正文:
原文作者:Darko,IOSG Ventures
在2026年4月1日UTC时间16:05:18,攻击者向Drift Protocol发起了一笔交易,紧接着在一秒钟后,该交易获得批准。
仅仅十二分钟后,2.85亿美元被盗走。十七天后,一名入侵的KelpDAO跨链桥验证者独自铸造出2.92亿美元的无抵押代币,并在48小时内导致Aave流失约85亿美元,其他DeFi协议也损失了大约45亿美元。
又过去了十二天,持有被盗者私钥的攻击者从Wasabi Protocol跨越四条链抽走了450万美元。
这些事件的发生并非由于智能合约代码的漏洞。
在过去的十年中,DeFi行业一直认为安全是代码层面的问题。审计、形式化验证和漏洞赏金——整个行业围绕着一个基本前提构建:只要智能合约逻辑严谨,协议就会安全。数学将成为法律。然而,2026年4月,这一前提在公众面前崩溃。
在一个月内,因约30起事件累计被盗金额超过6.25亿美元——根据DefiLlama的数据,这是加密历史上最严重的黑客月份——每一笔重大损失都源于管理员私钥,跨链桥验证者,预言机盲区或社会工程攻击,这些都是审计所未能涵盖的运营基础。
本文将探讨这一变化。我们将从四月的三起重大黑客事件入手,分析同一底层失败的不同表现方式,探讨一家协议的错误跨链桥配置如何导致比它规模大25倍的协议流失132亿美元,同时诚实地审视DeFi的现状——实际上,它是一个带有信任运营杠杆的开放基础设施,尽管其营销话术可能并不如此。问题并不在于数学。
数学没有问题。真正的问题是建立在数学之上的心智模型,而这种错位的代价正在迫使行业重新思考“去中心化”的真正含义。
在DeFi历史的大部分时间里,主流的安全文化以Solidity为基础。审计着重于合约逻辑的检查,漏洞赏金主要解决重入、整数溢出和访问修饰符错误等问题。形式化验证则用于证明链上代码的不变量。隐含的假设是:合约之外的所有内容——多签、部署者私钥、跨链桥验证者、Relayer基础设施、团队沟通渠道——要么不属于审计范围,要么是他人的责任。
这种假设仅在攻击者利用Solidity漏洞时成立。
2026年4月的几起黑客事件展现出一个审计报告无法捕捉的结构特征:智能合约本身并无漏洞。根据独立链上研究者的分析,Drift的代码在2022年由Trail of Bits和2026年2月由ClawSecure各自审计过,并均通过了审计。
然而,这两份审计并未覆盖Drift的多签配置、持久nonce处理逻辑,也没有考虑其安全委员会面临的社会工程攻击。KelpDAO的LayerZero适配器是标准OFT模板代码,合约本身并不存在问题。问题出现在部署配置上,而这通常不在Solidity审计的常规范围内。
Wasabi的Vault合约本身设计为可升级;这一设计本身便是一个漏洞。
4月崩溃的并非数学,而是数学所依赖的运营基础。
2026年4月的三起重大黑客事件——Drift、KelpDAO和Wasabi——代表了三种截然不同的“非代码失败”。
这三者共同覆盖了大部分新型攻击面,并且有一个共同的结构特征:每一起事件中的一两个被攻破的个体或基础设施,都会对整个协议产生连锁反应。
Drift的黑客事件实际上是一场情报行动,而非简单的漏洞利用。攻击者通过TRM Labs、Elliptic和Drift自身在SEAL 911的协助下进行分析,归因于朝鲜的Lazarus Group,特别是UNC4736子团伙,Mandiant此前已将其与2024年10月的Radiant Capital攻击事件关联。
攻击者花费了大约六个月的时间策划此次行动。社会工程从2025年秋季的行业会议开始,链上准备则在事件发生前三周才启动。
2026年3月11日,行动以一笔Tornado Cash提出的10 ETH启动。次日,大约在平壤时间上午9:00,这些资金在Solana上部署了CarbonVote Token(CVT)。攻击者在Raydium上创建了一个小型流动性池,通过对敲交易将CVT的市价锚定在1美元附近,并搭建了一个自己控制的价格预言机,将这一人造价格提供给Drift。
