兄弟们,今天不是开玩笑的事。
就在4月1日,Solana上的头部衍生品平台Drift Protocol被黑客端了老巢,链上数据显示至少2.2亿到2.7亿美金被直接转走。项目方自己都慌了,赶紧发推说“这不是愚人节玩笑”,让大家别往里存钱了。
到底怎么回事?
看链上数据,黑客玩得挺花。单笔4170万枚JLP代币就值1.55亿美金,然后SOL、USDC、cbBTC、WBTC啥的都没放过。攻击者把钱转到地址“HkGz4K”开头那个钱包,然后立马跨链到以太坊,买了快2万枚ETH,价值四千多万美元。
说实话,这种操作手法挺老练的,明显是提前做好了准备。
慢雾那边复盘说,问题出在一周前——Drift把多签机制改成了“2/5”,而且没设时间锁(timelock)。这不就相当于把保险柜密码告诉了两个人,然后说“你俩自己看着办”?黑客拿到管理员权限后,又是伪造代币又是操纵预言机,直接把池子里的钱掏空了。
这事儿有多大?
Drift的TVL本来5500多万,现在直接腰斩。这算是Solana生态自2022年Wormhole被黑3.2亿刀之后,最大的一次DeFi攻击了。
说实话,这种级别的攻击,对整个Solana DeFi的信心打击不小。Drift这种头部项目都能出事,其他小协议呢?大家心里都得打鼓。
代币DRIFT已经跌了20%以上,目前0.05美元左右。不过SOL本身倒是扛住了,跌完又弹回来一些,说明市场对Solana底层还是有信心的。
现在项目方说在跟安全团队、跨链桥、交易所协调,但钱能不能追回来,真不好说。黑客已经在往币安和Hyperliquid转钱了。
只能说,在DeFi里玩,永远别把鸡蛋放一个篮子里。这事儿也提醒咱们,平时多看看项目的安全机制,那种随意改权限、没时间锁的,尽量躲远点。