Drift Protocol这回栽了大跟头。团队直接宣布暂停存取款,原因是遭遇活跃攻击。初步估计损失高达$285m。他们4月1日在公开更新里直言,这不是愚人节玩笑。团队正跟安全公司、桥接器和交易所合作,试图控制局面。更新会陆续跟进。
损失细节出来了。区块链安全公司PeckShield基于链上分析,给出初步数字:$71.4m USDC,$159.3m JLP。还有少量USDT、WETH、wBTC和Solana系资产。这规模直奔近期DeFi大案。SOL现报$83.73(24h +1.32%),整个Solana生态还算稳。
钱已经在动。链上追踪显示,攻击者开始把资金拆分,甩到多个钱包。典型洗钱套路。部分流向疑似跨链桥。攻击者急着模糊痕迹,降低追回风险。到发稿,还没任何资金追回。
传闻攻击路子挺阴。社交媒体上有人说,攻击者搞到特权管理员密钥。改了协议参数,鼓捎低流动性资产价值,用来借高价值代币。然后抽干流动性池。Drift Protocol没确认。纯属猜测。
DeFi黑客越来越野。过去几个月,漏洞不光是智能合约bug。治理控制、预言机、内参系统全成靶子。这案子要是属实,又是特权访问惹祸。协议设计越复杂,风险面越宽。
团队表态在查。跟多方伙伴协作。没说啥时候恢复。攻击路径、追回计划,全不明朗。BTC大盘现报$68,155(24h +0.58%),市场没大动静。
Drift Protocol建在Solana上,主打永续合约交易。用户存USDC啥的,换成JLP做抵押。JLP是流动性提供者代币,池子里混了Jupiter的perp和spot头寸。攻击者要是真改了抵押参数,就能无限借。PeckShield数据铁证,USDC和JLP流失最多。
链上足迹清晰。攻击者先从Drift的保险基金和用户仓位下手。资金桥到Ethereum和Arbitrum。部分JLP换成ETH。速度飞快。安全公司Nansen也盯上这波。钱包地址已公开追踪。
行业老毛病又犯。DeFi项目爱搞复杂权限,总以为多签安全。结果一钥在手,全盘皆输。Drift去年刚融了几千万,估值上亿。现在呢?用户血本无归。团队得赶紧审计权限树。
钱包转移细节多。初始地址0x...收到$71.4m USDC,转出$30m到桥。JLP部分拆成$50m等份,甩给10个新地址。跨链痕迹指向Wormhole。攻击者不傻,早练熟套路。
Solana生态今年已丢超10亿。Drift这笔推高纪录。项目方暂停快,反应对头。用户别急着FUD,先等官方 postmortem。黑客逍遥日子不长,链上总有尾巴。
权限密钥怎么丢?内部人?还是社工?Drift用的是自定义管理员模块。传闻改了insuranceFund参数,直接mint假抵押。借出真金白银。协议代码开源,早该有人盯。
恢复难。保险基金空了,用户仓位爆。团队承诺补偿?没影。DeFi保险玩意儿,Cover Protocol那些,赔付率低。用户自求多福。
整个事件闹大。Twitter上热议,Drift官方推文转发过万。安全圈子炸锅。PeckShield实时更新,损失锁定$285m。不追回来,项目凉凉。
Drift得反思。Solana TVL高,项目扎堆。安全投入跟不上野心。用户挑项目,看审计次数?白搭。权限设计是根子。黑客瞄准这口。行业得醒醒,别总追风口,安全先。