285 tỷ won đã biến mất trong 12 phút.
Bốn ngày trước, Drift Protocol, một sàn giao dịch hợp đồng tương lai vĩnh viễn phi tập trung dựa trên nền tảng Solana, đã trở thành mục tiêu của một cuộc tấn công mạng quy mô lớn. Theo công ty phân tích bảo mật TRM Labs, tin tặc đã đánh cắp 285 triệu đô la (khoảng 394,8 tỷ won) chỉ trong khoảng 12 phút. Drift đã phải đưa ra một thông báo khẩn cấp thông qua các kênh chính thức của mình, với nội dung bất thường: "Đây không phải là trò đùa Cá tháng Tư."
Mức độ thiệt hại là vụ tấn công mạng DeFi lớn nhất trong lịch sử năm nay. Đây cũng là vụ tấn công lớn thứ hai trong lịch sử Solana, sau vụ tấn công Wormhole Bridge năm 2022 (326 triệu đô la).
Tổng giá trị bị khóa (TVL) của Drift đã giảm mạnh từ 550 triệu đô la xuống còn khoảng 240 triệu đô la ngay sau cuộc tấn công. Giá của token DRIFT đã giảm tới 47% trong vòng 24 giờ, xuống còn khoảng 0,04 đô la.
Đó không phải là lỗi lập trình. Đó là vi phạm quy tắc quản trị.
Cuộc tấn công này không phải là một vụ hack thông thường lợi dụng các lỗ hổng trong mã hợp đồng thông minh. Kẻ tấn công đã kết hợp "kỹ thuật xã hội" với chức năng thông thường của Solana, "Durable Nonce", để giành quyền kiểm soát cấu trúc quản trị.
Công tác chuẩn bị bắt đầu từ ba tuần trước. Vào ngày 11 tháng 3, kẻ tấn công đã rút ETH từ sàn giao dịch Ethereum Tornado Cash và sử dụng nó để phát hành một loại tài sản hoàn toàn giả mạo có tên là 'Carbonboat Token (CVT)'. Các nhà phân tích blockchain lưu ý rằng dấu thời gian phân phối CVT tương ứng với 9 giờ sáng giờ Bình Nhưỡng, và TRM Labs cùng Elliptic đã độc lập đánh giá rằng cuộc tấn công này phù hợp với phương pháp của các tổ chức tin tặc có liên hệ với Triều Tiên.
Tiếp đó, kẻ tấn công thiết lập thanh khoản tối thiểu cho CVT trên sàn giao dịch phi tập trung Raydium và thổi phồng giá thông qua các giao dịch rửa tiền. Sau đó, từ ngày 23 đến 30 tháng 3, chúng đã lừa đảo những người ký đa chữ ký của Hội đồng An ninh Drift để lấy chữ ký trước cho các giao dịch thoạt nhìn có vẻ bình thường. Những chữ ký này trở thành "khóa thực thi được giữ chỗ" mà kẻ tấn công có thể thực thi ngay lập tức bất cứ lúc nào.
Lỗ hổng bảo mật nghiêm trọng này do chính Drift tạo ra vào ngày 27 tháng 3. Vào ngày đó, Drift đã loại bỏ hoàn toàn Timelock khi chuyển đổi cấu trúc chữ ký của Hội đồng Bảo mật sang cấu trúc 2/5. Timelock là một biện pháp bảo vệ giúp trì hoãn các hành động của quản trị viên từ 24 đến 72 giờ, tạo cơ hội phát hiện hành vi bất thường. Ngay khi Timelock biến mất, các giao dịch đã được ký trước của kẻ tấn công có thể được thực thi ngay lập tức.
Vào ngày 1 tháng 4, kẻ tấn công đã đăng ký CVT làm tài sản thế chấp hợp lệ, nâng giới hạn rút tiền và gửi hàng trăm triệu đô la CVT để rút tài sản thực từ Risk Engine của Drift. Các tài sản bị đánh cắp bao gồm USDC, SOL, JLP, WBTC, v.v., và kẻ tấn công đã đổi chúng lấy USDC trên Solana rồi chuyển chúng sang Ethereum thông qua CCTP (Giao thức chuyển giao xuyên chuỗi) để chuyển đổi thành ETH.
