Ang pagkakasunod ni Drift ay sumasakop sa pinakamalalim na sugat na ayaw ng industriya harapin.
Abril 1, Araw ng mga Tula.
Ang Drift Protocol, ang pinakamalaking perpetual contract exchange sa chain ng Solana, ay tinatapos na, at ang unang reaksyon ng komunidad ay, "Magandang April Fools' joke."
Hindi ito joke. Sa paligid ng 1:30 PM, ang mga chain monitoring accounts na Lookonchain at PeckShield ay nagpalabas ng alert nang sabay-sabay: isang unknown wallet na nagsisimula sa "HkGz4K" ay nagtatanggal ng mga asset mula sa vault ng Drift nang napakabilis. Ang unang transaksyon: 41 milyong JLP tokens, na may halagang $155 milyon. Agad pagkatapos, 51.6 milyong USDC, 125,000 WSOL, 164,000 cbBTC... labindalawang uri ng asset ay parang tubig sa isang bath tub na tinanggalan ng stopper—tumatakbo nang malakas.
Isang oras. Ang mga asset ng vault ay bumaba mula sa $309 milyon patungo sa $41 milyon. Lumipas ang kalahati ng TVL, nawala.
Ipinost ng koponan ng Drift isang tweet sa X na may kakaibang pagkakaroon ng pagkakaroon ng kahihinatnan: "Nakakaranas ang Drift Protocol ng aktibong pag-atake. Sinuspensyon na ang mga deposito at pagtarik. Nagkakaroon kami ng koordinasyon sa iba't ibang kompanya sa seguridad, cross-chain bridges, at mga exchange upang kontrolin ang sitwasyon."
At ang sumusunod ay ang pahayag na malalaman sa kasaysayan ng cryptocurrency: "Hindi ito isang April Fools joke."
Isang susi, na buksan ang lahat ng pinto
Ang halaga ng mga digital na yaman na nasakop sa Drift ay nagkakaiba-iba ayon sa iba’t ibang pinagkukunan. Ipinagpalagay ng PeckShield na humigit-kumulang $285 milyon, habang ibinigay ng Arkham ay higit sa $250 milyon, at ang unang pagtataya ng CertiK ay nasa paligid ng $136 milyon. Gayunpaman, anuman ang tamang bilang, ito ang pinakamalaking pangyayari sa seguridad ng DeFi noong 2026 hanggang sa kasalukuyan.
Higit sa mga numero, mas mahalaga ang paraan ng pag-atake.
Sinabi nang malinaw ni Jiang Xuxian, tagapagtatag ng PeckShield, sa Decrypt: "Napapalabas o napapagod nang malinaw ang admin key sa likod ng Drift." Ipinaliwanag ng mga mananaliksik sa chain na ang imahe ng pag-atake ay nagpapakita na ang mga hacker ay nakakuha ng eksklusibong pag-access sa Drift protocol, na nagresulta sa pagkontrol sa daloy ng pera sa vault.
Sa ibang salita, walang malikhaing pagpapabaya sa smart contract, walang pag-atake sa flash loan, walang pagmamaliw sa oracle. Ito ay ang pinakasimpleng, pinakalumang uri ng pagkabigo sa seguridad—nawala ang private key.
Mas nakakalungkot na detalye: hindi ito nagmula sa isang biglaang desisyon. Ang chain data ay nagpapakita na ang wallet ay nakakuha ng unang pondo 8 araw bago ang pag-atake sa pamamagitan ng Near Intents, at pagkatapos ay nasa katatagan. Isang linggo bago ang pag-atake, kahit na tumanggap ito ng isang maliit na transaksyon na halagang $2.52 mula sa Drift treasury. Isang pagsubok, isang "pagtuktok".
Isang linggo pagkatapos, sinaksak ang pinto.
Ang pagbagsak ng crypto version ng Robinhood
Para kay Cindy Leow, co-founder ng Drift, ang nightmare noong April 1 ay may karagdagang malupit na konteksto.
Ang kuwento ng Malaysian-Chinese entrepreneur ay isa sa pinakamagandang inspirasyonal na kuwento sa Solana DeFi. Nagsimula sa arbitrage ng Bitcoin sa China at Korea noong 2016, nag-alam ng proprietary fund, at nag-ambag ng mga derivative project sa Ethereum, noong 2021, kasama ni David Lu, itinatag niya ang Drift at nagtaya sa pagiging mabilis ng Solana para sa on-chain perpetual contracts.
