Một sàn giao dịch hợp đồng tương lai vĩnh viễn dựa trên Solana đã mất 286 triệu USD chỉ trong 12 phút vào ngày 1 tháng 4 năm 2026, sau khi những kẻ tấn công dành ba tuần để âm thầm tạo ra tài sản thế chấp giả mạo và thực hiện các thủ đoạn lừa đảo nhằm đánh lừa những người ký kết giao thức. Vụ việc này đã trở thành chủ đề được bàn tán sôi nổi nhất trong cộng đồng tiền điện tử trong vài ngày qua.
Vụ tấn công Drift Protocol năm 2026: Chuyện gì đã xảy ra, ai bị mất tiền và những diễn biến tiếp theo
TÁC GIẢ
CHIA SẺ
Nhóm Lazarus của Triều Tiên bị nghi ngờ liên quan đến vụ trộm 286 triệu đô la trên Solana của Drift Protocol
Drift Protocol, sàn giao dịch hợp đồng tương lai vĩnh viễn phi tập trung lớn nhất trên mạng Solana, đã xác nhận vụ tấn công sau khi chứng kiến tổng giá trị bị khóa (TVL) sụt giảm từ khoảng 550 triệu đô la xuống dưới 250 triệu đô la chỉ trong một buổi sáng, hiện ở mức 232 triệu đô la. Bitcoin.com News là trang đầu tiên đưa tin về vấn đề này. Token DRIFT đã giảm tới 37%–42% trong những giờ tiếp theo, chạm đáy ở mức gần 0,04–0,05 USD.
Các báo cáo cho biết cuộc tấn công không bắt đầu từ lỗi mã nguồn mà từ một giao dịch rút tiền từ Tornado Cash. Vào ngày 11 tháng 3, kẻ tấn công đã rút ETH từ giao thức bảo mật dựa trên Ethereum này và sử dụng số tiền đó để triển khai token carbonvote (CVT) vào ngày 12 tháng 3. Các nhà phân tích blockchain lưu ý rằng thời gian triển khai trùng khớp với khoảng 09:00 giờ Bình Nhưỡng, một chi tiết ngay lập tức gây nghi ngờ.
Một số báo cáo chi tiết rằng trong ba tuần tiếp theo, kẻ tấn công đã cung cấp thanh khoản tối thiểu cho CVT trên sàn giao dịch phi tập trung Raydium và sử dụng giao dịch rửa để duy trì giá gần $1.00. Các oracle của Drift đã đọc giá đó là hợp lệ. Kẻ tấn công đã tạo ra tài sản thế chấp giả mạo trông giống thật đối với mọi hệ thống tự động theo dõi nó.
"Hôm nay, một tác nhân độc hại đã xâm nhập trái phép vào Drift Protocol thông qua một cuộc tấn công mới liên quan đến các nonce bền vững, dẫn đến việc nhanh chóng chiếm quyền quản trị Hội đồng An ninh của Drift," nhóm Drift viết.
Tài khoản X của dự án bổ sung:
"Đây là một hoạt động cực kỳ tinh vi, dường như đã được chuẩn bị trong nhiều tuần và thực hiện theo từng giai đoạn, bao gồm việc sử dụng các tài khoản nonce bền vững để ký trước các giao dịch nhằm trì hoãn việc thực thi."
Bề ngoài, từ ngày 23 đến 30 tháng 3, kẻ tấn công Drift đã chuyển sang giai đoạn can thiệp trực tiếp. Sử dụng tính năng hợp lệ của Solana gọi là nonces bền vững, kẻ tấn công được cho là đã dụ các thành viên của đa chữ ký Hội đồng An ninh Drift ký trước các giao dịch trông có vẻ thông thường. Những chữ ký này trở thành khóa truy cập được phê duyệt trước, được giữ dự trữ cho đến khi kẻ tấn công sẵn sàng.
Lỗ hổng này được khắc phục vào ngày 27 tháng 3, khi Drift chuyển Hội đồng An ninh sang ngưỡng ký 2 trong 5 và loại bỏ hoàn toàn cơ chế khóa thời gian (timelock). Cơ chế khóa thời gian thường buộc phải trì hoãn các hành động quản trị từ 24 đến 72 giờ, cho cộng đồng thời gian để phát hiện và đảo ngược bất kỳ hoạt động đáng ngờ nào. Không có cơ chế này, kẻ tấn công có quyền thực thi ngay lập tức. Các giao dịch đã ký trước được kích hoạt ngay khi cơ chế khóa thời gian bị loại bỏ.
Vào ngày 1 tháng 4, kẻ tấn công đã kích hoạt các giao dịch này, liệt kê CVT là tài sản thế chấp hợp lệ, nâng giới hạn rút tiền và gửi hàng trăm triệu token CVT, dựa trên đó hệ thống quản lý rủi ro của Drift đã phát hành các tài sản thực. Giao thức đã chuyển giao hàng triệu token JLP, hàng triệu USDC, hàng triệu SOL, cùng với các khoản nhỏ hơn của Bitcoin và Ethereum được bọc. 31 giao dịch rút tiền đã được xử lý trong khoảng 12 phút.
Kẻ tấn công đã chuyển đổi các token bị đánh cắp thành USDC thông qua Jupiter, chuyển sang Ethereum và đổi lấy hàng chục nghìn ETH. Một phần tiền được chuyển qua Hyperliquid, và một phần được chuyển trực tiếp đến Binance. Vào ngày 3 tháng 4, Drift đã gửi một tin nhắn trên chuỗi từ một địa chỉ Ethereum đến bốn ví do hacker kiểm soát. Trang tin cryptonomist.ch cho biết tin nhắn có nội dung:
"Chúng tôi sẵn sàng nói chuyện."
