Drift 协议，最大的去中心化永久期货交易所，确认该事件后，其总锁仓价值（TVL）在一个早晨内从约 5.5 亿美元崩溃至不足 2.5 亿美元，目前为 2.32 亿美元。 Bitcoin.com 新闻是首个报道此问题的媒体。 DRIFT 代币在随后的几个小时内下跌了多达 45%，最低跌至约 0.04 至 0.05 美元。

报道称，攻击并非始于代码漏洞，而是始于 Tornado Cash 的提现。 3 月 11 日，攻击者从基于以太坊的隐私协议中提取 ETH，并在 3 月 12 日利用这些资金部署了 carbonvote 代币（CVT）。 区块链分析师指出，部署时间戳对应于平壤时间大约 09:00，这一细节引起了立即警觉。

2026 年 4 月 3 日的 DRIFT 代币。

几份报告详细说明，在接下来的三周内，攻击者在 Raydium 去中心化交易所为 CVT 提供了极少的流动性，并通过洗售交易保持价格接近 1.00 美元。 Drift 的预言机将该价格视为合法。攻击者建立了看似真实的虚假抵押品，使每个自动化系统都认为其可信。

“今天早些时候，一个恶意行为者通过涉及持久随机数的新型攻击获得了 Drift 协议的未经授权访问，迅速接管了 Drift 的安全委员会管理权限，” Drift 团队写道。

该项目的 X 账户补充道：

“这是一项高度复杂的操作，似乎涉及多周的准备和分阶段的执行，包括使用持久随机数账户来预签交易，从而延迟执行。”

显然，在 3 月 23 日至 3 月 30 日之间，Drift 的攻击者转向了人为层面。利用名为持久随机数的合法 Solana 特性，攻击者 reportedly 诱导 Drift 的安全委员会多重签名成员预签看似例行的交易。这些签名成为预先批准的访问密钥，保留直到攻击者准备就绪。

在 3 月 27 日，开口关闭，Drift 将其安全委员会迁移到 2-of-5 签名阈值，并完全移除了时间锁。 时间锁通常迫使管理行为延迟 24 到 72 小时，为社区提供时间以捕捉和逆转任何可疑事项。没有了它，攻击者拥有零延迟的执行权限。预签名的交易在时间锁解除的瞬间即可生效。

在 4 月 1 日，攻击者激活这些交易，将 CVT 列为有效抵押品，提升取款限额，并存入数以百万计的 CVT 代币，使 Drift 的风险引擎发行真实资产。该协议交出了数百万 JLP 代币、数百万 USDC、数百万 SOL，以及少量的包装比特币和以太坊。 31 笔取款交易在大约 12 分钟内清算。

攻击者通过 Jupiter 将被盗代币转换为 USDC，桥接到 Ethereum，并交换成数以万计的 ETH。部分资金通过 Hyperliquid 进行转账，其余一部分直接转至 Binance。 4 月 3 日，Drift 从一个以太坊地址向四个黑客控制的钱包发送了一条链上消息。 消息内容如下：

“我们准备好谈谈。”

安全公司 Elliptic 和 TRM Labs 已将此次攻击归因于与朝鲜民主主义人民共和国（DPRK）有关的威胁行为者，引用了 Tornado Cash 的来源、平壤时间的部署签名、社交工程重点，以及事后洗钱的迅速性。 拉扎鲁斯集团在 2022 年的 Ronin 桥黑客事件中使用了同样的耐心和针对人类的方式。 美国政府已将这些盗窃与北朝鲜的武器计划资金联系在一起，Elliptic 已追踪到仅在 2026 年第一季度就盗窃了超过 3 亿美元。

这种蔓延影响了超过 20 个协议。 Prime Numbers Fi 报告损失数百万。 Carrot Protocol 在其 TVL 受到 50% 影响后暂停了铸造和赎回功能。 Pyra Protocol 完全禁用了提款，使所有用户资金无法访问。 Piggybank 损失了 106,000 美元，并从其团队资金中补偿了用户。

DeFi Development Corp.，一家在纳斯达克上市且拥有 Solana 财库战略的公司，于 4 月 1 日确认没有接触到 Drift。 其风险框架完全排除了该协议。 这一事实引起的关注超过了该公司可能预期的。

Drift 事件产生了一个明确的教训，即大多数行业已经知道但尚未完全应用：时间锁不是可选的。 3 月 27 日删除的这一单一保护措施使复杂的多周攻击转变为 12 分钟的套现。没有延迟机制的协议治理就是带有开放门的治理。

DeFi 攻击后随后的 48 小时被描述为 Drift 保持用户信任和绘制恢复路径的关键时刻。 截止 4 月 3 日，尚未宣布全面的赔偿计划。

• Drift 协议发生了什么？ 在 2026 年 4 月 1 日，攻击者通过虚假抵押品和预签名的管理交易从 Drift 协议中窃取了 2.86 亿美元，仅用 12 分钟便清空了协议的核心保险库。
• 谁对 Drift 协议黑客事件负责？ 包括 Elliptic 和 TRM Labs 在内的安全公司已将此次攻击归因于与 DPRK 相关的威胁行为者，引用洗钱模式和与拉扎鲁斯集团交易技巧一致的链上时间戳。
• 我在 Drift 协议上的资金安全吗？ Drift 在攻击后暂停了所有存款和提款；截至 2026 年 4 月 3 日， Pyra 和 Carrot 等受影响协议中的用户仍无法访问资金。
• 在 Solana DeFi 中什么是持久随机数攻击？ 持久随机数攻击利用 Solana 的合法特性预签看似例行的交易，将其作为实时授权密钥，直到攻击者选择执行它们。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。