鏈上安全機構慢霧(SlowMist)於 4 月 2 日發布技術分析,揭示 Drift Protocol 被盜事件的關鍵前置條件:攻擊發生前約一週,Drift 將多簽機制進行調整,且未同步設置時間鎖保護機制。攻擊者隨後取得管理員權限,偽造 CVT 代幣、操縱預言機並關閉安全模組,從資金池中系統性提取高價值資產。
慢霧還原攻擊前兆:無時間鎖的多簽修改是核心漏洞
(來源:慢霧)
慢霧分析揭示了此次攻擊最令人警惕的前置節點:被盜前約一週,Drift 在沒有設置任何時間鎖的情況下,將多簽機制調整為「2/5」模式,同時引入 4 個全新簽名者。
時間鎖在協議安全設計中是多簽機制的必要配套。它在高風險配置變更執行前設置強制等待期(通常 24-48 小時或更長),使社群和安全機構有足夠時間發現異常並介入。缺少時間鎖意味著一旦新簽名者的私鑰被竊取或遭到惡意控制,攻擊者可以在無任何等待緩衝的情況下立即執行管理員級別的操作。
被盜前一週發生的多簽架構修改(引入 4 個新簽名者),在時機上高度可疑,是此次安全分析中最受關注的預警節點。
攻擊步驟還原:從管理員洩漏到 105,969 枚 ETH 被盜
根據慢霧的技術分析,攻擊者在取得管理員控制權後,按以下步驟系統性執行了資產清空:
偽造 CVT 代幣:在協議內部偽造虛假代幣,繞過正常的資產驗證邏輯
操縱預言機(Oracle):更改協議的外部價格來源,使鏈上定價失真,為後續提取創造有利條件
關閉安全機制:停用協議內置的風控和安全限制模組,消除資產提取的障礙
轉移高價值資產:從資金池中系統性地提取高流動性資產,完成最終的資產清空
目前被盜資金已主要歸集至以太坊地址,合計約 105,969 枚 ETH(約 2.26 億美元),慢霧表示相關資金流向仍在持續追蹤中。
ZachXBT 點名 Circle:數小時不凍結 USDC 遭業界強烈批評
鏈上偵探 ZachXBT 在同日對 Circle 發出強烈批評。他指出,在 Drift 被盜期間的美國交易時段,數十萬美元規模的 USDC 透過跨鏈協議從 Solana 橋接至以太坊,整個過程「持續數小時卻無人干預」,相關資金已完成全部轉移而 Circle「再次未採取任何措施」。
ZachXBT 同時揭示 Circle 此前的另一個問題:Circle 曾錯誤凍結超過 16 個業務熱錢包,相關解凍程序至今仍在進行中。他點名 Circle 執行長 Jeremy Allaire,稱 Circle 的表現對整個加密行業產生了負面影響。
這一指控引發了業界對穩定幣發行商在安全事件中應承擔何種主動干預職責的廣泛討論。
常見問題
多簽修改時未設置時間鎖為何是此次攻擊的核心問題?
時間鎖是多簽機制的關鍵安全配套,在高權限操作執行前設置強制等待期,使社群和安全機構有時間發現異常並採取行動。Drift 在調整多簽架構時未設置時間鎖,意味著一旦新增簽名者的憑證遭到洩漏,攻擊者可立即執行管理員操作,繞過了社群監督的最後防線。被盜前一週引入 4 個新簽名者的修改時機,是目前調查中最受關注的疑點。
Circle 在此次事件中應承擔什麼責任?
ZachXBT 的批評指向 Circle 在大規模跨鏈 USDC 轉移過程中缺乏即時監控和干預。作為 USDC 發行方,Circle 在技術上具備凍結涉案地址的能力,但在數小時的資金轉移過程中未採取行動。這一爭議觸及了穩定幣發行商在 DeFi 安全事件中的主動干預職責邊界,是當前業界熱議的核心議題。
偽造 CVT 代幣與操縱預言機組合的技術意義是什麼?
