你以为是安全的,其实早就是人家的提款机。
兄弟们,昨晚又爆了一个大雷。Drift Protocol被盗了超过2亿美金! 这可不是什么土狗项目,是Solana生态里排得上号的DeFi协议。
问题出在哪儿?
我看了技术报告,后背发凉。一周前他们把合约从原来的多签换成了 “2/5的多签,而且没有timelock” 。什么意思?就是5个人里有2个人同意,就能直接改合约、动资金,中间没有任何缓冲时间。更骚的是,这5个人里1个是旧签名者,4个是新的。
然后攻击者几小时内就接管了admin权限,接下来就简单了——铸假币、操纵预言机、关安全机制、把池子里的资产一卷而空。一套操作行云流水,比点外卖还快。
说句不好听的:这就是把保险箱的密码告诉5个人,然后说“只要2个人同意就能开门”,结果其中一个被攻破了,或者干脆就是内鬼,那这保险箱不就是敞开的吗?
咱们普通玩家该怎么避坑?
第一,看到“多签改配置”还带“无timelock”的项目,直接拉黑。没有缓冲期的多签,等于没有安全机制。
第二,别迷信“大项目、好生态”。Drift在Solana上算是头部了,照样出事。在币圈,代码的权限比项目的名气重要一万倍。
第三,资金永远别放在一个篮子里。不管是CEX还是DeFi,分散存放是唯一能对冲“黑天鹅”的办法。
这波被黑的2亿美金里,不知道有多少人的血汗钱。我只能说:在币圈,安全不是靠信,是靠代码和机制。