Solana生态Drift Protocol被盗2.85亿美元是怎么回事？一文讲透黑客攻击全过程

Solana生态昨天（2026年4月1日）发生的大事件！Drift Protocol被盗2.85亿美元，大白话讲解下~Solana区块链本身没有被黑，这次是Solana上一个热门的去中心化交易平台Drift Protocol（一个做永续合约/期货交易的Defi项目，像去中心化的“币安合约”）的资金库被黑客偷走了大约2.7-2.85亿美元，不同机构估算略有差异，目前公认是2026年最大的一笔加密黑客事件。

这不是普通的“智能合约漏洞”，而是黑客利用Solana的一个合法功能+社会工程学，精心准备了好几周，然后在几分钟内完成的“教科书级”攻击。

核心工具：什么是“durable nonces”（持久随机数）？

Solana正常交易有一个“保质期”，交易必须在创建后1-2分钟内提交，否则就作废（防止别人重复用旧交易）。

durable nonces是Solana官方设计的一个合法方便功能

1、用户可以提前把交易“签好字”，存到一个特殊的链上账户里。

2、这个交易可以无限期有效，什么时候想提交就什么时候提交（适合硬件钱包、离线签名、大机构操作）。

3、就像你提前签好一张“空白支票”，以后随时可以填日期和金额拿去兑现。

黑客就是把这个“方便功能”变成了武器。

黑客到底是怎么偷钱的？

Drift有5个“安全理事会”成员，任何重大操作（如提钱、改权限）都需要至少2个人签名同意（2/5多签）。

黑客的操作分成两阶段

准备阶段（3月23日-3月30日，提前好几周）

1、黑客通过社会工程学（骗人、伪造交易界面、误导等），成功骗到理事会里2个人签了字。

2、这些签名被锁进durable nonces账户里，相当于“提前签好的空白授权书”。

3、期间Drift还做过一次理事会成员调整，黑客居然又重新骗到新的2/5签名，准备得非常充分。

执行阶段（4月1日中午，短短1分钟内）

1、Drift团队先做了一个正常的“保险基金测试提现”。

2、黑客立刻把提前准备好的durable nonces交易提交上链。

3、两笔交易（相隔仅4个区块），创建一个“恶意管理员权限”，然后立即批准并执行这个权限。

4、黑客瞬间获得协议的最高控制权，然后移除所有提现限制。

5、打开资金库的“后门”。

6、把用户存在里面的各种资产（JLP、USDC、SOL、wBTC等）全部抽走，整个执行过程不到1分钟，用户几乎没有反应时间。

偷走的资产有多少

1、JLP（流动性代币）≈ 1.556亿美元

2、USDC ≈ 6040万美元

3、其他还有wBTC、SOL、USDT等，总计约2.7-2.85亿美元

偷完之后怎么跑的？

1、黑客立刻用Jupiter（Solana上最大的交易聚合器）把资产换成USDC和SOL。

2、再通过Circle的官方跨链协议（CCTP）把大部分USDC桥接到以太坊。

3、部分换成ETH，部分进混币器或交易所，追踪难度很大。

4、安全专家ZachXBT指出：Circle本来有6小时窗口可以冻结被盗USDC，但反应慢了。

重要提醒！不是Solana链本身出问题

1、Drift官方反复强调：没有智能合约bug，也没有私钥被暴力破解。

2、根本原因是人为操作失误+多签审批流程存在漏洞，签字的人以为在签常规操作，却被黑客用来做坏事。

3、Solana区块链的共识和出块完全正常，这次是建在它上面的Defi项目出了安全事故（Defi里这种事很常见）。

项目后续处理

Drift立刻暂停了所有存取款、更新了多签把被利用的权限移除、正在和多家安全公司、桥、交易所、执法部门合作追钱、保险基金和部分质押资产没被偷到、DRIFT代币当天暴跌超25%。

Defi最大的风险不是代码

黑客没黑Solana链，也没黑Drift的代码，而是提前几个月骗多签成员签了“永不过期的授权书”，然后在4月1日突然执行，一分钟内把金库搬空，这次事件再次提醒大家！Defi里最大的风险往往不是代码，而是人。