Solana 生態 Drift 協議遭虛假代幣與治理劫持攻擊，損失高達 2.85 億美元

背景

2026 年 4 月 1 日，Solana 生態系中最大的永續合約交易所 Drift Protocol 遭到駭客攻擊，損失金額高達 2.85 億美元。此次事件並非源於智慧合約的程式碼漏洞，而是駭客透過精心策劃的社會工程手段與治理機制缺陷，成功接管了安全委員會的行政權限，並利用虛假代幣作為抵押品掏空資金。

社群觀點

Hacker News 的討論聚焦於 DeFi 協議中「去中心化」的虛假表象。許多評論者對 Drift Protocol 缺乏時間鎖（Timelock）的治理結構感到震驚，認為擁有能隨意更改協議權限的私鑰，本質上就違背了區塊鏈的初衷。社群成員指出，這種設計讓所謂的「安全委員會」成了單點故障，當簽署者在壓力或欺騙下預先簽署了看似常規但隱藏授權的交易時，整個系統的安全性便蕩然無存。有意見認為，這種依賴人類定期審查複雜交易且無法撤銷的操作模式，注定會走向失敗，甚至有網友質疑簽署者內部作案的可能性，因為在這種機制下，外界很難證明簽署者是否真的只是受騙。

針對攻擊手段，資深開發者分析這反映了多重簽名（Multisig）在使用者介面與體驗上的長期困境。當簽署者面對的是一串不透明的二進位數據，且必須基於信任來執行操作時，社會工程攻擊便能輕易繞過程式碼審計。此外，關於 Circle 公司未能在跨鏈橋接過程中凍結 USDC 的爭議，也引發了社群對穩定幣本質的辯論。一方認為 ZachXBT 的指責合理，因為受監管的穩定幣必須遵守法律以打擊犯罪；另一方則諷刺地表示，追求去中心化的人卻在出事時要求中心化機構介入，顯得十分矛盾。

儘管批評聲浪不斷，也有觀點從技術演進的角度看待此事。部分留言者認為這是一場「美麗的攻擊」，展現了駭客從資金籌備、製造虛假流動性到最終撤離的精密佈局。雖然 Drift 遭受重創，但社群也注意到如 Jupiter 等其他相關協議在壓力測試下表現穩健。然而，整體的共識仍傾向於悲觀，認為只要協議為了追求創新速度而犧牲「無需信任」的原則，這類針對治理漏洞而非程式碼的攻擊將會持續發生，讓一般投資者難以安心存放資金。

延伸閱讀

• Web3 is Going Great：追蹤加密貨幣領域各類災難與詐騙事件的知名網站。
• Hyperliquid：留言中提到在極端市場壓力下仍能維持運作的相關協議。