Vào ngày 1 tháng 4 năm 2026, mọi thứ đã vỡ vụn trên Solana (SOL). Drift Protocol đã bị tấn công bằng một vụ khai thác trị giá 285 triệu USD, và chỉ trong vài giờ, token của nó đã lao dốc mạnh. Tác động không dừng lại ở đó, nó nhanh chóng lan sang các giao thức khác có liên kết.
Phần phân tích này dựa trên báo cáo và đánh giá từ Coin Bureau với 2.73m susbcibers, đã bao phủ toàn bộ diễn biến theo dòng thời gian của vụ khai thác và cách nó diễn ra phía sau hậu trường.
Ban đầu, mọi người cho rằng nguyên nhân quen thuộc: một lỗi smart contract hay một khiếm khuyết kỹ thuật nào đó. Nhưng không phải vậy. Ở đây không có đoạn code nào bị hỏng. Không có lỗ hổng nào bị khai thác.
Cuộc tấn công này được xây dựng dựa trên con người, không phải dựa trên code.
Hoạt động bắt đầu từ vài tháng trước đó, vào khoảng cuối năm 2025. Nó diễn ra lặng lẽ, khi một nhóm giả làm một công ty giao dịch chuyên nghiệp để tiếp cận các cộng tác viên của Drift tại các hội nghị. Họ trông có vẻ đáng tin, am hiểu, và cực kỳ quen thuộc với cả giao dịch lẫn hạ tầng.
Theo thời gian, họ xây dựng các mối quan hệ. Họ tham gia các cuộc thảo luận riêng tư, chia sẻ ý tưởng và phối hợp các chiến lược. Để củng cố hình ảnh của mình, họ thậm chí đã nạp hơn 1 triệu USD vào nền tảng. Chỉ riêng động thái đó đã khiến họ trông nghiêm túc và đáng tin cậy.
Từng bước một, họ giành được quyền truy cập từ bên trong mà không hề cần phải xông vào bằng vũ lực.
- Những kẻ tấn công đã vào được bằng cách nào
- Sai lầm then chốt khiến mọi thứ trở nên khả thi
- $285M đã bị rút cạn trong vài phút như thế nào
- Điều này thay đổi gì cho crypto
Những kẻ tấn công đã vào được bằng cách nào
Ngay khi lòng tin đã được thiết lập, những kẻ tấn công đã đưa vào các công cụ độc hại được ngụy trang như những quy trình thông thường. Họ chia sẻ một kho GitHub trông giống như một tích hợp tiêu chuẩn. Nhưng bên trong đó là mã lệnh được thiết kế để âm thầm xâm nhập hệ thống của một nhà phát triển ngay khoảnh khắc nó được mở ra.
Không hề có cảnh báo hay dấu hiệu rõ ràng. Mọi thứ đều trông có vẻ bình thường.
Tuy nhiên, một cộng tác viên đã bị thuyết phục tải xuống một ứng dụng giả, với ý nghĩ rằng đó là để kiểm thử một ví mới. Điều đó đã giúp kẻ tấn công có quyền truy cập sâu hơn vào các hệ thống nội bộ.
Bây giờ họ không chỉ còn là những người quan sát nữa—họ đã ở trong chính hạ tầng quan trọng, bao gồm cả các hệ thống được dùng để phê duyệt các giao dịch.
_****Đây là Giá Bittensor (TAO) Nếu Nó Nắm Bắt Một Thị Trường AI Trị Giá $60B**
Sai lầm then chốt khiến mọi thứ trở nên khả thi
Ngay cả với mức độ quyền truy cập đó, những kẻ tấn công vẫn cần một cách để giành quyền kiểm soát hoàn toàn mà không bị ngăn chặn. Cơ hội này đến từ một sai lầm đơn giản nhưng nghiêm trọng.
Drift đã gỡ bỏ administrative timelock (khóa thời gian quản trị) của mình trong một bản cập nhật thường lệ. Thông thường, tính năng này tạo ra độ trễ trước khi các hành động quan trọng được thực hiện, cho các đội ngũ thời gian để phát hiện bất cứ điều gì đáng ngờ.
Không có nó, các giao dịch có thể được thông qua ngay lập tức.
Vào khoảng cùng thời điểm đó, những kẻ tấn công đã thuyết phục các thành viên trong nhóm ký vào những thứ trông như các giao dịch hành chính định kỳ. Trên thực tế, những chữ ký đó đã chuyển giao toàn quyền kiểm soát đối với giao thức.
Không hề kích hoạt bất kỳ báo động nào.
$285M đã bị rút cạn trong vài phút như thế nào
Khi mọi thứ đã sẵn sàng, cuộc tấn công diễn ra nhanh chóng. Những kẻ tấn công tạo ra một token giả và thao túng giá của nó để trông như thể nó có giá trị 1 USD. Sau đó, họ niêm yết nó như một tài sản thế chấp hợp lệ trong giao thức.
Trên giấy tờ, điều đó trông như thể họ nắm giữ hàng trăm triệu USD tài sản.
Dựa vào tài sản thế chấp giả đó, họ bắt đầu vay các tài sản thật từ hệ thống. Lượng thanh khoản lớn đã bị rút ra trên nhiều pool khác nhau, bao gồm cả các token lớn như Solana (SOL) và Bitcoin được bọc (wrapped Bitcoin).
Chỉ trong vài phút, hơn $150 triệu đã bị rút cạn. Phần còn lại theo sau ngay sau đó.
Khoản tiền bị đánh cắp đã được đổi sang stablecoins và chuyển ra khỏi mạng lưới. Sau đó, chúng được chuyển cầu sang Ethereum và phân phối qua rất nhiều ví khác nhau, khiến việc khôi phục trở nên cực kỳ khó khăn.
Các công ty an ninh sau đó liên kết cuộc tấn công này với một nhóm ở Bắc Triều Tiên, nổi tiếng với việc thực hiện các hoạt động tương tự. Đây không phải là ngẫu nhiên hay vội vàng. Nó được lên kế hoạch trong nhiều tháng và được thực hiện với độ chính xác cao.
Nhóm tương tự cũng được liên hệ với các vụ khai thác trước đó, nhưng lần này cho thấy mức độ phối hợp và quy mô cao hơn.
Điều này thay đổi gì cho crypto
Sự cố này chuyển trọng tâm sang bảo mật trong crypto. Trong nhiều năm, mối lo ngại chính là các lỗ hổng của smart contract. Các dự án đã đầu tư mạnh vào các đợt audit và rà soát mã, và Drift cũng không phải ngoại lệ.
Nhưng cuộc tấn công này không nhắm vào code. Nó nhắm vào sự tin tưởng.
Các nhà phát triển, cộng tác viên và quy trình nội bộ trở thành điểm xâm nhập. Những kẻ tấn công không phá vỡ hệ thống—chúng vòng qua nó bằng cách khai thác sự tương tác giữa con người.
Điều đó sẽ thay đổi cách cần tiếp cận bảo mật trong tương lai.
Mất mát $285 triệu không chỉ là một vụ khai thác nữa. Nó cho thấy rằng ngay cả các hệ thống đã được audit kỹ lưỡng vẫn có thể thất bại nếu lớp con người bị phơi bày.
DeFi không còn chỉ là về code an toàn nữa. Đó là về việc đảm bảo an ninh cho con người và các quy trình đứng sau đó. Và như vụ việc này cho thấy, có lẽ đây cũng là phần khó nhất để bảo vệ.
