💡 Vụ tấn công vào Drift Protocol là một lời nhắc nhở rõ ràng rằng bảo mật trong không gian DeFi không chỉ dừng lại ở mã nguồn. Đội ngũ RetroLab nhận thấy rằng các cuộc tấn công ngày càng chuyển hướng sang khai thác các lỗ hổng trong quản trị và yếu tố con người, đòi hỏi một cách tiếp cận bảo mật toàn diện hơn, vượt ra ngoài các cuộc kiểm toán hợp đồng thông minh truyền thống.
Vào ngày 1 tháng 4 năm 2026, Drift Protocol, sàn giao dịch hợp đồng tương lai vĩnh cửu lớn nhất trên Solana, đã trở thành nạn nhân của một vụ tấn công tinh vi, khiến 285 triệu USD bị rút ruột. Theo ước tính của TRM Labs, toàn bộ quá trình rút tiền chỉ diễn ra trong khoảng 12 phút. Điều đáng chú ý là vụ khai thác này nhắm vào cơ chế quản trị (governance) chứ không phải lỗi trong mã hợp đồng thông minh (smart contract).
TRM Labs nhận định vụ tấn công “nhiều khả năng do tin tặc Triều Tiên thực hiện” dựa trên các mẫu chuẩn bị trên chuỗi (on-chain staging patterns). Elliptic cũng độc lập đánh giá hành vi này nhất quán với các hoạt động trước đây được Triều Tiên hậu thuẫn.
Một tác nhân độc hại đã giành quyền truy cập trái phép vào Drift Protocol thông qua một cuộc tấn công mới lạ liên quan đến các nonces bền vững (durable nonces), dẫn đến việc chiếm quyền quản trị Hội đồng Bảo mật (Security Council) của Drift một cách nhanh chóng.
— Drift Protocol, qua X
Quá trình chuẩn bị cho cuộc tấn công bắt đầu từ ngày 11 tháng 3 với việc rút 10 ETH từ Tornado Cash. Số tiền này sau đó được sử dụng để triển khai CarbonVote Token (CVT), một tài sản hoàn toàn hư cấu với khoảng 750 triệu đơn vị được đúc. Kẻ tấn công đã tạo một pool thanh khoản nhỏ trên Raydium với vài nghìn USD, sau đó thực hiện giao dịch rửa (wash trading) để tạo ra lịch sử giá giả mạo gần 1 USD. Các oracle của Drift đã ghi nhận mức giá giả tạo này, khiến CVT bắt đầu trông giống như một tài sản thế chấp hợp lệ.
Từ ngày 23 đến 30 tháng 3, kẻ tấn công đã tạo nhiều tài khoản “durable nonce”. Đây là một tính năng hợp pháp của Solana cho phép các giao dịch được ký trước và thực hiện sau mà không hết hạn. Kẻ tấn công đã sử dụng kỹ thuật xã hội (social engineering) để lừa các bên ký đa chữ ký (multisig signers) của Hội đồng Bảo mật Drift ký trước các giao dịch có vẻ bình thường nhưng lại chứa các ủy quyền ẩn.
Đáng tiếc, vào ngày 27 tháng 3, Drift đã di chuyển Hội đồng Bảo mật của mình sang một cấu trúc mới với ngưỡng 2 trên 5 chữ ký và không có timelock (khóa thời gian). Điều này đã loại bỏ độ trễ vốn có thể cho phép phát hiện trước khi các hành động quản trị có hiệu lực.
Ngày 1 tháng 4 là ngày thực hiện. Kẻ tấn công đã niêm yết CVT như một thị trường hợp lệ trên Drift, tăng giới hạn rút tiền lên mức cực cao và rút cạn tiền từ gần 20 kho tiền (vaults).
Đây không phải là một trò đùa Cá tháng Tư.
— Drift Protocol, qua X
Các tài sản bị đánh cắp đã được chuyển đổi thành USDC và SOL. Kẻ tấn công đã bắc cầu chúng từ Solana sang Ethereum bằng Cross-Chain Transfer Protocol (CCTP) của Circle, sau đó chuyển đổi thành ETH và tích lũy khoảng 129.066 ETH. Các khoản tiền gửi SOL cũng được đưa vào HyperLiquid và Binance.
ZachXBT đã công khai chỉ trích Circle vì đã không đóng băng số USDC bị đánh cắp trong quá trình bắc cầu. Số tiền đã di chuyển trong giờ làm việc của Hoa Kỳ trong nhiều giờ mà không có sự can thiệp nào.