Các công ty an ninh Elliptic và TRM Labs đã quy trách nhiệm vụ tấn công này cho các tác nhân đe dọa liên quan đến Triều Tiên, dẫn chứng nguồn gốc từ Tornado Cash, dấu hiệu triển khai theo giờ Bình Nhưỡng, trọng tâm vào kỹ thuật xã hội, và tốc độ rửa tiền sau vụ hack. Nhóm Lazarus đã sử dụng cùng sự kiên nhẫn và phương pháp nhắm mục tiêu vào con người trong vụ hack cầu Ronin năm 2022. Chính phủ Mỹ đã liên kết các vụ trộm cắp này với việc tài trợ cho chương trình vũ khí của Triều Tiên, và Elliptic đã theo dõi hơn $300 triệu bị đánh cắp chỉ trong quý đầu tiên của năm 2026.
Dịch bệnh đã lan rộng sang hơn 20 giao thức. Prime Numbers Fi báo cáo thiệt hại lên đến hàng triệu đô la. Carrot Protocol đã tạm dừng các chức năng đúc và đổi sau khi 50% TVL của họ bị ảnh hưởng. Pyra Protocol đã vô hiệu hóa hoàn toàn việc rút tiền, khiến toàn bộ số tiền của người dùng không thể truy cập được. Piggybank mất $106.000 và đã bồi thường cho người dùng từ quỹ dự trữ của chính đội ngũ.
DeFi Development Corp., một công ty niêm yết trên Nasdaq có chiến lược quỹ dự trữ trên Solana, đã xác nhận vào ngày 1 tháng 4 rằng họ không có rủi ro liên quan đến Drift. Khung quản lý rủi ro của họ đã loại trừ hoàn toàn giao thức này. Sự thật này đã thu hút sự chú ý nhiều hơn so với dự định ban đầu của công ty.
Lỗ hổng bảo mật trên Drift Protocol liên quan đến SOL khiến hơn 200 triệu USD bị đánh cắp: Vụ tấn công DeFi lớn nhất năm 2026?
Theo báo cáo, Drift Protocol trên Solana đã mất hơn 200 triệu USD trong một vụ tấn công được cho là xảy ra vào ngày 1 tháng 4 năm 2026. Giá token gốc của dự án đã sụt giảm đáng… read more.
Đọc ngay
Lỗ hổng bảo mật trên Drift Protocol liên quan đến SOL khiến hơn 200 triệu USD bị đánh cắp: Vụ tấn công DeFi lớn nhất năm 2026?
Theo báo cáo, Drift Protocol trên Solana đã mất hơn 200 triệu USD trong một vụ tấn công được cho là xảy ra vào ngày 1 tháng 4 năm 2026. Giá token gốc của dự án đã sụt giảm đáng… read more.
Đọc ngayLỗ hổng bảo mật trên Drift Protocol liên quan đến SOL khiến hơn 200 triệu USD bị đánh cắp: Vụ tấn công DeFi lớn nhất năm 2026?
Đọc ngayTheo báo cáo, Drift Protocol trên Solana đã mất hơn 200 triệu USD trong một vụ tấn công được cho là xảy ra vào ngày 1 tháng 4 năm 2026. Giá token gốc của dự án đã sụt giảm đáng… read more.
Vụ việc Drift đã rút ra một bài học rõ ràng mà phần lớn ngành đã biết nhưng chưa áp dụng đầy đủ: cơ chế khóa thời gian (timelock) không phải là tùy chọn. Việc loại bỏ biện pháp bảo vệ duy nhất này vào ngày 27 tháng 3 đã biến một cuộc tấn công phức tạp kéo dài nhiều tuần thành một vụ rút tiền chỉ trong 12 phút. Quản trị giao thức mà không có cơ chế trì hoãn chính là quản trị với cánh cửa rộng mở.
48 giờ tiếp theo sau cuộc tấn công DeFi được mô tả là thời điểm quan trọng đối với khả năng duy trì niềm tin của người dùng và vạch ra lộ trình phục hồi của Drift. Tính đến ngày 3 tháng 4, vẫn chưa có kế hoạch bồi thường toàn diện nào được công bố.
Câu hỏi thường gặp 🔎
- Điều gì đã xảy ra với Drift Protocol? Vào ngày 1 tháng 4 năm 2026, những kẻ tấn công đã rút 286 triệu đô la khỏi Drift Protocol bằng cách sử dụng tài sản thế chấp giả mạo và các giao dịch quản trị được ký sẵn để làm trống các kho tiền cốt lõi của giao thức chỉ trong 12 phút.
- Ai chịu trách nhiệm cho vụ tấn công Drift Protocol? Các công ty bảo mật, bao gồm Elliptic và TRM Labs, đã quy trách nhiệm vụ tấn công này cho các tác nhân đe dọa có liên quan đến Triều Tiên, dựa trên các mẫu rửa tiền và dấu thời gian trên chuỗi khối phù hợp với phương thức hoạt động của Lazarus Group.
- Tiền của tôi có an toàn trên Drift Protocol không? Drift đã tạm dừng tất cả các giao dịch nạp và rút tiền sau vụ tấn công; người dùng trong các giao thức bị ảnh hưởng như Pyra và Carrot vẫn không thể truy cập vào tiền của họ tính đến ngày 3 tháng 4 năm 2026.
- Tấn công nonce bền vững trong Solana DeFi là gì? Tấn công nonce bền vững sử dụng một tính năng hợp pháp của Solana để ký trước các giao dịch trông có vẻ bình thường, giữ chúng làm khóa ủy quyền trực tiếp cho đến khi kẻ tấn công quyết định thực thi chúng.
