2.85億美元憑空消失：DeFi的安全幻象

去中心化金融平台Drift遭駭客攻擊，損失估計高達2.85億美元，可能成為2026年迄今最大加密貨幣盜竊案。事件再度引發對DeFi安全架構與監管空白的深層質疑。

最安全的保險箱，往往是那扇沒有鎖的門。

2026年4月1日，去中心化金融（DeFi）平台Drift在社群媒體上宣布，平台正遭受「主動攻擊」，並已緊急暫停所有用戶的存款與提款功能。這不是愚人節玩笑——這是一場可能高達2.85億美元的真實劫案。

事件經過

區塊鏈安全公司CertiK最先在X平台發出警報，估計駭客竊取了約1.36億美元的加密資產。隨後，加密貨幣分析機構Arkham給出了更高的數字：2.85億美元。兩家機構的估算存在差距，這在鏈上事件的早期階段並不罕見，最終數字仍有待確認。

Drift官方表示正在「全力遏制事件擴散」，但截至報導發出時，公司發言人尚未就外界的詢問作出回應，攻擊手法與幕後黑手也尚未公開。根據追蹤加密貨幣盜竊規模的「Rekt排行榜」，若損失數字獲得確認，此次事件將成為2026年以來規模最大的加密貨幣盜竊案。

這不是孤立事件。安全研究人員指出，2025年全球加密貨幣盜竊案中，有相當大比例與北韓駭客組織有關，全年盜竊總額估計至少達20億美元。這些資金被認為用於資助北韓的核武計畫，同時幫助政權規避國際制裁、繞過全球金融體系的封鎖。

此次Drift事件是否同樣出自北韓之手，目前尚無定論。但這一背景提醒我們：加密貨幣盜竊早已不只是網路犯罪，它已成為地緣政治博弈的工具之一。對於高度關注地緣政治風險的亞洲投資人而言，這一維度尤其值得關注。

廣告合作

去中心化金融的核心承諾是：消除銀行等中介機構，讓金融交易透過智能合約自動執行，公開透明、不可篡改。然而，這次事件再次暴露了這一理念的內在矛盾。

Drift在危機發生後，採取了一個高度中心化的決策——強制暫停存提款。這是保護用戶資產的必要措施，卻也揭示了一個現實：當真正的危機來臨，「去中心化」的平台往往仍需要一個中央控制點來止血。而更根本的問題在於，智能合約一旦部署，漏洞修復極為困難；資金一旦流出，幾乎沒有追回的機制。

這與傳統金融體系形成鮮明對比。台灣、香港及東南亞各地的銀行受到嚴格監管，存款受到一定程度的法定保障。DeFi平台則處於監管灰色地帶——用戶承擔全部風險，卻沒有任何制度性保障。

對於Drift的普通用戶來說，資產被凍結是最直接的衝擊。即便他們沒有直接損失，無法存提款的狀態本身就造成了流動性損失，在市場波動時尤為痛苦。

從監管機構的角度看，此次事件為加強DeFi監管提供了新的論據。美國、歐盟乃至亞洲各監管機構，都在摸索如何將DeFi納入現有法律框架。香港近年積極推進虛擬資產監管，新加坡也在建立明確的許可制度——此類事件無疑將加速這一進程。

區塊鏈技術的支持者則認為，問題不在於DeFi本身，而在於個別專案的安全實作不足。開源代碼的透明性理論上允許任何人進行安全審計，長期而言有助於生態系統的自我淨化。

對於中國大陸的觀察者而言，這一事件或許提供了另一種詮釋：中國對加密貨幣的嚴格管制，雖然限制了市場自由，卻也在客觀上保護了普通民眾免受此類風險。這種「保護性管制」與「開放性風險」之間的取捨，在不同政策環境下呈現出截然不同的面貌。

台灣、香港及海外華人社群中，加密貨幣與DeFi的參與度持續上升。高收益的流動性挖礦、跨鏈橋接服務吸引了大量資金流入。然而，Drift事件提醒我們：在沒有存款保險、沒有監管保障的環境中，「年化收益20%」的背後，可能是「資產歸零」的現實風險。

技術上的透明（區塊鏈公開可查）並不等同於安全。智能合約的漏洞往往隱藏在複雜的代碼邏輯中，即便經過審計也難以完全排除。