Vụ khai thác đã xóa sổ hơn một nửa tổng giá trị bị khóa (Total Value Locked – TVL) của Drift. TVL giảm từ khoảng 550 triệu USD xuống còn 252 triệu USD. Token DRIFT đã giảm khoảng 40%. Gần 20 giao thức DeFi liên quan đã báo cáo các ảnh hưởng dây chuyền. PiggyBank_fi báo cáo mức độ phơi nhiễm khoảng 106.000 USD và đã bù đắp cho người dùng từ quỹ của đội ngũ. Ranger Finance đã tạm dừng các khoản tiền gửi với ước tính mức độ phơi nhiễm hơn 900.000 USD. Jupiter Exchange xác nhận pool JLP của họ vẫn được đảm bảo đầy đủ.
Drift đã gửi tin nhắn trên chuỗi vào ngày 3 tháng 4 tới bốn ví nắm giữ số ETH bị đánh cắp, thúc giục những người nắm giữ mở một cuộc đối thoại.
Với 285 triệu USD, đây là vụ hack DeFi lớn nhất năm 2026 và là vụ khai thác lớn thứ hai trong lịch sử của Solana, chỉ sau vụ hack cầu nối Wormhole 326 triệu USD vào năm 2022. TRM Labs lưu ý rằng tốc độ rửa tiền sau vụ hack này vượt qua cả vụ khai thác Bybit năm 2025 về cả tốc độ và quy mô giao dịch. Các hoạt động tiền điện tử của Triều Tiên đã tuân theo các kịch bản tương tự kể từ ít nhất là vụ hack cầu nối Ronin Bridge năm 2022. Quá trình chuẩn bị trên chuỗi bắt đầu vào ngày 11 tháng 3 với việc rút tiền từ Tornado Cash. Số tiền bắt đầu di chuyển vào ngày hôm sau vào khoảng 12:00 AM GMT, tức khoảng 9:00 AM giờ Bình Nhưỡng. CTO của Ledger, Charles Guillemet, đã so sánh vụ việc này với vụ hack Bybit trị giá 1,4 tỷ USD, cũng được cho là do các tác nhân Triều Tiên thực hiện. Ông đánh giá rằng những kẻ tấn công có khả năng đã xâm nhập vào máy của những người ký đa chữ ký thông qua việc thâm nhập lâu dài.
Hợp đồng thông minh vẫn hoạt động tốt. Mục tiêu thực sự bây giờ là con người: các điểm yếu về kỹ thuật xã hội và an ninh vận hành (opsec) hơn là các lỗ hổng mã.
— Lily Liu, Chủ tịch, Solana Foundation
Theo Chainalysis, Triều Tiên đã đánh cắp khoảng 2 tỷ USD tiền điện tử vào năm 2025, chiếm khoảng 60% tổng tài sản kỹ thuật số bị đánh cắp trong năm đó. Vụ hack Bybit cũng sử dụng cùng một mô hình: chuẩn bị kiên nhẫn trong nhiều tuần, nhắm mục tiêu vào quản trị và những người ký, chứ không phải mã.
Trail of Bits đã kiểm toán Drift vào năm 2022. ClawSecure đã kiểm toán vào tháng 2 năm 2026. Tuy nhiên, cả hai đánh giá đều không xác định được các điểm yếu quản trị đã tạo điều kiện cho cuộc tấn công. Việc giới thiệu thị trường CVT và việc di chuyển Hội đồng Bảo mật không có timelock nằm ngoài phạm vi các cuộc kiểm toán tập trung vào mã.
Vài nghìn USD thanh khoản giả đã biến thành 285 triệu USD tài sản bị đánh cắp. Kẻ tấn công không tìm thấy lỗi. Chúng đã tạo ra một token, tạo ra giá giả, lừa những người ký duyệt trước các giao dịch, loại bỏ timelock và thực hiện. Mọi bước đều nhắm vào con người và quản trị, không phải mã. Các cuộc kiểm toán DeFi chỉ xem xét hợp đồng thông minh đã bỏ qua bề mặt dễ bị khai thác nhất.
— Artem Safonov, Nhà phân tích mối đe dọa tại AnonHaven
Drift Protocol được Cindy Leow và David Lu thành lập vào năm 2021. Sàn giao dịch này đã nắm giữ hơn 400 triệu USD tổng tiền gửi trước cuộc tấn công. Drift cam kết sẽ công bố thêm thông tin sau khi quá trình điều tra pháp y hoàn tất.
Nguồn: Hacker News - https://anonhaven.com/en/news/drift-protocol-hack-285-million-solana/
