Alătură-te chat-ului#drift协议遭黑客攻击 Astăzi nu discutăm despre piață, ci despre cele mai explozive evenimente din ultimele zile în comunitate——$SOL Proiectul Drift Protocol, lider în derivatelor ecosistemului Solana, a fost hack-uit, iar 280 de milioane de dolari s-au evaporat direct. Acesta ar putea fi cel mai grav incident de securitate din DeFi din acest an. Din ianuarie până acum, cele 15 protocoale DeFi au avut pierderi totale de doar 137 de milioane de dolari, în timp ce pierderile dintr-un singur incident Drift sunt de aproximativ două ori această sumă, amplificând recordul anterior de 27,3 milioane de dolari pentru cea mai mare pierdere unică de aproape zece ori.
Astăzi, vom analiza cu atenție acest atac „de tip carte de text” și vulnerabilitățile profunde expuse în industria DeFi.
1. Aceasta nu este o glumă de 1 aprilie; este un atac „epic” bine planificat.
Pe 1 aprilie, în jurul orei 1 dimineața, Drift Protocol a pierdut peste 220 de milioane de dolari în active ale utilizatorilor în mai puțin de zece secunde. Statistica ulterioară a arătat o pierdere totală de aproximativ 280 de milioane de dolari, afectând peste 20 de active criptografice.
Procesul atacului poate fi descris ca o „lanț de operațiuni de tip carte de text”:
Nivelul 1: structura multi-semnătură a fost compromisă. Atacul nu a fost o idee de moment, ci a fost pregătit cu atenție timp de câteva săptămâni.
Nivelul 2: falsificarea pieței. Atacatorul a folosit permisiuni pentru a crea un fals market spot CVT în cadrul protocolului Drift.
Nivelul 3: manipularea oracle-urilor. Atacatorii au folosit oracle-ul SwitchboardOnDemand pe care îl controlează și au efectuat 20 de tranzacții pentru a crește artificial prețul token-ului CVT.
Nivelul 4: golirea tezaurului. Atacatorul a folosit CVT supraevaluat ca garanție, împrumutând instantaneu active reale în valoare de 220 până la 280 de milioane de dolari, inclusiv 41,72 milioane de token-uri JLP, 51,61 milioane de USDC etc.
Nivelul 5: spălarea inter-chain. Activele furate au fost rapid schimbate prin DEX-uri precum Jupiter în USDC și transferate prin protocoale inter-chain pe Ethereum pentru a cumpăra ETH, întregul proces durând mai puțin de o oră.
2. Problema centrală: rădăcina se află în „om”, nu în „cod”.
Am studiat cu atenție analizele diferitelor agenții de securitate și am descoperit un punct foarte important—cauza principală a acestui atac nu a fost vulnerabilitatea contractelor inteligente, ci greșelile umane + defectele de design al permisiunilor.
Analizele Chaos Labs și SlowMist au subliniat că incidentul a fost declanșat cu o săptămână în urmă: echipa Drift a mutat permisiunile de gestionare a protocolului din vechiul portofel multi-semnătură în noul portofel multi-semnătură, noua structură având cinci semnatari, cu un prag stabilit la 2/5, dar blocajul temporal era de zero secunde, ceea ce înseamnă că, atâta timp cât două persoane semnează, tranzacția poate fi executată imediat, fără nicio perioadă de așteptare. Mai alarmant, în noul multi-semnătură, doar un semnatar provine din echipa veche, ceilalți patru fiind fețe noi.
Atacatorul a profitat de această vulnerabilitate, inițiind o propunere în vechea multi-semnătură pentru a transfera puterea de administrare într-un nou portofel pe care îl controlează, iar apoi semnatarii din noua multi-semnătură au semnat rapid. Deoarece nu exista un blocaj temporal, propunerea a fost executată instantaneu, iar atacatorul a obținut toate drepturile de administrator.
Fondatorul SlowMist, Yu Xian, a subliniat cu precizie că toate echipele DeFi ar trebui să revizuiască periodic „ce s-ar putea întâmpla în cazul în care cheia privată a owner-ului/admin-ului este compromisă, ce situații extreme ar putea apărea, dacă pot primi notificări de alarmă în timp util și dacă pot răspunde rapid”. Această afirmație merită să fie înscrisă în mintea fiecărei echipe de proiect.
