2.85億美元在12分鐘內被排空，不是因為漏洞，而是因為系統過度信任人類。

2026年4月1日，Solana上最大的永續DEX Drift Protocol 遭到攻擊，損失了 $285M。攻擊發生前，該協議在總共$550M 中鎖倉資產約為$1M ，而其中超過一半在幾分鐘內被實質性抹除。

關鍵在於這一點：在程式碼層面沒有任何東西被破壞。沒有 smart contract 漏洞。系統的行為完全符合設計。

攻擊者花了大約六個月時間建立存取權。他們在2025年底接觸貢獻者，假扮成合法的交易公司，參加真實的會議，進行技術討論，甚至向生態系統部署超過$1 ，以顯得更有可信度。隨著時間推移，他們逐漸獲得信任，並透過共享程式碼儲存庫與假冒應用引入惡意工具。這使他們得以攻破與治理相連的貢獻者裝置。

從那裡開始，他們鎖定的是治理層，而不是程式碼。

Drift 使用的是 2-of-5 多簽，且沒有 time lock，這意味著任何兩位簽署者都能立即批准管理操作。攻擊者利用這一點：透過 Solana 的一項功能「durable nonces」，讓簽署者提前在交易上做出批准。這項功能允許已簽署的交易無限期保持有效。這些批准在被利用前數週就已收集完成，事後無法撤銷。

同時，攻擊者還建立了一個名為 CVT 的假代幣。他們鑄造了 750 million 代幣，加入了最少的流動性，並透過洗倉交易（wash trading）讓它看起來像是真實的 $285 資產。由於該協議的預言機系統中沒有嚴格的流動性或驗證檢查，因此它接受了這樣的定價為有效。

當一切準備就緒時，執行耗時約 12 分鐘。

他們使用預先批准的交易來取得治理控制權，將假代幣列為抵押品，並透過自家預言機操控其價格，同時提高提款上限，實質移除所有風險控制。接著，他們存入這些假抵押品，並在多個金庫（vaults）中以此為擔保借出真實資產。

一共 31 筆交易，排空了約 $200M 百萬資產，內容包括 USDC、ETH、以 SOL 為基礎的代幣，以及其他資產。

在數小時內，資金被跨鏈轉移。攻擊者將資產兌換成 USDC，透過超過 100 筆交易將其橋接至以太坊（Ethereum），再把它換成約 129,000 ETH，最後把資金分散到多個錢包中。

此次攻擊與 Lazarus Group 有關，該組織在近年來已從加密生態系統中竊取超過 $6B 。

這並不是區塊鏈技術的失敗；而是治理設計與人類信任的失敗。

這是一個由以下因素共同造成的結果：

• 長期的社會工程（social engineering）
• 預先批准的治理存取權
• 通過系統檢查的假抵押品
• 沒有延遲防護的即時執行