Bài viết gốc của Odaily Planet Daily ( @OdailyChina )
Tác giả|Wenser ( @wenser2010 )
Trong bối cảnh xung đột ở Trung Đông vẫn đang diễn ra ác liệt, một vụ tấn công an ninh mạng liên quan đến hơn 200 triệu đô la đã giáng thêm một đòn mạnh vào cộng đồng crypto .
Vào ngày Cá tháng Tư, 1 tháng 4, Drift Protocol, một giao thức phái sinh hàng đầu Solana , đã chơi một trò đùa mà dường như không hề là trò đùa: chỉ một tuần trước đó, họ đã cập nhật cơ chế đa chữ ký của mình để chỉ yêu cầu 2/5 chữ ký và chưa triển khai khóa thời gian; một tuần sau, hơn 280 triệu đô la tài sản liên quan đến JLP đã bị đánh cắp. Điều này chắc chắn làm dấy lên nghi ngờ về hành vi trộm cắp nội bộ.
Tin nóng: Drift đã chính thức xác nhận bị tấn công và đã tạm ngừng tất cả các giao dịch nạp và rút tiền trên nền tảng của mình; hơn nữa, các dự án có khả năng bị ảnh hưởng đã tuyên bố rõ ràng: "Đây không phải là trò đùa Cá tháng Tư."
Một tuyên bố tưởng chừng như chỉ là trò đùa thực chất có thể đang hé lộ một đòn giáng mạnh khác vào hệ sinh thái Solana DeFi.
Cuộc tấn công vào giao thức Drift: 11 giao dịch đã làm trống kho tiền ngay lập tức.
Các cuộc điều tra sơ bộ cho thấy lần tấn công đã lợi dụng việc chiếm đoạt quyền quản trị và lỗ hổng thực thi đa chữ ký.
Yu Xian, người sáng lập SlowMist,đã đăng tải : "Một tuần trước, Drift đã chuyển sang nhóm đa chữ ký 2/5 (bao gồm 1 địa chỉ ví cũ và 4 địa chỉ ví chữ ký mới) mà không bị khóa thời gian (ghi chú Odaily: nghĩa là thao tác có thể được thực hiện ngay lập tức). Vài giờ trước, kẻ tấn công đã chiếm quyền quản trị, đúc các đồng CVT giả mạo, thao túng oracle, vô hiệu hóa các cơ chế bảo mật liên quan và tẩu thoát cùng với tài sản có giá trị của nhóm."
Thông tin Chuỗi cho thấy những kẻ tấn công trước tiên mua vào 41,72 triệu token thanh khoản Jupiter (JLP), trị giá khoảng 155,6 triệu đô la, sau đó nhanh chóng chuyển một lượng lớn USDC và token khác ra ngoài, rồi chuyển sang Chuỗi Ethereum để mua khoảng 19.913 ETH, tương đương khoảng 42,6 triệu đô la.
Toàn bộ quy trình bao gồm khoảng 11 giao dịch lớn, trong đó có:
- 51,61 triệu USDC, tương đương khoảng 51,62 triệu đô la Mỹ;
- 125.000 token WSOL, trị giá khoảng 10,45 triệu đô la Mỹ;
- 164.000 cbBTC, trị giá khoảng 11,29 triệu đô la Mỹ.
- Địa chỉ ví hacker: HkGz4KmoZ7Zmk7HN6ndJ31 UJ1qZ2qgwQxgVqQwovpZES.
Chỉ trong vài phút, tổng tài sản của Drift đã giảm mạnh từ 309 triệu đô la xuống còn 41 triệu đô la.
Khoảng 3 giờ sáng, Drift chính thức thông báo rằng họ đã bị tấn công và cho biết đã phối hợp ứng phó với một số công ty bảo mật, cầu nối xuyên chuỗi và sàn giao dịch.
Nguyên nhân vụ tấn công: Kết luận chính thức vẫn đang chờ xử lý, nhưng nguyên nhân chính có khả năng là do rò rỉ private key của quản trị viên.
