Solana 衍生品協議 Drift Protocol 遭入侵損失逾 2.8 億美元　成 2026 年迄今最大 Solana DeFi 攻擊

中東局勢持續緊張之際，加密市場再受重創。4 月 1 日愚人節當天，Solana 生態龍頭衍生品協議 Drift Protocol 傳出遭黑客攻擊，與 JLP（Jupiter Liquidity Token）相關資產被盜逾 2.8 億美元。事件發生前一周，Drift 才把多簽（multisig）改為 2/5 簽名且取消 time lock（即指令可即時執行），時間點敏感，外界不免懷疑涉及內部權限濫用。 Drift 隨後確認平台正遭受主動攻擊，已全面暫停存款及提款，並與多家安全公司、跨鏈橋及交易所協調應對；多個受影響項目亦強調「這不是愚人節玩笑」。 【攻擊經過】 初步調查顯示，攻擊涉及權限提升及多簽執行漏洞。SlowMist（慢霧）創辦人余弦指出：Drift 一周前遷移至無 time lock 的 2/5 多簽，包含 1 個舊錢包地址及 4 個新簽名錢包。攻擊者其後奪取管理權限，鑄造偽造 CVT 代幣、操控預言機、關閉相關安全機制，最終抽乾資金池資產。 鏈上數據顯示，攻擊者先買入 4,172 萬枚 JLP，約值 1.556 億美元，其後迅速轉移大量 USDC 等代幣，並跨鏈橋轉至以太坊，購入約 19,913 枚 ETH，約值 4,260 萬美元。整體約涉及 11 筆大型交易，包括：5,161 萬枚 USDC（約 5,162 萬美元）、125,000 枚 WSOL（約 1,045 萬美元）、164,000 枚 cbBTC（約 1,129 萬美元）。黑客錢包地址為 HkGz4KmoZ7Zmk7HN6ndJ31 UJ1qZ2qgwQxgVqQwovpZES。 短短數分鐘內，Drift 金庫總資產由 3.09 億美元急跌至 4,100 萬美元。約凌晨 3 時，Drift 公告平台被入侵並啟動聯合處置。 【成因未定　管理員私鑰外洩成主要疑點】 截至目前，Drift 團隊未公布確切主因。安全機構 PeckShield 評估，Drift 的管理員 key 很可能已被攻破或洩露，攻擊者藉特權存取操控金庫；該研判更偏向權限提升問題，而非智能合約程式碼漏洞。 社群亦有說法指出，攻擊者可能調整抵押品參數，抬高流動性較差資產的估值，再以被抬高的抵押價值借出高價代幣，最終從金庫抽走資金，手法與過往 DeFi 治理型攻擊相近。調查方尚未排除智能合約漏洞或預言機操控等可能，事件仍在追查中。 值得留意的是，黑客使用的 Solana 錢包上周僅以 1 SOL 入金，且曾收到一筆約 2.52 美元、來自 Drift 金庫的小額測試轉帳，疑似在正式行動前已先行驗證權限。此外，相關錢包資金來源指向 Backpack，或留下 KYC 相關線索。 【市場反應】 消息傳出後市場情緒急轉。Drift 原生代幣 DRIFT 於過去 24 小時下跌逾 38%，現報約 0.042 美元；相較 2024 年 11 月創下的 2.60 美元歷史高位，累計跌幅已超過 98%。SOL 亦受壓，一度跌穿 80 美元，24 小時跌近 5%，現報約 78.60 美元。 Phantom 錢包已主動向嘗試連接 Drift 的用戶顯示風險提示。由 Solana 財庫支持的 Forward Industries 與 DeFi Development Corp 亦確認資金未受本次事件影響。 【波及項目擴大　或成 2026 年 Solana 生態最大 DeFi 失竊案】 據加密 KOL @lugeweb3 統計，已確認出現損失或受明顯影響的項目包括： @piggybank_fi：被盜 106,000 美元，團隊注入流動性以補償用戶。 @DeFiCarrot：Boost 與 Turbo 產品不受影響，但系統受漏洞牽連，暫停鑄造/兌換。 @uselulo：傳統存款或受影響（受保護及增強存款不受影響）。 @reflectmoney：凍結 USDC+、USDT+ 的鑄造與贖回；暫停以 Drift 市場作抵押的借貸。 @ranger_finance：rgUSD 存提款暫停；在 Drift 上 1,460 萬美元 TVL 中約 90 萬美元被凍結。 @elementaldefi：存入 Drift 的 SOL 與 Lend 資金被凍結（USDC 與 ONYC 資金安全）。 @TradeNeutral：所有 Drift 相關金庫（JLP、BTC/ETH/SOL superstaking、Hyper JLP 等，總 TVL 360 萬美元）可能受影響，存提款暫停。 @xplaceapp：無法存提款；信用模式及借貸功能停用。 @GetPyra：資金受影響，所有卡功能暫停。 @ExponentFinance：與 USDC+ 相關交易暫停。 @fusewallet：暫停存款。 @perena：穩定幣不受影響但贖回暫停；Neutral Trade 上的 JLP Vault（TVL 512,000 美元）可能受影響。 明確表示未受影響的項目包括：@JupiterExchange、@kamino、@UnitasLabs、@onrefinance、@solflare、@hylo_so、@MarinadeFinance、@synatraxyz、@solsticefi、@defidevcorp、@jito_sol、@s2> MeteoraAG、@sanctumso、@wormhole。 按規模估算，本次事件或成為 Wormhole 跨鏈橋攻擊以來，Solana 生態最重大的 DeFi 安全事故之一。事發前 Drift TVL 約 5.5 億美元，本次直接損失最高或達 2.85 億美元，並成為 2026 年迄今 Solana 生態 DeFi 安全事件中損失最大的一宗。此前 3 月份 20 宗主要 DeFi 事故合計損失約 5,200 萬美元，而單一 Drift 事件已把上半年損失推至新高。 事件再次提醒市場：DeFi 風險不只在程式碼，營運安全同樣關鍵。若最終確認源於管理員私鑰失守，即使審計再完善，人為因素仍可能是鏈上安全最薄弱的一環。 Odaily Planet Daily 提醒用戶：在 Drift 發布完整調查報告並提出明確解決方案前，切勿存入資金或與協議互動。