Batay sa timeline, halos sinakop ng Drift ang bawat alon. Noong 2024, nakakuha ito ng dalawang pagsasamantala na pinamumunuan ng Polychain at Multicoin, na kabuuang $52.5 milyon. Ipinakilala nito ang prediction market na sumasalungat sa Polymarket, isinampa ang 50x leverage, lumampas ang TVL sa $550 milyon, at higit sa $50 bilyon ang kabuuang volume ng transaksyon. Sa isang interbyu kay Fortune, ginamit ni Leow ang isang ambisyosong pagkakakilanlan: maging "ang Robinhood ng cryptocurrency".
Ang metapora na ito ay ngayon ay nagdudulot ng iba’t ibang damdamin. Ang pangunahing pangako ng Robinhood ay ang pagbibigay ng access sa mga pangkaraniwang tao sa mga financial tool ng Wall Street. Ang pangunahing pangako ng Drift naman ay ang pagbibigay sa mga user ng “non-custodial” na trading experience sa chain, kung saan ang iyong pera ay hindi lumalabas sa kamay ng sinuman, kundi nag-iinteraksyon lamang sa code.
Ngunit sa likod ng code, may isang admin key. At ang kaligtasan ng key na ito, sa huli ay nakasalalay sa tao, hindi sa kriptograpiya.
May isa pang nakakasaktong historical coincidence dito. Noong 2022, naranasan na ng Drift v1 ang isang insidente kung saan nalikom ang buong treasury. Isinulat ng team ang isang napakadetalyadong teknikal na report, at kahit isinampa nila ang isang proof-of-concept code na nagpapakita kung paano nila nalikom ang buong treasury sa isang transaksyon. Ang pinsalang naganap noon ay $14.5 milyon, at binayaran ng team ang buong halaga mula sa kanilang bulsa upang mabayaran ang mga user.
Apat na taon pagkatapos, ang parehong pangaral ay nangyari muli sa sukat na 20 beses.
Paniniwala sa decentralization, ang kamatayan ng centralization
Lumawak ang iyong pananaw mula sa Drift, at makikita mo ang isang hindi komportableng pattern na umuunlad.
Sa simula ng 2025, nasira ang AWS Key Management Service ng Resolv Labs, at ginamit ng mga attacker ang mga key na may pribilehiyo upang aprubahan ang malawakang paggawa ng USR stablecoin, na nagdulot ng chain reaction ng mga pagkawala sa iba’t ibang platform. Sa parehong taon, ang kabuuang halaga ng crypto theft noong 2025 ay umabot sa bagong talaan na $3.4 bilyon, at partikular na binanggit ng ulat ng Chainalysis ang isang pagbabago sa trend: ang pinakamalalang insidente ay nangyari sa antas ng infrastraktura. Ang mga nasirang developer machine, ang mga iisang minting key na naka-store sa cloud, at ang mga signature process na na-phishing sa pamamagitan ng social engineering—ito ang tunay na mga black hole na kumakain ng pera.
Idagdag na ang Drift.
Kung iyong isasama ang mga kaso na ito, isang konklusyon ay hindi maiiwasan: ang seguridad ng private key ay nakapalit sa mga butas sa smart contract bilang pinakamalaking sistemikong panganib sa DeFi.
Mayroong isang pagkakabawas sa pag-unawa na sapat na malaki upang mapasok ang milyon-milyon dolyar.
Ang kuwento na ipinapakita ng mga protokolo ng DeFi ay ang "decentralization," "non-custodial," at "trustless." Ang iyong ari-arian ay pinag-iingat ng code, at walang intermediate na makakapag-access sa iyong pera. Kinuha ng mga user ang kuwento na ito, at inilagay ang kanilang pera sa mga protokolong ito, naniniwala na "nagtatrabaho ako sa matematika."
Ngunit ang katotohanan ay ang halos bawat aktibong DeFi protocol ay may isang o ilang "key ng Diyos"—ang admin key, right sa upgrade, kontrol sa treasury, at emergency pause switch. Ang pagkakaroon ng mga susi na ito ay minsan para sa kaligtasan (upang makapag-brake nang maagap kung may problema), at minsan para sa flexibility (upang makapag-upgrade ng contract logic), ngunit ang kanilang本质 ay pareho: isang centralized point of trust, nakabalot sa isang decentralized narrative.
Ang user ay naniniwala na sila ay nag-iinteract sa code. Sa katotohanan, sila ay nagtatagpo ng isang tao, o isang maliit na grupo, na hindi makakakamali, hindi makakasali sa phishing, hindi makakasailalim sa pagsasamantala, at hindi makakalimutan ang kanilang laptop sa kapehan sa gabi.
Hindi ito eksklusibong problema ng Drift, ito ay struktural na kontradiksyon sa buong industriya ng DeFi.
Nasaan ang $285 milyon
Ang mga aksyon ng attacker sa chain ay malinaw at may kalmadong propesyonal.
