8 月 24 日清晨,Solana 链上再度传出警报——生态核心 DeFi 项目 Jupiter DEX 遭到黑客突袭,仅 15 分钟内,5000 万美元资金被劫走,包括 16000 枚 SOL(约 3000 万美元)和 2000 万 USDC。这已经是本月 Solana 的第三起安全事件,从 NFT 市场到 Raydium 流动性池,再到 Jupiter,Solana 生态的安全隐患正在持续显现。受此影响,SOL 价格瞬间下跌 4.5%,用户恐慌性撤资,整个生态陷入信任危机。
Jupiter 是 Solana 生态中重要的 DeFi 项目,作为链上最大的流动性聚合器,它的日交易量超过 10 亿美元,总锁仓价值(TVL)高达 15 亿美元,同时还获得 Solana Labs 官方支持,与 Phantom 钱包、Raydium 等核心应用深度绑定。如此“明星项目”,却成为黑客攻击的目标,并在极短时间内被洗劫一空。
攻击发生在 UTC 04:15,黑客通过自动化脚本多次执行闪电贷操作,短短五分钟内,Solana 监控工具就检测到异常交易。到 UTC 04:30,Jupiter 团队紧急暂停部分路由功能并冻结相关合约,攻击才逐渐停止。随后,社区在 Twitter 和 Discord 上炸开锅,Solana 基金会正式确认损失约 5000 万美元。部分资金还被跨链转移到以太坊和 BSC,通过混币器洗白。
本月早些时候,Solana 已经历两次安全事件:8 月 10 日,一家 NFT 市场损失 200 万美元;8 月 18 日,Raydium 流动性池漏洞造成 1000 万美元损失。短短两周,三起安全事件累计损失超 6200 万美元。高速交易能力的优势,在此刻反而被黑客利用,智能合约审计进度难以跟上项目开发节奏。
黑客此次使用的是 DeFi 中常见的组合手法:闪电贷漏洞、预言机操纵和重入攻击。整个操作分为四步:首先借用闪电贷获得临时巨额资金,无需抵押;随后操纵 Jupiter 的价格预言机,通过虚假交易制造套利空间;接着利用借来的资金抽干真实流动性池资产,反复进行虚假套利操作,最终还回闪电贷,净赚 5000 万美元;最后将资金分散到多个匿名钱包,并通过混币器或跨链转换隐藏资金流向。
Solana 高速交易的特性让攻击更加容易实现。其理论 TPS 高达 65000,交易确认仅需 0.4 秒,黑客可以在极短时间内完成借贷、操纵和抽资全流程。此外,Solana 的并行执行模型和部分项目为了赶进度而简化审计,也为闪电贷攻击留下了空间。即便 Jupiter 曾经过安全审计,但组合漏洞仍未覆盖。
事件发生后,SOL 价格瞬间跳水,从 190 美元跌至最低 175 美元,市值蒸发约 20 亿美元。Jupiter 的 TVL 从 15 亿下降到 12 亿美元,全生态 TVL 单日减少 50 亿,用户链上活跃地址下降 15%,Orca、Serum 等 DeFi 协议交易量下降约 20%。杠杆玩家更是惨遭爆仓,Binance、Bybit 上 SOL 永续合约爆仓超 1 亿美元,大多数是多头。
面对危机,Solana 基金会与 Jupiter 团队迅速行动,24 小时内推送安全补丁,包括整合 Chainlink V2 预言机、对闪电贷加限额及重入保护等措施。同时宣布对整个生态进行全面安全审计,并设立 150 万美元悬赏追踪黑客,Nexus Mutual 保险预计覆盖 80% 损失。Solana 基金会还建立 1 亿美元生态恢复基金,支援受攻击的小项目。CEO Anatoly Yakovenko 强调主网未宕机,核心节点正常,高 TPS 优势仍存在,补丁落地后生态有望恢复信心。
投资者和开发者需关注安全补丁落地情况、黑客追踪进展以及 TVL 与活跃地址的变化,同时警惕短期价格波动和中小 DeFi 项目安全风险。专家提醒,Solana 的问题并非孤例,整个 DeFi 行业都存在“开发快、审计慢”的矛盾,高 TPS 网络只会放大风险。未来,DeFi 项目需将安全置于效率之上,引入多预言机验证和延长审计周期。
此次 Jupiter 攻击是 Solana 的惨痛教训,也提醒整个加密行业,DeFi 创新不能以牺牲安全为代价。用户将资金交给链上代码,是基于对技术可靠性的信任,一旦漏洞出现,再快的网络和再高的收益都可能成为黑客的提款机。
免责声明 本文仅供信息参考,不构成投资建议。投资者应根据自身风险承受能力理性评估,加密货币投资需谨慎。