Drift Protocol, một trong những nền tảng giao dịch hợp đồng tương lai phi tập trung lớn nhất trong hệ sinh thái Solana , đã gây chú ý vào ngày hôm qua sau một cuộc tấn công mạng quy mô lớn.
Theo phân tích của công ty phân tích blockchain Elliptic, khoảng 286 triệu đô la tiền điện tử đã bị đánh cắp trong vụ tấn công. Kết quả điều tra ban đầu cho thấy vụ tấn công có thể liên quan đến các cá nhân có quan hệ với Triều Tiên.
Elliptic cho biết các hoạt động on-chain , phương pháp rửa tiền và hành vi mạng được sử dụng trong vụ tấn công cho thấy sự tương đồng với các hoạt động trước đây có liên quan đến Triều Tiên. Nếu mối liên hệ này được xác nhận, đây sẽ là vụ tấn công thứ 18 có liên quan đến Triều Tiên trong năm 2026. Công ty lưu ý rằng tổng số tiền bị đánh cắp trong các vụ tấn công như vậy kể từ đầu năm đã vượt quá 300 triệu đô la, và các nhóm có liên hệ với Triều Tiên ước tính đã đánh cắp hơn 6,5 tỷ đô la tài sản tiền điện tử trong những năm gần đây.
Ngay sau khi cuộc tấn công bắt đầu, có thông tin cho rằng kẻ tấn công đã rút tiền một cách có hệ thống từ nhiều kho tài sản trong giao thức, làm cạn kiệt một phần lớn tính thanh khoản. Công ty bảo mật blockchain PeckShield cho biết nguyên nhân có thể là do khóa riêng của quản trị viên bị xâm phạm. Điều này cho phép kẻ tấn công có quyền truy cập đặc quyền vào hệ thống, tiến hành rút tiền và sửa đổi các thông số quản trị.
Cuộc tấn công nhắm mục tiêu cụ thể vào các kho tiền điện tử $JLP Delta Neutral, $ SOL Super Staking và BTC Super Staking . Khoảng 41,7 triệu token $JLP (trị giá khoảng 155 triệu đô la) được cho là đã bị rút ra trong một giao dịch duy nhất. $ USDC , $ SOL , cbBTC, wBTC và nhiều token Liquid Staking khác cũng bị chiếm đoạt trong cuộc tấn công này.
Nền tảng dữ liệu DefiLlama thông báo rằng Tổng giá trị bị khóa (TVL) (Tổng giá trị khóa (TVL)) của giao thức Drift đã giảm từ khoảng 550 triệu đô la xuống dưới 250 triệu đô la sau cuộc tấn công. Sự kiện này, được ghi nhận là cuộc tấn công DeFi lớn nhất năm 2026, là vụ vi phạm an ninh lớn thứ hai trong hệ sinh thái Solana sau cuộc tấn công cầu nối Wormhole.
Nhóm Drift đã xác nhận trong một tuyên bố trên mạng xã hội rằng nền tảng của họ đang bị "tấn công tích cực" và thông báo rằng các giao dịch gửi và rút tiền tạm thời bị đình chỉ. Nhóm cũng cho biết họ đang phối hợp với nhiều công ty bảo mật, giao thức cầu nối và sàn giao dịch khác nhau.
Theo dữ liệu on-chain , ví mà kẻ tấn công sử dụng được tạo ra khoảng tám ngày trước khi cuộc tấn công diễn ra và đã thực hiện một giao dịch chuyển khoản thử nghiệm nhỏ trong thời gian đó. Điều này cho thấy cuộc tấn công có thể đã được lên kế hoạch từ trước và thực hiện theo từng giai đoạn.
Kẻ tấn công nhanh chóng chuyển đổi hầu hết tài sản bị chiếm đoạt thành USDC thông qua một Dex Aggregator dựa trên Solana. Sau đó, số tiền này được chuyển sang mạng Ethereum và chuyển đổi thành ETH. Elliptic tuyên bố rằng, nhờ các công cụ phân tích Multi-Chain , việc chuyển tiền từ Solana sang Ethereum có thể được theo dõi.
Vụ tấn công được xem là một phần của sự gia tăng gần đây các hoạt động mạng có liên hệ với Triều Tiên. Thật vậy, Google mới đây đã thông báo rằng một cuộc tấn công chuỗi cung ứng nhắm vào gói npm Axios phổ biến của họ cũng do nhóm UNC1069 có liên hệ với Triều Tiên thực hiện.
*Đây không phải là lời khuyên đầu tư.
