SOL去中心化金融协议遭窃后的安全反思
当一个去中心化金融协议损失数百万美元加密资产时,严峻的质疑往往随之而来——周三Drift协议遭遇的2.85亿美元漏洞事件也不例外。这个基于Solana的项目已置于聚光灯下,研究人员与专家正在细致审查其设计架构,探讨某些设计特性或流程是否本可阻止这场近期获利最丰的DeFi攻击之一。
该项目在社交平台声明,恶意攻击者通过"新型攻击手段"获得未授权访问权限,进而取得对其安全委员会的管控权。声明补充称,此次攻击很可能涉及一定程度的"复杂社会工程学手段"。
这起跻身DeFi史上最大规模的盗案,关键在于攻击者在去中心化交易所上架伪造数字资产并篡改平台提款限额。通过虚增恶意代币价值,攻击者得以滥用借贷机制迅速抽走协议内的真实流动性。
有迹象表明此次漏洞事件存在特定国家背景关联。区块链分析机构在周四报告中指出,攻击者的链上行为、资金清洗手法及网络层级指标均指向这一判断。
随着用户存款受到影响且协议已采取预防性冻结措施,观察者开始聚焦该协议设计的核心环节:多重签名钱包机制。正是通过获取两个私钥生成的签名,攻击者才获得全面控制权。
区块链安全专家指出,多重签名钱包是许多DeFi项目的中心化节点,此次事件暴露了令人不安的现实——智能合约审计能防范的损害终究有限。他在专访中表示,该项目已成为最新例证:试图用代码取代金融中介的服务,往往依赖小型团队和多重签名钱包这类存在网络安全风险的集中化节点。
"当前所有工程师都专注于安全的技术层面,却忽视了流程中人的因素。虽然协议本身是去中心化的,但其治理权却集中在五人手中。"专家如是分析。
专家将该协议的安全疏漏与史上最臭名昭著的DeFi攻击事件相提并论——2022年某国黑客曾盗取价值超6.25亿美元的数字资产,当时攻击目标是为热门NFT游戏开发的以太坊侧链。据区块链安全公司分析,该攻击正是通过获取五个私钥得逞。
尽管区块链分析师发现国家行为体的痕迹,也有观点认为攻击的精确性暗示攻击者对协议具有更深入的了解。专家对特定国家黑客参与此次攻击表示怀疑,因为攻击者——很可能是内部人士——"明显清楚需要针对的目标"。
观察者推测"时间锁"机制本可延缓攻击进程。这项智能合约功能可将交易执行或资金访问权限延迟至特定时间,可能为团队提供关键的应急响应窗口。
安全机构管理合伙人对此表示:"时间锁能为应对此类攻击争取反应时间,本案中确实能发挥作用,但这并非根本原因。核心问题在于特权密钥又一次遭到泄露。"
某区块链创始人则强调,管理数百万美元资金的协议绝不应设计为可被瞬间掏空。他在社交媒体指出,必须对上线高风险资产等关键操作强制执行时间锁,以"防止攻击者在数秒内完成整个漏洞利用链"。
加密安全基础设施创始人也呼应这一观点,同时提及自动熔断机制——当异常流出速度或流量阈值被突破时,该机制可使项目立即暂停运营。
多位安全专家预测,此类漏洞事件绝不会是最后一次。他们注意到恶意行为者正越来越多转向人工智能领域,利用算法全面洞悉下一个攻击目标。
"我们已进入这样的时代:恶意行为者能在通话中伪造你母亲的声音。"专家警示道,"金融攻击可能出现在一年前根本无法想象的领域与形式,我们正身处这样的新时代。"
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注