Drift 漏洞利用疑雲:攻擊前傳出高層人事變動與重大 Multisig 轉移
Drift 漏洞利用疑雲:攻擊前傳出高層人事變動與重大 Multisig 轉移
2026 年 4 月 1 日,Solana DeFi 生態系統再次遭受信譽打擊。Drift Protocol(該生態系統中的一個主要永續合約交易平台)證實正遭受安全事件影響,並已暫停關鍵功能,同時調查人員正在追查大規模資金外流。根據安全監測機構及媒體報導的初步估計,受影響資產價值介於 2 億美元至 2.85 億美元之間,使其成為 2026 年至今最大的 DeFi 漏洞事件之一。(decrypt.co)
令此事件尤其令人不安的,不僅是天文數字的損失,還有社群中越來越多的「營運」異常現象討論:沒有時間鎖(timelock)的管理者簽署權限、極具爭議的 Multisig 遷移,以及傳聞在事件發生前夕團隊成員的相關異動。(tw.theblockbeats.news)
本文將深入探討目前已知的事實、僅是傳聞的部分,以及——最重要的是——DeFi 用戶應從這又一次的警鐘中學到什麼:即使是「去中心化」系統,在金鑰管理層面仍有失敗的風險。
事件經過(以及今日我們能負責任地陳述的內容)
公開報導指出,在偵測到未經授權的資金移動後,Drift 已暫停存款和提款。多家媒體引述估計損失超過 2 億美元,部分甚至達到約 2.85 億美元。(techcrunch.com)
截至本文撰寫時(2026 年 4 月 2 日),上述報導中並未明確證實事件的根本原因。這種不確定性至關重要,因為用戶保護措施會根據事件性質而有顯著差異,取決於該事件是:
- 智能合約漏洞
- 私鑰/Multisig 簽署者被盜用
- 治理或升級權限被接管
- 或以上幾種情況的混合
實際上,當有可靠證據顯示強大權限被濫用時,市場往往會預測最壞的情況,尤其是在沒有強制延遲機制來減緩損害的情況下。
關鍵疑慮:缺乏時間鎖緩衝的強大簽名金鑰
根據 BlockBeats 報導引述 Chaos Labs 創辦人 Omer Goldberg(Aave 風險顧問)的說法,Drift 的協定簽名金鑰據稱擁有眾多高影響權限,而且關鍵的是,它缺乏時間鎖或類似的延遲機制。(tw.theblockbeats.news)
為何這很重要:
- 如果簽名金鑰可以更改關鍵參數、禁用安全模組或轉移資產,那麼該金鑰的洩露可能看起來不像典型的「漏洞利用」,而更像是一場快速、帶有權限的接管。
- 沒有時間鎖,使用者和整合者將失去了一道重要的防禦窗口——這往往是決定「事件受控」與「全面資金流失」的關鍵。
時間鎖並非口號,而是一種實質性的控制措施,會在安排特權操作與執行之間引入最少的延遲,為生態系統爭取反應時間。(docs.openzeppelin.com)
「一週前」的 Multisig 遷移:異常細節引發疑慮
BlockBeats 進一步報導,事件發生一週前,Drift 遷移至一個由原 Multisig 簽署者創建的新 Multisig 帳戶。報導補充了一個特別不尋常的細節:創建者並未將自己添加為新 Multisig 的簽署者,且簽署門檻被更改為 2-of-5(1 位舊簽署者 + 4 位新簽署者)。(tw.theblockbeats.news)
從治理和營運安全角度來看,這引發了調查人員通常會立即詢問的幾個問題:
-
為何在重大事件發生前不久遷移 Multisig 託管權? 有時是例行簽署者輪換。有時是應對可疑的妥協。有時兩者皆非——時機純屬巧合。但時機總是值得仔細審查。
-
為何 Multisig 的創建者沒有將自己納入簽署者名單? 雖然存在良性解釋(例如,營運工程師為他人部署基礎設施),但這種做法足夠不尋常,因此需要更透明、可審計的解釋。
-
2-of-5 是否是「協定關鍵」權限的適當門檻? 較低的門檻可以減少營運上的摩擦,但同時也減少了攻擊者需要利用的獨立失敗點。Multisig 的安全性不僅關乎數學;它還涉及簽署者獨立性、金鑰儲存實踐和治理流程紀律。(frameworks.securityalliance.org)
簡而言之:當一個協定的最高權限可以僅透過兩人批准即可執行——而且沒有時間鎖——整個系統的安全性就與人為的金鑰管理緊密綁定。
高層/核心團隊變動傳聞:「人為風險」是鏈上風險的一部分
