Drift 漏洞敲响警钟:据报协议高管离职,在袭击前发生重大多签转移
Drift 漏洞敲响警钟:据报协议高管离职,在袭击前发生重大多签转移
2026 年 4 月 1 日,Solana DeFi 生态再次遭受信任危机,Drift Protocol(生态系统中的一个主要永续合约交易平台)确认了一起积极的安全事件,并暂停了关键功能,以便调查人员追踪大规模资金外流。安全监控机构和媒体的初步估计显示,受影响资产价值从 2 亿美元到约 2.85 亿美元不等,使其成为 2026 年迄今为止最大的 DeFi 漏洞事件之一。( decrypt.co )
使此次事件特别令人不安的不仅是表面上的巨额数字,还有社区中日益增长的“运维”异常现象列表:缺乏时间锁定的管理员式签名权限、最后一刻的多签迁移,以及在事件发生窗口期临近时传出的团队变动传闻。( tw.theblockbeats.news )
本文将详细介绍我们目前所了解的情况、仅仅是传闻的信息,以及——最重要的是——DeFi 用户应该从这个又一次的警示中吸取什么教训:即使是“去中心化”系统,也可能在密钥管理层面崩溃。
事件经过(以及今天我们可以负责任地陈述的内容)
公开报道显示,在检测到未经授权的资金转移后,Drift 暂停了存款和取款业务。多家媒体引用估计数字超过 2 亿美元,部分媒体则称约为 2.85 亿美元。( techcrunch.com )
截至本文撰写时(2026 年 4 月 2 日),这些报道尚未明确证实全部根本原因。这种不确定性至关重要,因为用户的保护措施取决于事件的性质,如果事件是:
- 智能合约漏洞
- 私钥/多签签名者集被泄露
- 治理或升级权限被劫持
- 或以上情况的组合
在实践中,当有可靠证据表明强大密钥遭到滥用时,市场倾向于“计入”最坏情况——尤其是当没有任何强制延迟机制来减缓损失时。
关键担忧:缺乏时间锁定的强大签名密钥
根据 BlockBeats 的一份报道,援引 Aave 风险顾问、Chaos Labs 创始人 Omer Goldberg 的话称,Drift 的协议签名密钥据称拥有多种高影响力特权,并且至关重要的是,它缺乏时间锁或类似的延迟机制。( tw.theblockbeats.news )
为什么这很重要:
- 如果签名密钥可以更改关键参数、禁用安全模块或重定向资产,那么该密钥的泄露可能看起来不像典型的“漏洞利用”,而更像是一次快速的、特权的接管。
- 没有时间锁,用户和集成者就会失去一种防御窗口,而这通常是“事件得到控制”与“全部资产被耗尽”之间的关键区别。
时间锁并非空泛的术语;而是一种实用的控制机制,它在安排特权操作与其执行之间引入了最短延迟,为生态系统提供了检测和反应的时间。( docs.openzeppelin.com )
“一周前”的多签迁移:细节为何显得异常
BlockBeats 进一步报道称,在事件发生前一周,Drift 迁移到了一个新的多签账户,该账户由原多签的一位签名者创建。该报道还增加了一个特别不寻常的细节:创建者并未将自己添加为新多签的签名者,并且签名门槛被更改为2-of-5(1 位旧签名者 + 4 位新签名者)。( tw.theblockbeats.news )
从治理和运营安全性的角度来看,这引发了调查人员通常会立即提出的一些问题:
-
为何在重大事件发生前不久迁移多签托管? 有时是例行的签名者轮换。有时是为了应对疑似泄露。有时两者都不是——时机是巧合。但时机永远值得仔细审查。
-
为什么多签创建者会排除自己? 虽然存在一些良性解释(例如,运维工程师为他人部署基础设施),但这足以引起人们的警觉,需要透明、可审计的解释。
-
“协议关键”权限的阈值是否适合2-of-5? 较低的阈值可以减少操作上的阻力,但同时也减少了攻击者需要利用的独立故障数量。多签的安全性不仅仅是数学问题;它还涉及到签名者独立性、密钥存储实践和治理流程纪律。( frameworks.securityalliance.org)
简而言之:当一个协议最强大的权限只需要两次批准即可执行——并且没有时间锁——整个系统的安全就与人为的密钥管理紧密相连。
关于高管/核心团队离职传闻:为什么“人员风险”是链上风险的一部分
