RT Squads：@DriftProtocol 事故調查仍在進行，初步跡象指向 Drift 管理員多簽有兩名簽署者帳戶遭入侵

RT Squads 表示，針對 @DriftProtocol 事件的調查仍在進行。初步證據顯示，Drift 管理員多簽（admin multisig）有兩名簽署者（signer）遭到入侵，攻擊者利用其權限執行交易，並修改 Drift 程式（program）的配置。Squads 相關程式並未遭入侵。 Squads 同時稱，暫未發現 Squads 基礎設施被攻破的證據，但團隊正持續核查，以確保結論具備充分把握；後續如有新發現，將再作更新。 【營運關鍵多簽最佳實務】 一、門檻（Threshold） 凡對程式具營運或管理控制權的多簽，簽署門檻應設定為 3 或以上，以迫使攻擊者必須同時入侵多名彼此獨立的簽署者，大幅提升攻擊難度。條件許可下，簽署者應分散於不同地理位置及不同組織架構；共用同一地點、裝置或同一組織線的簽署者，會帶來高度相關風險。 二、時間鎖（Timelock） 具程式層級控制權的多簽應啟用時間鎖（可在 Squads 多簽的 Settings 設定）。時間鎖無法阻止惡意交易被提出，但可提供偵測與否決的緩衝期，在執行前把關。需要權衡的是，時間鎖亦會拖慢針對漏洞或正在發生的攻擊的緊急處置速度，團隊應把此因素納入營運設計。 三、告警與監控（Alerts & Monitoring） Squads 建議所有營運關鍵多簽透過其安全合作夥伴 @RangeSecurity 建立監控與告警。Range 提供兩項核心能力：一是提供獨立於 Squads UI 的替代介面，用於核對交易內容；二是提供主動式 Slack 告警，讓簽署者在提案推進前收到通知。如需協助部署，可聯絡 Squads，團隊可協助直接對接。 Squads 指出，高門檻、時間鎖及監控，是任何具程式層級控制權多簽的基本配置。 四、簽署流程（Signing Process） 簽署者應使用專用裝置及硬件錢包，避免使用一般用途電腦。另每個簽名的有效期約為 2 分鐘，建議每名簽署者之間至少相隔 2 分鐘才進行下一步操作，以降低簽名被攻擊者收集並打包的風險。交易內容應在三個來源獨立核對：Squads UI、Range 的替代介面，以及 Solana Explorer 或 Solscan。 【關於 Durable Nonces】 Squads 表示，Drift 這次攻擊利用 durable nonces，在無時間壓力下收集簽名，繞過原本 2 分鐘的交易到期限制。Squads 正研究在其所有程式中阻止 durable nonce 的使用，包含在程式層面及其他強制機制，務求相關保護可延伸至其不可變（immutable）的 V3、V4 程式，以及現行 Smart Account Program。 同時，Solana 生態亦正從協議層面處理此問題，據稱將推出新的交易格式，並把 durable nonces 作為功能整體移除。Squads 稱將很快提供更多資訊。 【多簽以外：營運安全（OpSec）】 Squads 補充，單靠技術控制不足以杜絕風險。近期多宗高關注度的入侵事件，主要源於針對持鑰人的社交工程，而非合約本身。若負責關鍵協議的營運工作，應投入建設內部 opsec 流程與團隊文化，包括提案如何發起、溝通與審批均屬風險控制要點。Squads 建議聘請專業安全顧問，並點名 @zeroshadow_io 與 @0xGroomLake 可作為可信起點，亦願意協助直接引薦。