同篇 BlockBeats 報導提到社群討論,稱 Drift 的一位核心團隊成員可能在上個月離職,這引發了對內部管理、金鑰交接和風險控制的擔憂。([tw.theblockbeats.news](https://tw.theblockbeats.news/newsflash/)
這並非八卦——而是加密貨幣安全中一個眾所周知的失敗模式:
- 職責錯位(人員更換職位、離職或失去存取權,但權限卻保留)可能導致隱藏的單點故障。
- 在最壞的情況下,金鑰託管變得不明確,而恰恰是在最需要明確性的時候(事件響應、簽署者輪換、緊急暫停決策)。
即使使用了 Multisig,如果簽署者的選擇、文件記錄和離職流程沒有像處理高風險營運流程一樣謹慎,其「安全邊界」仍可能崩潰。
2025-2026 趨勢:DeFi 反覆出現的「管理員金鑰現實檢驗」
在過去的週期中,DeFi 變得更快、更具組合性,也與機構聯繫更為緊密——但協定的安全卻持續被中心化的升級權限和特權角色所破壞。特別是 Solana 程式,通常會保留升級權限,除非被明確限制或放棄,這也是為何「管理員金鑰風險」仍然是任何認真參與 DeFi 者的一項核心盡職調查項目。(solana.com)
因此,Drift 事件最好被理解為一個更廣泛模式的一部分,而非孤立事件:
- 智能合約可以被審計;營運金鑰管理從外部來看更難持續驗證。
- Multisig 並非自動「去中心化」;其安全性取決於簽署者的獨立性、門檻選擇以及時間鎖和監控等保障措施。
- 隨著 2026 年 TVL 回歸更高頻率的策略,攻擊者會追逐流動性——尤其是在可以快速執行特權操作的地方。
事件發生後用戶應採取的措施(實用檢查清單)
如果您直接或間接(透過資金庫、整合或 Solana DeFi 策略產品)使用了 Drift,請將此事件視為一個強化風險管控的提醒:
1) 重新檢查「間接」曝險
即使您從未向 Drift 存入資金,您可能透過整合的資金庫或策略產品間接暴露風險,因為它們會將資金導向第三方協議。其他 Solana 專案的公開聲明顯示,「未受影響」與「透過資金庫部分受影響」之間的區別可能很快就會發生變化。([tw.theblockbeats.news](https://tw.theblockbeats.news/newsflash/)
2) 減少「隨時啟用」的授權和盲目簽署
許多資金流失事件的升級,是因為使用者(或營運者)在壓力下簽署了訊息或交易。偏好那些將授權降到最低、設定時間限制且易於撤銷的設置。
3) 將長期資金與用於 DeFi 的熱錢包分開
按用途區分錢包:
- 用於日常 DeFi 使用的「交易錢包」
- 用於長期儲存的「資金庫錢包」
這無法阻止協定層級的漏洞利用,但能降低網路釣魚、惡意 dApp 和混亂新聞週期中意外授權所造成的影響範圍。
硬體錢包(例如 OneKey)在此事件中的作用(及其局限性)
硬體錢包無法修復已經被破壞的協定。但 Drift 被報導的警訊——強大金鑰、Multisig 變動以及金鑰管理失敗的可能性——凸顯了為什麼金鑰託管紀律對使用者和團隊來說仍然是不可談判的。
如果您是 DeFi 用戶(或 Multisig 簽署者):
- 使用硬體錢包有助於將私鑰與受感染的瀏覽器、擴充功能和惡意軟體頻繁的環境隔離。
- 清晰、設備本身上的交易驗證,可以降低在高度壓力時刻(漏洞利用「直播」期間的常見因素)批准錯誤操作的機率。
- 對於團隊而言,隔離簽署者設備並強制執行一致的簽署程序,是在協定控制大量用戶資金時的基本期望。
OneKey 在加密貨幣原生工作流程中廣泛用於跨主要區塊鏈的安全簽署,對於希望加強自我託管而不改變 DeFi 基本運作方式的用戶來說,是一個實際的選擇。
結語:「DeFi 安全」日益成為「治理安全」
Drift 的漏洞利用仍在分析中,但其教訓已顯而易見:最危險的漏洞往往不是奇特的密碼學破解——而是過於迅速、缺乏摩擦且讓公眾反應時間不足的高權限控制。([tw.theblockbeats.news](https://tw.theblockbeats.news/newsflash/)
對於 2026 年的使用者而言,「在哪條鏈上?」的重要性已不如以下問題:
- 誰能更改規則?
- 他們能多快做到?
- 發生問題時,有哪些機制可以讓用戶有時間撤離?
在時間鎖、透明的 Multisig 治理和可驗證的升級限制成為標準之前,每一位認真的 DeFi 參與者都應假設協定風險同時也是金鑰管理風險——並據此做好規劃。(docs.openzeppelin.com)
