2026年4月1日,发生了一起自2022年Wormhole桥3.2亿美元黑客攻击以来,Solana最严重的一次DeFi灾难。一场精准而迅猛的攻击席卷了Solana生态最知名的永续合约交易平台Drift Protocol。短短几小时内,协议主金库(Vault)被抽走约2.7亿至2.85亿美元资产,占当时总锁仓价值(TVL)近50%。这不仅是2026年目前规模最大的单笔DeFi攻击,更是自2022年Wormhole桥被盗3.26亿美元以来,Solana生态遭受的最严重安全事件。
本篇会从技术根源、经济冲击、市场连锁反应、历史对比、治理漏洞、社区回应以及未来启示七个维度,全面还原并剖析这一事件,帮助读者理解其深远影响。
事件时间线
攻击发生在4月1日下午约16:00 UTC左右。链上监控数据显示,异常大额转出几乎在同一时间段集中爆发。Drift团队在社交平台迅速发布公告,承认平台出现异常活动,并立即暂停存款和提款功能,同时明确提醒用户暂时不要操作,还特别强调这并非愚人节玩笑。整个资金转移过程不到一小时就基本完成,团队随后与多家安全机构展开合作,进行资金追踪和事件调查。从时间维度看,这次攻击选择在美东工作时间段展开,反映出攻击者对市场流动性和响应机制的精准把握;从运营角度思考,它也暴露了DeFi协议在突发事件下的应急协调能力,直接考验了团队与生态伙伴的协作效率。
被盗资产明细
黑客从Drift主金库抽取了超过15种不同资产,形成了高度分散却又高效的提取组合。
具体来看,主要被盗资产包括:
-
JLP(Jupiter永续流动性代币):单项最大,约41.721百万枚,价值约1.556亿美元,直接来自JLP Delta Neutral金库。
-
USDC稳定币:累计超过1亿美元,多笔大额转出包括51.616百万枚(约5162万美元)和后续8百万枚等。
-
SOL/WSOL:约980,000枚,价值约5400万美元至7800万美元不等(受实时价格影响)。
-
cbBTC(包装比特币变体):约164.349枚,价值约1129万美元。
-
WBTC(包装比特币):约63.467枚,价值约436万美元。
-
WETH:约2201枚,价值约469万美元。
-
其他流动性质押代币:包括mSOL、dSOL、bSOL、JitoSOL(Jito质押SOL)等,合计数百万美元。
-
其他稳定币:USDT(累计约565万美元)、USDS(约500万美元)、SYRUPUSDC(约286.5万枚,价值约332万美元)以及EURC等欧元/日元挂钩稳定币。
-
模因币及其他altcoins:FARTCOIN(约2336.6万枚,价值约411万美元)、INF等流动性较差的代币,甚至还有攻击者临时铸造的新代币用于嘲讽协议方。
资金先从Drift主金库转出,随后快速在链上通过Jupiter等DEX兑换为USDC,再通过CCTP等跨链桥部分转移至以太坊网络,并用于购买ETH。这一多资产组合的提取方式,不仅放大了单一资产价格波动的即时冲击,还让Solana DeFi生态的多个流动性池同时遭受压力。从经济维度看,这些被盗资产的快速变现直接制造了短期卖压,同时分散了追踪难度;从生态关联性思考,JLP作为Jupiter生态核心流动性工具的流失,可能间接削弱Solana上其他永续合约平台的深度和稳定性,而模因币如FARTCOIN的卷入也凸显了协议支持资产范围过广带来的额外风险,值得长期观察其对整个生态的连锁效应。
主要黑客地址
社区和链上分析师迅速标记出主要接收地址为HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES。该地址在攻击前大约八天创建,曾进行过小额测试交易,随后成为资金汇聚和分散的中转点。部分资金从这里进一步通过桥梁流向以太坊,显示出攻击者对跨链混淆路径的提前规划。从技术追踪角度,这类地址的预先准备体现了攻击的组织性;从治理与安全视角,它也提醒整个行业,链上行为的可追溯性虽然强大,但攻击者利用新地址和测试交易的低调手法,仍能有效规避早期预警机制,凸显了实时监控工具在复杂攻击中的局限性。
