摘要: 攻击者在2026年4月1日通过滥用Solana的持久性非ces(durable nonces)功能,利用社会工程学入侵Drift协议的治理委员会多签钱包,在12分钟内转走2850万美元。攻击者提前10天(3月11日)通过Tornado Cash提现10ETH部署虚假代币CVT(流通量7500万),并在Raydium上洗钱制造流动性假象。Drift在3月27日将安全委员会迁移为无需时间锁的2-5人多重签名机制,消除原有风控延迟。被盗资产经Circle的CCTP桥接至以太坊并兑换为ETH,最终导致Drift总锁定价值(TVL)从5500万跌至2520万,DRIFT代币暴跌40%。事件被认定为2026年最大DeFi黑客攻击,仅次于2022年Wormhole桥的3260万美元事件。Chainalysis数据显示朝鲜黑客2025年窃取加密货币约20亿美元(占当年总盗取量的60%),手法与Bybit 2022年事件一致,即长期渗透系统、利用治理漏洞而非智能合约漏洞。
讨论: 攻击者通过社会工程学诱导Drift安全理事会多签钱包签署看似常规但暗藏授权的交易。多人治理组织的多签界面/用户体验是长期存在的重大问题,例如要求用户签署包含二进制数据的‘协议’。该攻击模式涉及利用优质抵押品为劣质抵押品背书并交换抵押品,这一已知漏洞可能被链式闪电贷和价格预言机操控进一步放大。部分评论指出,Drift项目资金被用于部署完全虚构的CarbonVote代币(CVT),并质疑加密货币作为未来货币的合法性,认为其仍被诈骗广泛使用。此外,项目方管理层的失职和加密社区对漏洞悬赏的高评价形成对比,凸显行业在创新与风控间的持续矛盾。
原文标题:Solana Drift Protocol drained of $285M via fake token and governance hijack
原文链接:https://anonhaven.com/en/news/drift-protocol-hack-285-million-solana/
讨论链接:https://news.ycombinator.com/item?id=47629505