2.85亿在12分钟内被盗，不是因为漏洞，而是因为系统过度信任人类。

2026年4月1日，Solana上最大的永续交易所Drift Protocol被利用，损失2.85亿美元。在攻击前，该协议的总锁仓价值约为$550M ，其中超过一半在几分钟内被有效清空。

关键在于：代码层面没有任何漏洞。没有智能合约漏洞。系统完全按照设计运行。

攻击者花了大约六个月时间建立访问权限。他们在2025年底接触贡献者，假扮成合法的交易公司，参加真实的会议，进行技术讨论，甚至向生态系统注入超过$1M ，以显得可信。随着时间推移，他们赢得了信任，并通过共享代码仓库和伪造应用引入恶意工具。这使他们能够攻破连接治理的贡献者设备。

从那里开始，他们瞄准的是治理层，而非代码。

Drift使用的是无时间锁的2/5多签，任何两个签名者都可以立即批准管理操作。攻击者利用这一点，通过让签名者提前批准交易，使用Solana的持久随机数（durable nonces）功能，使签名交易无限期有效。这些批准在漏洞发生前数周已被收集，之后无法撤销。

同时，攻击者创建了一个名为CVT的伪造代币。他们铸造了7.5亿个代币，加入了极少的流动性，并通过洗盘交易让其看起来像是真实的$1 资产。协议的预言机系统接受了这种定价，因为没有严格的流动性或验证检查。

当一切准备就绪后，执行过程大约用了12分钟。

他们利用预先批准的交易控制了治理，将伪造的代币列为抵押品，通过自己的预言机操控其价格，并提高提款限额，实质上移除了所有风险控制。随后，他们存入伪造的抵押品，并在多个金库中借出真实资产。

总共31笔交易，耗尽了约$285 百万资产，包括USDC、ETH、基于SOL的代币等。

数小时内，资金跨链转移。攻击者将资产兑换成USDC，通过超过100笔交易桥接到以太坊，转化为大约129,000 ETH，并将资金分散到多个钱包。

此次攻击与“拉撒路集团”有关，该组织近年来已从加密生态系统盗取超过$200M 。

这不是区块链技术的失败，而是治理设计和人类信任的失败。

这是以下因素的结合：

• 长期的社会工程
• 预先批准的治理访问
• 通过系统检查的伪造抵押品
• 无延迟保护的即时执行