Declarația lui Hayden Adams, fondatorul Uniswap, a lovit direct în punctul sensibil. El a afirmat că, dacă cheia de administrator a unui proiect poate retrage toate fondurile, atunci acesta nu ar trebui să fie numit DeFi; în esență, este o formă de CeFi care se prezintă sub o mască de descentralizare.
3. Efectul fluturelui: reacția în lanț a început.
Acest atac a avut un impact asupra ecosistemului Solana, care depășește cu mult Drift. Deoarece activele furate includeau aproximativ 155 de milioane de dolari în token-uri JLP, Jupiter a devenit unul dintre cei mai mari afectați. Lichiditatea pieței de contracte perpetue a Jupiter va scădea semnificativ și ar putea provoca panică în retragerea fondurilor și scăderea token-ului JUP. Peste 15 proiecte au fost afectate în diferite grade, PiggyBank a fost jefuit de 106.000 de dolari, iar protocoalele Carrot Finance, Lulo și altele au suspendat funcționalități și au înghețat fonduri.
În ceea ce privește reacția pieței, TVL-ul Drift a scăzut de la aproximativ 550 de milioane de dolari la 255 de milioane de dolari, cu o scădere zilnică de peste 53%. Token-ul DRIFT a scăzut cu peste 35% în 24 de ore, iar prețul de tranzacționare a ajuns aproape la 0,044 dolari.
4. Tăcerea Circle a stârnit controverse în industrie.
În acest incident, critica lui ZachXBT, detectivul on-chain, la adresa Circle a stârnit discuții ample. Sume ilegale de până la nouă cifre au fost transferate din Solana pe Ethereum prin protocolul de transfer inter-chain al Circle în timpul orelor de lucru din SUA, iar transferul a durat câteva ore fără intervenție.
Aceasta ridică o întrebare profundă: care ar trebui să fie rolul emitentului de stablecoin în fața mișcărilor de fonduri ilegale la scară mare? Între idealul „decentralizat” și realitatea „conformității legale”, unde este consensul din industrie?
5. Gândire profundă: rana încrederei în DeFi.
Revenind la întrebarea inițială—este aceasta o „catastrofă umană” sau o „calamități naturale”?
Sincer, acesta este un dezastru complet provocat de om.
Contractul inteligent în sine nu are vulnerabilități; vulnerabilitatea provine din operațiunile umane—lipsa unui blocaj temporal la migrarea multi-semnăturilor, adăugarea a patru semnatari cu identitate necunoscută și concentrarea excesivă a puterii. Analiza SlowMist a subliniat că blocajul temporal este un mecanism necesar în designul de securitate multi-semnătură, impunând o perioadă de așteptare obligatorie înainte de a efectua modificări riscante (de obicei 24-48 de ore sau mai mult), ar trebui să ofere comunității și instituțiilor de securitate suficient timp pentru a detecta anomalii. Acestea ar fi trebuit să fie abilități de bază de securitate pentru echipele DeFi, dar au lipsit cu desăvârșire în cazul Drift.
DeFi a subliniat întotdeauna că „Codul este lege”, dar acest incident ne arată—când puterea de gestionare este deținută de câțiva oameni, când cheile de semnare pot decide totul, „descentralizarea” rămâne doar un slogan.
În cele din urmă
Pentru utilizatorii obișnuiți, acest incident a sunat din nou alarma: în lumea DeFi, nu trebuie să te uiți doar la randamente, ci și la expunerea la risc. Avertizarea fondatorului SlowMist, Yu Xian, merită să fie meditata repetat—cât de mult poți pierde în fonduri în cazul în care, în circumstanțe extreme, apar comportamente rele în DeFi în care joci?
În ceea ce privește dacă Drift poate recâștiga încrederea utilizatorilor, dacă cei 280 de milioane de dolari pot fi recuperați (rata de recuperare a DeFi-ului în 2026 este de doar 7%), și dacă ecosistemul Solana va fi grav afectat de aceasta—acestea încă necesită timp pentru a fi verificate. Dar un lucru este sigur: dacă nu reușesc să implementeze măsuri de securitate de bază precum multi-semnăturile, următorul Drift ar putea fi chiar lângă noi.
Frați, riscurile sunt prioritare, câștigurile sunt pe locul doi, să ne sprijinim reciproc.