偽造 CVT 代幣允許攻擊者在協議內部製造虛假的流動性或抵押品;操縱預言機使協議在定價時使用失真的市場數據。兩者結合,使協議「誤以為」存在足夠的抵押支持,進而允許攻擊者提取遠超實際應得的資產,是智慧合約攻擊中的經典組合手法,在多個 DeFi 被盜案例中均有出現。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Volo Protocol 在 Sui 駭客攻擊中損失 350 萬美元,承諾吸收損失並凍結駭客資金
Gate 新聞訊息,4 月 22 日——Volo Protocol 是 Sui 上的收益金庫營運商,昨日 (4 月 21 日) 宣布,在一宗價值 350 萬美元的漏洞事件之後,它已開始凍結被盜資產。駭客從 Volo Vaults 機槓走了 WBTC、XAUm 和 USDG,這標誌著近期最重大的一次 DeFi 資安事故,發生在該產業一個歷來特別嚴峻的月份之中。
GateNews3小時前
法國家庭在武裝入侵後被迫 $820K 以加密貨幣轉帳
Gate News 訊息,4 月 22 日——根據 The Block 的報導,法國布列塔尼大區的一個小鎮 Ploudalmézeau,週一 (4 月 20 日) 遭到兩名持械蒙面男子入侵。三名成年人被綁縛超過三小時,並被迫將約 700,000 歐元 (約 $820,000) 以加密貨幣轉移到由攻擊者控制的錢包中。嫌疑人駕車逃離;該車輛後來被警方在布雷斯特(Brest)找回,但目前尚未逮捕任何人。
此次事件屬於法國更廣泛的趨勢的一部分。今年截至目前,法國司法警察已記錄超過 40 起與加密貨幣相關的綁架或搶劫案件,較 2025 年約 30 起有所增加。先前的受害者包括一位串流創作者的家人、主要加密貨幣交易所的一名高管,以及一名女性法官。
GateNews4小時前
DOJ 啟動 OneCoin 詐欺受害者賠償流程,已追回資產 $40M+ 可供使用
Gate News 消息,4月22日 — 美國司法部已宣布啟動針對 OneCoin 加密貨幣詐欺計畫受害者的賠償流程,目前已有超過 $40 百萬美元的已追回資產可供分配。
該詐欺計畫由 Ruja
GateNews5小時前
AI16Z、ELIZAOS 造幣方因 26 億美元詐欺指控被起訴;代幣自巔峰暴跌 99.9%
聯邦集體訴訟指控 AI16Z/ELIZAOS 涉嫌透過虛假的 AI 聲稱與誤導性行銷進行價值 26 億美元的加密詐欺;指稱內部人士偏袒與一套被安排的自主系統;並根據消費者保護法尋求損害賠償。
摘要:本報告涵蓋一起於 4 月 21 日提出的 SDNY(紐約南區聯邦法院)聯邦集體訴訟,指控 AI16Z 及其改名後的 ELIZAOS 涉嫌涉及 26 億美元的加密詐欺,內容包含虛假的 AI 聲稱與誤導性行銷。訴訟指稱其刻意製造與 Andreessen Horowitz 之間的關聯,且運作的並非自主系統。報告詳述其在 2025 年初達到最高估值、下跌 99.9%,以及約 4,000 個虧損錢包,同時內部人士取得約 40% 的新代幣。原告依紐約與加州的消費者保護法尋求損害賠償與衡平救濟。韓國監管機構與主要交易所已對相關交易發出警告或暫停交易。
GateNews6小時前
SlowMist 警報:正在運作的 MacSync Stealer macOS 惡意程式,鎖定加密用戶
SlowMist 警告:MacSync Stealer (v1.1.2),針對 macOS 的惡意程式,會竊取錢包、憑證、鑰匙串以及基礎設施金鑰,透過偽造的 AppleScript 提示與虛假的「不支援」錯誤;呼籲提高警惕並留意 IOCs。
摘要:本報告彙整 SlowMist 對 MacSync Stealer (v1.1.2) 的警示內容,該惡意程式為 macOS 資訊竊取程式,目標鎖定加密貨幣錢包、瀏覽器憑證、系統鑰匙串以及基礎設施金鑰 (SSH、AWS、Kubernetes)。它透過偽造的 AppleScript 對話框來欺騙使用者,要求輸入密碼,並顯示可見的虛假「不支援」訊息。SlowMist 向客戶提供 IOCs,並建議避免執行未經驗證的 macOS 腳本,且對異常的密碼提示保持警覺。
GateNews7小時前
北韓 Lazarus 集團部署 Mach-O Man 惡意程式,從 macOS 使用者竊取加密錢包憑證
Lazarus 在 macOS 上釋出 Mach-O Man,用於竊取鑰匙串資料和錢包憑證,並透過 ClickFix 彈出視窗鎖定加密貨幣高管,且通過遭入侵的 Telegram 會議進行攻擊。
摘要:該文章指出,與 Lazarus 有關聯的 Mach-O Man 惡意程式鎖定 macOS,以外洩鑰匙串資料、瀏覽器憑證和登入會話,藉此存取加密貨幣錢包與交易所帳戶。其散布仰賴 ClickFix 社交工程手法,以及遭入侵的 Telegram 帳戶,將受害者導向假的會議連結。文章將此次行動與 4 月 20 日的 Kelp DAO 駭客事件連結,並指出 TraderTraitor 與 Lazarus 有關,同時提到透過 LayerZero 的 OFT 標準在區塊鏈之間移動 rsETH。
GateNews8小時前