Pagkatapos ilabas ang mga ari-arian mula sa Drift Treasury, agad niyang binago ang karamihan sa mga token sa stablecoin, at pagkatapos ay isinalin ang pera sa Ethereum network gamit ang Wormhole cross-chain bridge. Sa Ethereum, ginamit niya ang ilang stablecoin upang bumili ng humigit-kumulang 19,913 ETH (halaga ng humigit-kumulang $42.6 milyon), habang ang natitirang pera ay pinamahagi sa maraming wallet address.
May isang kawalang-kwenta detalye: ang wallet ng attacker ay mayroon pa ring malaking halaga ng Fartcoin, na kumakatawan sa halos 2.5% ng kabuuang suplay ng token. Isang hacker na bago lamang ay nagawa ang pinakamalaking DeFi theft sa taon, may kamay na puno ng meme coin na pinangalanang “putik”.
Sa oras ng pagpapalabas, patuloy pa ang pagpapahinga ng pag-deposito at pag-withdraw ng Drift, bumaba ang halaga ng DRIFT token mula sa halos $0.072 bago ang pag-atake patungo sa paligid ng $0.05, isang pagbaba ng higit sa 28%. Mula sa kasaysayang mataas na $2.60, ang kabuuang pagbaba ay higit sa 98%. Ang Phantom Wallet ay nagpalabas na ng babala sa mga gumagamit na subukang ma-access ang Drift.
Sinabi ng koponan ng Drift na nagsasagawa sila ng koordinasyon sa mga kompanya ng seguridad, mga operator ng cross-chain bridge, at mga sentralisadong exchange upang subukan ang pagpapahinga at pagtatakas ng mga pinagkakakitaang pondo. Ngunit kung ang kasaysayan ay maaaring magbigay ng anumang paalala, ang posibilidad na mabawi ang mga pondo na ipinadala sa pamamagitan ng cross-chain bridge at nahati sa maraming wallet ay hindi malamang.
Isang tanong na kailangang harapin nang tapat ng isang industriya
Ang pagkakasunod ni Drift ay sumasakop sa pinakamalalim na sugat na ayaw ng industriya harapin.
Sa report ni Chainalysis noong katapusan ng 2025, malikhain nilang sinabi na ang seguridad ng DeFi ay nagkaroon ng "makabuluhang pag-unlad," kahit na ang TVL ay dumoble patungo sa $11.9 bilyon, bumaba ang mga pagkawala dahil sa hacker sa DeFi. Ginamit ang kaso ng Venus Protocol bilang positibong halimbawa: ang sistemang pagsusuri sa seguridad ay nakakita ng anomali 18 oras bago ang pag-atake, agad na ipinag-utos ng protokolo ang paghinto sa operasyon, at ang mekanismo ng pamamahala ay nagsara sa pera ng attacker; kahit na ang attacker ay nawalan ng pera.
Ang Drift ay nagpapababa sa "kuwentong pag-unlad" na ito. Maaari mong gawing perpekto ang pag-audit ng smart contract, maaari mong i-deploy ang pinakamodernong on-chain monitoring, ngunit kung isang admin key ay ma-hack sa pamamagitan ng social engineering, phishing, o brute force, ang lahat ng security infrastructure ay parang isang kastilyo na itinayo sa buhangin.
Kailangan ng DeFi industry na huminto at magsagot nang tapat sa isang tanong: Ano nga ba ang ibig sabihin mo nang sabihin mo sa mga user ang "non-custodial"?
Kung ang admin key ng protokolo ay maaaring i-transfer ang lahat ng mga ari-arian sa vault kahit kailan, ano ang tunay na pagkakaiba nito kaysa sa pag-iipon ng pera sa isang akawnt ng banko na pinapangasiwaan ng isang tao na hindi mo kilala? Kung saan, sa banko, mayroon kang insurance, regulasyon, at legal na karapatan.
Maaaring ang solusyon ay hindi ang pag-alis ng mga karapatan na ito, dahil sa maraming kaso, ang kanilang pagkakaroon ay kinakailangan. Ngunit kung ano-man, dapat ng industriya na tumigil sa pagpapanggap na wala sila. Ang multi-sign governance, time locks, hardware security modules, key rotation… ang mga teknikal na solusyong ito ay umiiral na maraming taon, ngunit maraming protokolo pa ring nakikibahagi sa seguridad ng milyon-milyong dolyar sa pagiging alerto ng ilang tao lamang.
Ang pangarap na "Robinhood ng cryptocurrency" ay maganda. Ngunit bago ito maisagawa, maaaring unahing sagutin ang isang mas pangunahing tanong: Sino ang nangangalaga ng susi?