Hôm qua, sàn giao dịch crypto Drift Protocol có trụ sở tại Solana đã bị tấn công và mất khoảng 280 triệu đô la trong một chiến dịch kéo dài nhiều tuần, có thể đã sử dụng kỹ thuật xã hội để xâm nhập và chiếm đoạt quyền phê duyệt của nhiều người ký đa chữ ký.
Vào lúc 7 giờ tối ngày 1 tháng 4 theo giờ UTC+1, Drift thông báo rằng đã có “hoạt động bất thường” trên giao thức và người dùng nên tránh gửi tiền. Họ nhấn mạnh, “Đây không phải là trò đùa Cá tháng Tư.”
Điều này xuất phát từ việc người dùng X lên tiếng cảnh báo rằng Drift đang bị lợi dụng và mức độ lợi dụng sẽ rất nghiêm trọng.
Drift sau đó xác nhận rằng họ đang bị tấn công và cần phải tạm ngừng các giao dịch gửi và rút tiền. Các nhà nghiên cứu bắt đầu suy đoán rằng khóa riêng tư của Drift đã bị xâm phạm.
Giao thức Drift đang bị tấn công. Việc gửi và rút tiền đã bị tạm ngừng. Chúng tôi đang phối hợp với nhiều công ty bảo mật, cầu nối và sàn giao dịch để ngăn chặn sự cố. Đây không phải là trò đùa Cá tháng Tư. Chúng tôi sẽ cung cấp thêm thông tin cập nhật từ tài khoản này khi… https://t.co/03SRPq4fHj
— Drift (@DriftProtocol) 1 tháng 4 năm 2026
Sau đó, Drift đã chia sẻ một dòng thời gian chi tiết về những gì đã xảy ra và diễn biến như thế nào.
Thông báo cho biết: “Đây là một hoạt động vô cùng tinh vi, dường như đã được chuẩn bị trong nhiều tuần và thực hiện theo từng giai đoạn, bao gồm cả việc sử dụng các tài khoản Nonce lâu dài để ký trước các giao dịch nhằm trì hoãn việc thực hiện.”
Họ khẳng định cuộc tấn công không phải do lỗi trong chương trình hoặc hợp đồng thông minh của Drift gây ra, không có bằng chứng về việc cụm từ hạt giống bị xâm phạm, và cuộc tấn công liên quan đến việc phê duyệt giao dịch trái phép trước khi vụ tấn công được thực hiện.
Tuy nhiên, họ thừa nhận rằng những sự chấp thuận này có thể đã được tạo điều kiện thuận lợi bởi một cuộc tấn công kỹ thuật xã hội nhắm vào nhân viên của họ và việc thao túng "các cơ chế Nonce bền vững".
Chuyện gì đã xảy ra với Drift vậy?
Cơ chế Nonce bền vững là một loại công cụ blockchain có thể bỏ qua việc ký băm khối và tạo điều kiện thuận lợi cho việc ký dịch ngoại tuyến.
Drift tuyên bố rằng vào ngày 23 tháng 3, bốn tài khoản Nonce bền vững đã được tạo ra, trong đó hai tài khoản liên kết với các thành viên multisig của Hội đồng An ninh Drift và hai tài khoản liên kết với các tài khoản do kẻ tấn công kiểm soát.
Dưới đây là trình tự các sự kiện.
— Drift (@DriftProtocol) 2 tháng 4 năm 2026
Ngày 23 tháng 3: Thiết lập Nonce ban đầu
Bốn tài khoản Nonce có hiệu lực lâu dài đã được tạo:
– Hai người có liên quan đến các thành viên đa chữ ký của Hội đồng An ninh Drift
– Hai tài khoản liên quan đến tài khoản do kẻ tấn công kiểm soát
Các tài khoản liên quan:
Một.…
Sau đó, vào ngày 27 tháng 3, “Drift đã thực hiện một cuộc di chuyển theo kế hoạch của Hội đồng Bảo an do sự thay đổi thành viên hội đồng.”