Hiện tại, Drift vẫn chưa chính thức công bố lý do chính dẫn đến cuộc tấn công lần .
Công ty bảo mật PeckShield xác định rằng khóa quản trị của Drift Protocol rất có thể đã bị xâm phạm hoặc bị xâm phạm, cho phép kẻ tấn công giành được quyền truy cập đặc quyền và kiểm soát kho lưu trữ của giao thức. Đánh giá này mô tả cuộc tấn công là một sự vi phạm ở cấp độ quyền hạn, chứ không phải là một lỗ hổng trong mã hợp đồng thông minh.
Các báo cáo khác từ cộng đồng cho thấy những kẻ tấn công có thể đã thao túng các thông số tài sản thế chấp, thổi phồng giá trị của một số tài sản thanh khoản để vay token có giá trị cao, cuối cùng đánh cắp tiền từ kho tiền. Mô hình này rất giống với các cuộc tấn công quản trị DeFi trước đây. Hiện tại, các cơ quan điều tra chưa loại trừ khả năng có lỗ hổng trong hợp đồng thông minh hoặc thao túng oracle, và cuộc điều tra vẫn đang tiếp diễn.
Đáng chú ý, ví Solana mà những kẻ tấn công sử dụng chỉ mới hoàn tất nạp tiền ban đầu là 1 SOL vào tuần trước, và trước đó đã nhận được một khoản chuyển khoản thử nghiệm nhỏ khoảng 2,52 đô la từ kho tiền Drift, cho thấy những kẻ tấn công có thể đã chờ đợi và hoàn tất xác minh ủy quyền trước khi thực hiện hoạt động thực tế. Hơn nữa, số tiền trong địa chỉ liên kết với kẻ tấn công Drift có nguồn gốc từ Backpack , có khả năng để lại manh mối liên quan đến các thủ tục KYC (Xác minh danh tính khách hàng).
Phản ứng thị trường: Token DRIFT giảm mạnh 28%, SOL chịu áp lực trong thời gian ngắn.
Sau khi tin tức về vụ trộm Drift được lan truyền, thị trường hoảng loạn, và cổ phiếu của DRIFT và SOL nhanh chóng giảm giá.
Token gốc,DRIFT, đã giảm hơn 38% trong 24 giờ qua , hiện đang giao dịch ở mức khoảng 0,042 đô la. Điều này thể hiện mức giảm lũy kế hơn 98% so với lịch sử 2,60 đô la đạt được vào tháng 11 năm 2024. Giá SOL cũng giảm sau tin tức này, hiện ở dưới 80 đô la, giảm gần 5% trong 24 giờ qua, và hiện đang giao dịch ở mức 78,6 đô la.
Phantom Wallet đã chủ động hiển thị cảnh báo rủi ro cho người dùng cố gắng truy cập vào giao thức Drift; các công ty niêm yết công khai của Solana Treasury là Forward Industries và DeFi Development Corp cũng đã đưa ra tuyên bố xác nhận rằng tiền của họ không bị ảnh hưởng bởi lần tấn công.
Vụ tấn công DeFi lớn nhất trong hệ sinh thái Solana năm 2026
Theo một bài đăng của KOL crypto@lugeweb3, các dự án bị thiệt hại rõ rệt hoặc bị ảnh hưởng nghiêm trọng bởi vụ trộm Drift bao gồm:
- @piggybank_fi: 106.000 đô la đã bị đánh cắp; đội ngũ đang bơm thanh khoản để bù đắp thiệt hại cho người dùng.
- @DeFiCarrot: Các sản phẩm Boost và Turbo không bị ảnh hưởng, nhưng toàn bộ dòng sản phẩm đều bị ảnh hưởng bởi lỗ hổng bảo mật và chức năng tạo/trao đổi đã bị tạm ngừng.