同一篇 BlockBeats 的报道提到社区讨论称,Drift 的一位核心团队成员可能在上个月已经离职,这引发了对内部管理、密钥交接和风险控制的担忧。( tw.theblockbeats.news)
这并非八卦——而是关于加密安全中一个众所周知的失败模式:
- 角色漂移(人员变动、离职或失去访问权限,而权限依然存在)会造成看不见的单点故障。
- 在最糟糕的情况下,密钥托管的不确定性会在最需要清晰度的时候出现(事件响应、签名者轮换,紧急暂停决策)。
即使使用了多签,“安全边界”仍然可能崩溃,如果签名者的选择、文档记录和离职手续没有像高风险的操作流程那样处理的话。
2025-2026年趋势:DeFi 的周期性“管理员密钥现实检验”
在过去的周期中,DeFi 变得更快、更具组合性,并且更接近机构——但协议安全仍然被集中的升级权和特权角色反复破坏。特别是 Solana 程序,通常会保留升级权限,除非明确受到限制或被放弃,这就是为什么“管理员密钥风险”仍然是任何认真参与 DeFi 的人士的核心尽职调查项目。( solana.com)
因此, najlepiej rozumieć incydent z Drift nie jako odosobnione wydarzenie, ale jako część szerszego wzorca:
- 智能合约可以被审计;操作性密钥管理则更难从外部持续验证。
- 多签并非自动“去中心化”;其安全性取决于签名者独立性、阈值选择以及时间锁和监控等保障措施。
- 随着 2026 年 TVL 回归更高速度的策略,攻击者会追随流动性——尤其是在可以快速执行特权操作的地方。
Drift 事件后用户应该做什么(实用清单)
如果您直接或间接(通过金库、集成或 Solana DeFi 策略产品)使用了 Drift,请将此情况视为一次提醒,需要执行更严格的风险手册:
1) 重新检查间接敞口
即使您从未向 Drift 存款,您也可能通过将资金路由到第三方协议的集成金库或策略产品而产生敞口。其他 Solana 项目的公开声明显示,“未受影响”与“通过金库部分受影响”之间的区别可能很快就会显现。(tw.theblockbeats.news)
2) 减少“始终在线”的授权和盲签
许多资产被盗事件发生在用户(或操作员)在压力下签署消息或交易时。优先选择授权最少、有时限且易于撤销的设置。
3) 将长期资金存放在非 DeFi 热钱包
按用途分隔钱包:
- 一个用于常规 DeFi 使用的“交易钱包”,
- 和一个用于长期存储的“金库钱包”。
这并不能阻止协议层面的漏洞,但它减小了网络钓鱼、恶意去中心化应用(dApps)以及在混乱新闻周期中意外授权所造成的损害范围。
像 OneKey 这样的硬件钱包在其中扮演的角色(以及它不能扮演的角色)
硬件钱包无法修复一个已经被攻破的协议。但 Drift 报告的警示信号——强大的密钥、多签变更以及密钥管理失败的可能性——突显了为什么「密钥托管纪律」对于用户和团队来说仍然是不可或缺的。
如果你是 DeFi 用户(或多签签名者):
- 使用硬件钱包有助于将私钥与被攻破的浏览器、浏览器扩展和充满恶意软件的环境隔离开。
- 清晰的、在设备上进行的交易验证可以降低在高压时刻(在漏洞“实时”期间很常见)批准错误操作的几率。
- 对于团队而言,隔离签名者的设备并强制执行一致的签名程序,是在协议控制大量用户资金时的基本要求。
OneKey 在加密货币原生工作流中被广泛用于在各大链上进行安全签名,对于希望加强自我托管而又不改变 DeFi 根本运作方式的用户来说,它是一个实用的选择。
结束语:DeFi 安全越来越成为「治理安全」
Drift 的漏洞仍在分析中,但教训已经很熟悉了:最危险的漏洞往往不是奇特的加密技术破解——而是「高权限控制执行过快」,摩擦过少,公众反应时间过短。(tw.theblockbeats.news)
对于 2026 年的用户来说,「哪个链?」不像以下问题重要:
- 「谁可以更改规则?」
- 「他们能多快做到?」
- 「如果出现问题,有什么机制能给用户留出退出时间?」
除非时间锁、透明的多签治理以及可验证的升级限制成为标准,否则每个认真的 DeFi 参与者都应该假定协议风险也是密钥管理风险——并据此进行规划。(docs.openzeppelin.com)
