漂移利用漏洞：耐用Nonce攻击后管理员密钥审计聚焦_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

漂移利用漏洞：耐用Nonce攻击后管理员密钥审计聚焦

2026-04-02 20:22:19

Drift协议披露了一起基于持久化随机数的攻击事件，该事件导致恶意行为者在安全漏洞期间窃取了安全委员会的管理权限，而此前市场估算此次攻击造成的损失已超过2亿美元。此次事件后，管理员密钥问题成为了安全的核心焦点。对于用户而言，一个直接的教训是：在正式的代码漏洞分析报告出炉之前，治理访问和签名者控制机制就可能已经失效。

Drift事件揭示了什么：关于持久化随机数攻击

攻击时间线

2026年4月1日，Drift表示其正遭受攻击，并暂停了存款和提现功能以展开调查。

2026年4月2日，该协议称恶意攻击者利用基于持久化随机数的方法获得了未授权访问，并迅速接管了安全委员会的管理权限。

这是目前最清晰的官方记录。Drift描述了管理权限的失控，但尚未就此次漏洞所涉及的所有系统发布完整的根本原因分析。

技术机制

Bloomingbit对Drift声明的总结指出，此次攻击结合了通过持久化随机数实现的延迟执行与被盗的多签批准，这表明问题更倾向于特权访问滥用，而非简单的合约漏洞。

Drift对持久化随机数的描述以及Bloomingbit的总结将讨论聚焦于交易授权和时机问题上。它们本身并未完整揭示整个攻击链中每个批准环节的失效过程，这也是为什么当前信息仍属于事件更新，而非最终的事后分析报告。

同一份官方更新提到，Drift正在与安全公司、交易所、跨链桥及执法部门合作，追踪和冻结资产。这一点很重要，因为它表明应对措施已经超出了修补单一协议内部代码的范畴。

专家为何聚焦于管理员密钥而非仅是代码

有报道称，Jiang Xuxian表示Drift的管理员密钥肯定已遭泄露或盗用。这一观点虽非最终结论，但与Drift关于安全委员会权限被夺取的声明相符。

Drift关于管理权限被夺取的披露以及Jiang Xuxian的评论，都将安全教训指向了特权控制。代码审计固然重要，但现有证据更直接地指向了签名者安全、批准路径和治理访问权限。

特权控制为何成为真正的攻击面

Drift描述的管理权限被夺取事件，也有助于解释为何此次风波迅速升级为关于紧急权限和资产冻结的辩论。类似的情况也出现在Tommy Shaughnessy对Circle在Drift漏洞事件中冻结USDC的批评上。

这一关于控制权被破坏的官方描述，为事件赋予了政策层面的维度，类似于美联储官员Barr的警告，即在GENIUS监管规则开始实施之际，稳定币风险依然存在。因为两者都关乎当加密系统失效时，谁掌握着关键密钥、批准权和干预权。

对于投资者而言，实际的信任问题已不再局限于Drift的代码是否经过审计。官方的事件更新、专家评论以及Phantom对用户的警告都指向了一个更广泛的运营链条，其中包括签名者、治理权限、钱包集成和危机应对控制。

Drift漏洞如何影响用户

用户警告与已确认损失是不同的信号

Phantom表示，在其安全团队调查期间，尝试通过Phantom访问Drift的用户会看到强制警告。这使得此次漏洞转变为钱包层面的风险提示，而不仅仅是后端的事件报告。

对于普通用户而言，Phantom的警告和Drift暂停存提款的直接影响是立竿见影的：甚至在市场核实最终损失金额之前，访问就可能已被中断。

这也解释了为什么产品内的钱包警告比公共关系声明更重要。当一个生态系统的参与方在主动调查期间改变了用户流程，即表明该威胁已被视为更广泛的安全问题，而非单一的应用程序故障。

PeckShield的初步估算、Phantom的警告以及Drift关于管理权限的披露，描述了三种不同的后果：可能的损失、用户风险提示和攻击机制。将它们混为一谈会夸大实际已确认的信息。

关于损失与追回，哪些仍未确认

PeckShieldAlert初步估算损失约为2.85亿美元，但该文章指出此数字仅为初步估计，并非最终总额。

所审查的材料中并未包含完整的官方事后分析、基于区块链浏览器的对账报告或赔偿计划。因此，读者虽能清楚了解攻击方法，但对于最终的损失或追回情况尚无定论。

Drift确认了攻击方式和管理权限被夺取，而PeckShield仅提供了初步估算。这种信息差异恰恰说明，仓促的解读可能将事件简化为一个普通的漏洞标题。

读者应关注Drift后续更新的哪些方面

下一项重要的披露将是Drift发布的完整技术性事后分析报告，其中应解释持久化随机数、签名者批准和管理权限在攻击路径中是如何相互作用的。

第二个关键点在于任何关于已追踪、冻结或追回资产的公开说明。在这些信息披露之前，最可靠的事实仍然是Drift的事件时间线、Phantom的用户警告以及PeckShield的临时估算。

在所审查的资料中未发现监管机构的声明，因此事件的焦点仍停留在事件响应层面，而非执法或赔偿。

常见问题解答：关于Drift漏洞与管理员密钥风险

Drift协议发生了什么？

Drift于2026年4月1日表示其正遭受攻击，并暂停了存款和提现。4月2日，其称攻击者利用基于持久化随机数的方法获得未授权访问，并夺取了安全委员会的管理权限。

这被确认为普通的智能合约代码漏洞了吗？

没有。Drift的官方更新核心在于管理权限被夺取，Bloomingbit的总结也指向延迟执行和多签批准被盗，而非已公布的合约漏洞根本原因。

目前损失有多大？

在审查的材料中，最广泛引用的数字约为2.85亿美元，应将其视为临时数据，因为该估算并未被表述为最终结果。

Phantom对用户说了什么？

Phantom表示，在其安全团队调查期间，尝试通过该钱包访问Drift的用户会看到强制警告。

目前主要的安全启示是什么？

Drift对安全委员会权限被夺取的描述以及Jiang Xuxian的评论都指向了管理员密钥和批准路径的风险，这也解释了为何现有证据支持对特权控制进行与合约代码同等严格的审计。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文