Drift Protocol官方公告显示,这次攻击发生在愚人节当天,持续不到20分钟。黑客从近20个金库中卷走多种资产,包括USDC、JPL、USDT、JUP、USDS、WBTC和WETH。链上数据显示,攻击者迅速将2.709亿美元兑换成USDC,通过CCTP TokenMessengerMinterV2桥接到以太坊,并买入12.9万枚ETH,分拆到多个钱包。Drift团队紧急暂停存取款,确认黑客通过durable nonces机制预签交易,快速接管安全理事会权限。这套机制本是为复杂多签设计的Solana高级功能,却被用来延迟执行恶意操作。整个过程像精心排练的戏码,准备时间长达数周。
DeFiLlama数据显示,Drift的总价值锁定量从5.5亿美元暴跌至2.52亿美元,项目TVL腰斩。DRIFT代币24小时内下跌近40%。SOL现报$79.76(涨0.86%),整个Solana生态短期承压,但链上交易仍活跃。Drift强调,这次不是智能合约漏洞或种子短语泄露,而是社会工程攻击,黑客诱导多签操作员批准伪造交易。Solana基金会总裁Lily Liu直言,智能合约扛住了,人类操作才是软肋。刘还点出,这打击整个Solana生态。Ledger CTO Charles Guillemet把这归为供应链级入侵,类似去年Bybit 14亿美元被黑的手法,可能出自朝鲜黑客团体。那些家伙耐心潜伏,入侵多签机器,骗操作员签下毒丸。
行业老鸟早看清,代码审计不够用,得盯紧操作员培训和实时签名提示。Drift公告称,黑客用durable nonces预签交易,伪装成正常批准,绕过常规过期检查。这次2.85亿美元蒸发,刷新WazirX 2.35亿美元纪录,成2026年头号案子。ETH现报$2,061(涨0.91%),桥接资金推高ETH需求,但长远看,DEX安全得升级人类防线。Drift正追查资金,悬赏白帽帮忙。Solana DEX生态本靠速度取胜,这次血亏提醒大家,技术再牛,人为失误也能翻车。