Ba ngày sau, một tài khoản Nonce bền vững khác được tạo cho một thành viên của nhóm chữ ký đa chữ ký được cập nhật, cho phép kẻ tấn công "truy cập hiệu quả vào 2/5 người ký trong nhóm chữ ký đa chữ ký được cập nhật".
Ngày hành quyết
Drift tuyên bố rằng vào ngày 1 tháng 4, họ đã thực hiện một giao dịch rút tiền thử nghiệm từ quỹ bảo hiểm. Sau đó, kẻ tấn công, với quyền truy cập vào các phê duyệt đa chữ ký, đã thực hiện "một giao dịch chuyển khoản quản trị độc hại chỉ trong vài phút, giành quyền kiểm soát các quyền ở cấp độ giao thức."
Sau đó, kẻ tấn công có thể "Sử dụng quyền kiểm soát đó để đưa vào một tài sản độc hại và xóa bỏ tất cả các giới hạn rút tiền đã được thiết lập trước, tấn công vào các khoản tiền hiện có."
Drift chưa chia sẻ bất kỳ chi tiết nào về cách thức cuộc tấn công kỹ thuật xã hội có thể đã diễn ra. Đôi khi, chúng có thể là kết quả của việc kẻ tấn công giả mạo danh tính, thông qua tin nhắn trực tiếp, email hoặc điện thoại, và lừa gạt ai đó để lấy được quyền truy cập quan trọng.
Đối tác của Drift, Circle , chưa đóng băng quỹ.
Vụ việc đã vấp phải sự chỉ trích từ nhà điều tra tiền điện tử ZachXBT, người đã lên tiếng phản đối công ty stablecoin Circle và những nỗ lực chậm chạp của họ trong việc đóng băng số tiền bị đánh cắp.
Drift đã tích hợp Giao thức Chuyển khoản Chuỗi chéo (CTTP) của Circle vào năm 2023. ZachXBT lưu ý rằng “Circle đã ngủ quên trong khi hàng triệu USDC được chuyển qua CCTP từ Solana sang Ethereum trong nhiều giờ liền sau vụ hack Drift trị giá hàng trăm triệu USD diễn ra trong giờ làm việc của Mỹ.”
" Circle đã có 6 giờ để đóng băng số tiền bị đánh cắp từ vụ hack Drift trị giá hơn 280 triệu đô la", ông nói.
Một số người dùng khác đã phản đối việc phân loại giao thức này là "phi tập trung", sau khi cuộc tấn công dường như đã lợi dụng các cơ chế tập trung.
Một số người dùng khác tỏ ra khó chịu vì Drift chỉ yêu cầu hai trong số năm bước phê duyệt đa bước để thực hiện giao dịch.
Nó đây rồi
- tobi (@tobific) Ngày 2 tháng 4 năm 2026
Đây chính là thủ phạm.
Việc sử dụng đa chữ ký 2/5 cho Tổng giá trị khóa (TVL) 500M mà không có khóa thời gian là điều điên rồ.
Bạn có thể nghĩ đó là mã hóa đa chữ ký 4/5, nhưng không đâu, các nhóm này thật điên rồ và sau đó họ sẽ đưa ra những lời giải thích kỹ thuật cao siêu để biện minh tại sao sau khi tiền của người dùng đã biến mất.
Nền tảng này cho biết họ đang phối hợp với các công ty an ninh, cơ quan thực thi pháp luật, các đơn vị trung gian và các sàn giao dịch để tìm hiểu chuyện gì đã xảy ra và phong tỏa các tài sản bị đánh cắp. Họ cũng cho biết thêm rằng một báo cáo chi tiết hơn sẽ được công bố trong những ngày tới.
Giám đốc công nghệ của Ledger đã suy đoán rằng các sự kiện của vụ tấn công mạng này có phương thức hoạt động tương tự "với vụ tấn công mạng Bybit năm ngoái, được cho là do các thế lực liên kết với Triều Tiên thực hiện."
Protos đã liên hệ với Drift để xin bình luận và sẽ cập nhật bài viết này nếu nhận được phản hồi.