- @uselulo: Các khoản tiền gửi truyền thống có thể bị ảnh hưởng (các khoản tiền gửi được bảo vệ và tăng cường thì không bị ảnh hưởng).
- @reflectmoney: Tất cả hoạt động phát hành/quy đổi USDC+ và USDT+ đã bị đóng băng.
- @project0: Việc vay vốn được bảo đảm bằng thị trường Drift Market đã bị tạm ngừng.
- @ranger_finance: Nạp tiền/rút rgUSD bị tạm ngừng; 900.000 đô la trong tổng số 14,6 triệu đô la TVL của Drift bị đóng băng.
- @elementaldefi: Tiền SOL và Lend được gửi vào Drift đã đóng băng(tiền USDC và ONYC vẫn an toàn).
- @TradeNeutral: Tất cả các quỹ liên quan đến Drift (JLP, siêu staking BTC/ETH/SOL, Hyper JLP, v.v., với tổng TVL là 3,6 triệu đô la) có thể bị ảnh hưởng và việc gửi/rút tiền sẽ bị tạm ngừng.
- @xplaceapp: Chức năng gửi/rút tiền hiện không khả dụng; chế độ tín dụng và chức năng vay mượn đã bị vô hiệu hóa.
- @GetPyra: Tiền trong tài khoản bị ảnh hưởng, tất cả các chức năng của thẻ đều bị tạm ngừng.
- @ExponentFinance: Các giao dịch liên quan đến USDC+ hiện đang bị tạm ngừng.
- @fusewallet: Việc nạp tiền đã bị tạm ngừng.
- @perena: Stablecoin không bị ảnh hưởng, nhưng việc rút tiền bị tạm dừng; JLP Vault (giá trị tài sản bị khóa là 512.000 USD) trên Neutral Trade có thể bị ảnh hưởng.
Các dự án đã được nêu rõ là không bị ảnh hưởng:
- @JupiterExchange
- @kamino
- @UnitasLabs
- @onrefinance
- @solflare
- @hylo_so
- @MarinadeFinance
- @synatraxyz
- @solsticefi
- @defidevcorp
- @jito_sol
- @MeteoraAG
- @sanctumso
- @wormhole
Xét về quy mô, sự cố lần có thể trở thành một trong những sự cố bảo mật DeFi lớn nhất trong hệ sinh thái Solana kể từ vụ tấn công cầu nối xuyên chuỗi Wormhole.
Trước sự cố Drift, tổng giá trị bị khóa (TVL) của nó ước tính khoảng 550 triệu đô la. Lần tấn công đã gây ra thiệt hại trực tiếp 285 triệu đô la, trở thành sự cố bảo mật DeFi lớn nhất năm 2026 tính đến thời điểm hiện tại. Điều đáng chú ý là tổng thiệt hại do các cuộc tấn công DeFi trong tháng 3 lên tới khoảng 52 triệu đô la, bao gồm 20 sự cố lớn. Chỉ riêng sự cố bảo mật Drift này đã đẩy tổng thiệt hại trong nửa đầu năm lên một mức kỷ lục mới.
Không còn nghi ngờ gì nữa, vụ trộm Drift một lần nữa đã gióng lên hồi chuông cảnh báo cũ nhưng vẫn luôn đúng cho ngành công nghiệp DeFi – bên cạnh bảo mật mã nguồn, bảo mật vận hành cũng quan trọng không kém. Nếu cuối cùng được xác nhận rằng vụ trộm là do rò rỉ private key của quản trị viên, điều này sẽ càng khẳng định rằng dù việc kiểm toán mã nguồn có hoàn thiện đến đâu, yếu tố con người vẫn luôn là mắt xích yếu nhất trong bảo mật Chuỗi.
Cuối cùng, Odaily nhắc nhở người dùng: Không nên gửi tiền hoặc tương tác với giao thức cho đến khi Drift công bố báo cáo điều tra đầy đủ và đưa ra giải pháp rõ ràng.