市场影响
Drift协议的TVL从事件前的约5.5亿美元快速下滑至2.5亿美元以下,接近腰斩水平。DRIFT代币价格在24小时内暴跌超过40%,一度触及更低点位;SOL价格也出现短期回落,伴随整个Solana DeFi板块的恐慌性提款放大效应。用户目睹大额资金外流后,纷纷撤出仓位,进一步加剧了流动性危机和高杠杆永续合约的清算连锁反应。从市场心理层面看,这次事件放大了投资者对DeFi安全性的质疑;从宏观经济角度思考,它发生在2026年加密市场回调周期中,可能加剧整体资产类别的波动性,间接影响Solana生态在机构和散户中的长期吸引力,同时也为其他高TVL协议敲响了警钟。
技术层面
安全机构分析指出,这次攻击并非传统智能合约层面的漏洞,而是通过治理权限的劫持实现。攻击者可能提前数周利用Solana的持久化随机数机制预签名交易,并结合管理员密钥相关操作,绕过部分风控措施。从多维度思考,技术层面的精密准备体现了攻击者对底层协议机制的深刻理解;从项目运营角度,它暴露了即使代码经过多次审计,实际执行中的权限管理仍可能成为突破口;从行业演进视角看,这类治理层攻击正成为DeFi安全威胁的新趋势,促使协议方重新评估代码审计与运行时监控的平衡关系。
治理漏洞
攻击的核心在于治理层面的权限问题,攻击者或通过获取管理员密钥,或利用多签机制中的薄弱环节,提前布局并执行了大额提款。这一过程凸显了DeFi项目在密钥分发、测试流程和权限动态调整上的潜在风险。从组织治理维度思考,即使团队具备技术实力,内部密钥管理的严谨性仍直接决定平台生死;从用户信任角度,它提醒参与者,协议的去中心化程度不仅体现在代码开源,更体现在治理透明度上;从长远生态影响看,此类漏洞若反复出现,可能削弱整个Solana DeFi在高价值资产托管方面的竞争力,推动行业向更严格的多层验证机制演进。
社区回应
Drift团队目前正全力配合安全公司开展调查,并持续发布更新。社区内,知名链上侦探ZachXBT等人士对Circle在USDC冻结响应上的延迟提出批评,认为尽管事件发生在工作时间,但部分资金仍成功桥接外流。部分分析师还提到可能与专业威胁行为体相关,Ledger CTO甚至暗示与特定国家关联势力有关联。从社交与舆论维度看,这些讨论放大了事件的影响力;从社区凝聚力角度,它也促使用户更积极参与安全倡导,推动协议方与监管机构的沟通;从人文关怀层面,事件引发了对普通用户资金安全的广泛共鸣,提醒大家在享受DeFi便利的同时,必须强化个人风险意识。
历史对比
与2022年Wormhole桥3.26亿美元被盗事件相比,这次Drift攻击在Solana原生DeFi协议中规模最大,成为2026年迄今最大的单笔加密黑客事件。Wormhole当年借助外部支持快速恢复用户信心,而Drift的后续处置仍在推进中。从历史演进角度看,两次事件都发生在Solana高速增长期,共同揭示了生态在规模扩张中安全边界的脆弱性;从行业韧性思考,它也为后续项目提供了宝贵教训,推动更多协议在设计阶段就将治理安全置于核心位置,避免重蹈覆辙。
////////////////////
在市场环境不好的时期,这次事件也刚好向整个行业传递出一个信号:高TVL和高收益从来不等同于绝对安全。用户在参与类似平台时,最好注重资金分散、优先选择经过多重验证的项目,并养成及时关注官方信息的习惯。最后,希望Drift团队的调查能带来更全面的披露,也期待整个生态从中吸取经验,让类似灾难不再轻易重演。
(以上内容基于公开链上记录、PeckShield、Lookonchain、DeFiLlama以及多家媒体的早期报告整理,数据截至2026年4月2日。如有新进展,实际情况可能会有更新。)