🔥 数据服务:锦鲤(KoiUid) @KoiPayUid — 十年沉淀,一手UID数据的专业平台,高频流水赋能大额交易。
对敲交易的存在是为了让预言机的输出“看起来合法”——任何进行抽查的人都会发现市价与预言机报价一致。
与此同时,攻击者伪装成一家量化交易机构,花费数周时间与Drift的贡献者建立信任关系。其目的并非获取信息,而是为某个特定时刻提前积累信任。
这个时刻依赖于Solana的一项名为持久nonce的特性:一种允许“今天签名、稍后执行”的合法机制。在3月23日至3月30日期间,攻击者从Drift的五人安全委员会中至少两人手中获得了持久nonce的签名。
从签名者的视角来看,他们批准的是例行交易;但从网络的角度看,这些签名是有效的授权凭证,处于休眠但有效的状态。
3月26日,Drift做出了一个灾难性的决定:迁移到一个全新的2-of-5 Security Council多签,并将timelock设置为零。这项迁移消除了原本可能发现或干预攻击的延迟窗口。
在2026年4月1日UTC时间16:05:18,攻击者提交了第一笔预签的持久nonce交易——一项提案,将管理员控制权转移到地址H7PiGqqUaanBovwKgEtreJbKmQe6dbq6VTrw6guy7ZgL。一秒后,UTC时间16:05:19,第二笔预签交易批准并执行了这一提案,攻击者成功控制了Drift。
随后的事情仅用了十二分钟。攻击者将毫无价值的CVT作为抵押品,几乎无限的借贷额度按操控后的预言机价格存入5亿CVT,然后从三个核心Vault中提取了2.85亿美元的真实资产——包括JLP、USDC、SOL、cbBTC、wBTC和ETH。Drift的总锁仓价值从5.5亿美元暴跌至约2.5亿美元。两名签名者、一家协议,智能合约完全按设计运作,漏洞出在人为因素上。
关于Drift的事后响应有一点值得特别提及,因为它关乎下一轮受害协议应当达到的标准:Drift团队在事后披露中表现得非常坦诚。
在漏洞曝光后五天内,团队发布了一份详细的社会工程攻击复盘——包括以下事实:贡献者在半年内多次被接触;其中两名贡献者可能通过代码仓库克隆和一个TestFlight钱包测试版被入侵;与攻击者的Telegram聊天在攻击发生前后被删除;事发前六天迁移到零timelock多签的决定,消除了最后的检测窗口。
团队还以中等可信度公开了攻击归因(UNC4736 / Citrine Sleet),与SEAL 911协调,并分享了能帮助其他协议识别同一套战法的运营细节。
来源:Odaily星球日报
锦鲤(KoiPayment)原创作品,发布者:锦鲤KoiPayment,转载请注明出处:https://koipayment.com/2026/05/26/iosg%ef%bc%9adefi%e6%ad%a3%e5%a4%84%e4%ba%8e%e5%8d%b1%e6%9c%ba%e4%b9%8b%e4%b8%ad%ef%bc%8c%e7%9c%9f%e6%ad%a3%e7%9a%84%e7%bc%ba%e9%99%b7%e5%b9%b6%e9%9d%9e%e5%87%ba%e8%87%aa%e4%bb%a3%e7%a0%81/
评论列表(8条)
这篇文章让我思考了很多,DeFi的安全问题似乎真的不仅仅是代码的事啊!
真的是太惊人了,短短时间内就损失如此巨额,如何防范这样的攻击?
我一直以为只要代码没问题就安全,没想到还有其他因素,值得深入研究!
文章提到的这些攻击方式很有警示性,希望能引起行业的重视!
DeFi行业的未来究竟在哪里?更多的安全教育和技术保护是必需的吧。
感觉DeFi的信任危机越来越严重,希望能有更有效的解决方案。
看到这些损失真的很心痛,期待行业能有更多的创新和变革!
这次事件给我们敲响了警钟,安全不仅仅是代码,更是整个生态的挑战。