也没有证据表明相关助记词已遭泄露。Drift 认为，攻击者是在执行前获取了未经授权或被伪装的交易批准，而 durable nonce 机制及复杂的社会工程手段很可能在其中发挥了关键作用。此次事件共导致协议约 2.8 亿美元资产被转出。

Drift 表示，攻击者之所以能够完成此次攻击，主要包括几个步骤：首先通过 durable nonce 账户预先部署访问路径；随后获取了多签中的足够审批权限，即 2/5 的多签批准；之后在数分钟内执行恶意管理员权限转移，取得协议级权限控制；最终利用该权限引入恶意资产，并移除原有全部提现限制，从而对既有资金实施攻击。

目前，所有存入借贷模块、金库以及交易账户中的资金均受到了影响。未受影响的资产包括：未存入 Drift 的 DSOL，包括质押至 Drift Validator 的资产；以及保险基金资产，相关资产将被撤出协议并转移至更安全的环境进行保护。

作为预防措施，Drift 已冻结协议剩余所有功能，并已更新多签配置，将受影响钱包移除。

此次事件已外溢至 Solana 生态多个 DeFi 协议。Reflect Money、Ranger Finance、Neutral Trade、Elemental DeFi、Project 0、Lulo Finance、Asgard Finance、DeFi Carrot、Pyra、xPlace、Fuse Wallet 等项目已确认受影响，部分项目暂停铸造、赎回或存取款功能。其中 Ranger Finance 称面临约 90 万美元风险敞口，占其 TVL 的约 6%；Pyra 表示用户因在 Drift 获取收益的资金受影响，已暂停相关卡功能。

技术分析：虚假 CVT 代币与预言机操纵

据 Helius 开发者 Ichigo 此前分析，Drift Protocol 本次事件或与攻击者构造虚假 CVT 代币并操纵 Switchboard 预言机有关，进而形成攻击路径；其称攻击者随后通过社会工程手段进入安全委员会治理流程，并在多签权限可能受损的情况下推动该代币以高权重作为抵押资产上线；攻击者提前数周铸造「虚假代币」，并在 Raydium 上用极低流动性（约 500 美元）做池子「定价锚点」，再通过洗盘交易不断制造价格与成交痕迹，为后续的预言机价格历史「铺路」。值得一提的是，攻击者存入约 2,000 万枚价值接近零的 CVT 代币，在价格被高估至逾 1 亿美元后，以此为抵押借出协议内真实资产并转移资金，整体规模预计超过 2 亿美元。

市场即时反应

Drift Protocol 遭受攻击后，其治理代币 DRIFT 在过去 24 小时内暴跌超 40%，Binance 等主流交易所的 DRIFT U 本位永续合约年化负费率已飙升至顶格，超过 6,000%，由空头向多头大量补贴。

此次事件的时间线

3 月 23 日，攻击者完成初始 nonce 布局。当日共创建了 4 个 durable nonce 账户，其中两个与 Drift 安全委员会多签成员相关，另外两个由攻击者控制。Drift 认为，这意味着至少已有 2/5 的多签签名者曾对与 durable nonce 账户相关的交易进行签署，从而使延迟执行成为可能。

3 月 25 日：疑似攻击者主钱包地址（HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES）通过 Near Intents 获得初始资金，后长期保持不活跃状态，直至攻击当日突然激活并接收 Drift 金库大额资金。

3 月 27 日，Drift 因安全委员会成员变更，按计划执行了一次安全委员会多签迁移。

3 月 30 日，新的 durable nonce 活动再次出现。一个新的 durable nonce 账户被为更新后多签中的一名成员创建。Drift 认为，这说明攻击者再次获得了更新后多签中 2/5 签名者的实际可用权限。

4 月 1 日，攻击进入执行阶段。首先，Drift 执行了一笔来自保险基金的测试性提款交易。约 1 分钟后，攻击者迅速执行了两笔事先签署好的 durable nonce 交易，且两笔交易之间仅相隔 4 个 slot。第一笔交易用于创建并批准恶意管理员转移，第二笔交易则用于批准并执行该恶意管理员转移。至此，攻击者正式接管协议关键权限。

4 月 1 日下午至晚间，链上监测工具 MLM 已率先检测到相关地址出现异常资金流动，总规模约 2.706 亿美元（约占 Drift TVL 的 50%），主要涉及 JLP、USDC 等资产。Helius CEO mert 表示链上迹象显示协议可能已被攻击；Drift 官方随即发布声明，确认正在观察协议中的异常活动，并建议用户在进一步通知前不要向协议存入资金。

Drift 表示，此次攻击的实现，核心在于两点结合：一是事先签署的 durable nonce 交易，使攻击者能够在未来时点延迟执行；二是多个多签签名者的批准遭到攻破，而这很可能是通过有针对性的社会工程攻击或交易信息伪装实现的。

行业专家观点与治理反思

Ledger 首席技术官 Charles Guillemet 表示，此次攻击并非智能合约漏洞，而是多签机制遭到长期潜伏破坏。黑客疑似控制了多签持有者的设备或私钥，误导操作员批准恶意交易。该手法与去年疑似与北朝黑客组织（DPRK）相关的 Bybit 事件高度相似。他呼吁行业提升终端检测能力，并采用硬件支持的明文签名以防操作层面风险。

Uniswap 创始人 Hayden Adams 直言，必须停止让中心化项目自称为 DeFi；若管理员密钥能够掏空全部资金，本质上就是 CeFi。Chaos Labs 创始人 Omer Goldberg 补充，Drift 协议的签名密钥对市场创建、预言机分配及提款限额拥有完全控制权，且缺乏时间锁，攻击者据称仅用约10秒即完成资金窃取。

资金追踪与后续反应

链上追踪显示，疑似攻击者地址（HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES）在攻击后将资金快速转移/兑换，并通过 Wormhole 跨链转至以太坊。部分 USDC 通过 Circle CCTP 桥转移时，Circle 未及时冻结资金流向，引发 Delphi Digital 联合创始人 Tommy Shaughnessy 和链上侦探 ZachXBT 的批评，认为 Circle 在具备中心化冻结能力的情况下反应迟缓。

目前，Drift 正与多家安全公司协作调查事件根因，同时也正与跨链桥、交易所及执法机构合作，追踪并冻结被盗资产。Drift 表示，未来几天将公布更详细的事后分析报告，并欢迎任何与调查相关的信息线索协助。