兄弟们,一个多签配置的失误,让2亿美金打了水漂,这可能是DeFi史上最贵的“手滑”了。
我是真没想到,愚人节都过了,还能吃到这么离谱的瓜。
就在几个小时前,Solana上的头部衍生品平台 Drift Protocol 被端了老巢,直接损失超过 2亿美元。一开始我以为是正常的安全事件,结果扒完细节,我整个人都不好了——这哪是黑客牛逼,这简直是自己把保险柜钥匙插门上忘拔了。
问题出在哪?
事情是这样的。一周前,Drift 把多签改了,从原本的安全配置,变成了 2/5的多签——也就是5个人里有2个人同意就能执行操作。更离谱的是,没有timelock(时间锁),而且这5个signer里,1个是老地址,4个是新的。
这就好比你家大门的锁,原本要3把钥匙才能开,现在2把就行,而且新配的4把钥匙,你都不知道分给了谁。结果今天凌晨,攻击者直接拿到了admin权限,后面的事就顺理成章了:铸假币CVT、操纵预言机、关掉各种安全机制,最后把池子里的钱一卷而空。
我的看法
说句难听的,这种漏洞放在2026年的DeFi里,真的不太应该。多签没时间锁,权限变更后也没有任何缓冲期,相当于把“管理员权限”这个核按钮直接暴露在外。攻击者能得手,要么是私钥管理出了问题,要么就是这4个新signer里有人“不太干净”。
现在回头看,一周前的那次多签调整,可能就是整个事件的导火索。安全不是嘴上说说的事,多签不是为了合规,是真要防住这种“一个人就能掏空全库”的操作。
目前Drift官方还没出完整的事后报告,但2亿美金没了,市场已经用脚投票了——DRIFT代币跌得亲妈都不认识。这波也提醒我们:别看项目方说得天花乱坠,多签配置和timelock这种东西,才是真正保命的。
希望这2亿美金能给整个行业再敲一次警钟吧。