Mặc dù đây là một giao thức đã vượt qua các cuộc kiểm toán bảo mật của Trail of Bits (2022) và ClawSecure (tháng 2 năm 2026), nhưng việc CVT được đưa ra thị trường và những thay đổi về quản trị gần đây đã không được mạng lưới kiểm toán này kiểm tra.
Sự lây lan diễn ra ngay lập tức.
Vụ tấn công mạng của Drift nhanh chóng lan rộng ra ngoài các giao thức liên quan trực tiếp. Hơn 20 giao thức Solana đã bị ảnh hưởng trong một phản ứng dây chuyền.
Các giao thức liên quan trực tiếp hoặc gián tiếp đến Drift đã tiết lộ mức độ thiệt hại và thực hiện các biện pháp khẩn cấp. Giao thức Carrot đã tạm ngừng chức năng tạo và đổi tiền sau khi 50% tổng giá trị bị ảnh hưởng. Giao thức Pyra đã chặn hoàn toàn việc rút tiền. Ranger Finance xác nhận thiệt hại hơn 900.000 đô la và tạm ngừng gửi và rút RGUSD. Prime Numbers Fi báo cáo thiệt hại hàng triệu đô la. PiggyBank ngay lập tức bù đắp khoản lỗ 106.000 đô la bằng tiền của nhóm.
Ngay cả các giao thức không bị ảnh hưởng trực tiếp cũng không tránh khỏi thiệt hại. Tổng TVL của Solana trong lĩnh vực DeFi đã giảm khoảng 1 tỷ đô la xuống còn 6,544 tỷ đô la chỉ trong vài giờ sau khi vụ tấn công được xác nhận. Các giao thức lớn không liên quan trực tiếp đến sự cố, như Jito (-4,3%), Raydium (-4,33%) và Sanctum (-3,83%), cũng ghi nhận dòng vốn chảy ra.
Trong DeFi, niềm tin hoạt động ở cấp độ hệ sinh thái, chứ không phải cấp độ giao thức. Người dùng không cần chờ xác nhận lần thứ hai. Họ rút tiền trước rồi mới quyết định sau.
Giá SOL cũng bị ảnh hưởng trực tiếp.
Solana (SOL) cũng chịu ảnh hưởng trực tiếp. Vào ngày 2 tháng 4, SOL được giao dịch trong khoảng từ 78 đến 83 đô la và giảm hơn 6% trong vòng 24 giờ. Tính theo tuần, nó đã giảm 11%, đánh dấu mức giảm lớn nhất trong số các loại tiền điện tử chính. Quỹ ETF Solana giao ngay tại Mỹ ghi nhận dòng tiền ròng chảy ra ngoài là 7,84 triệu đô la vào cùng ngày, đánh dấu dòng tiền chảy ra ngoài hàng ngày lớn thứ tư trong lịch sử.
Tuy nhiên, một yếu tố không thể lường trước là môi trường kinh tế vĩ mô cũng xấu đi đồng thời, với giá dầu thô WTI tăng vọt tới 13% khi những phát ngôn đe dọa hành động quân sự chống lại Iran của Tổng thống Trump trùng hợp với cú sốc từ vụ tấn công mạng DeFi.
Quản trị là một phương thức tấn công mới.
Bài học đắt giá nhất mà vụ tấn công này để lại là sự thay đổi trong các phương thức tấn công. Một lần nữa, điều này khẳng định rằng các cấu trúc quản trị và khả năng phán đoán của con người có thể dễ bị tổn thương hơn cả các lỗi trong hợp đồng thông minh.
Việc loại bỏ khóa thời gian, thay đổi cấu hình đa chữ ký và các phương pháp tấn công phi kỹ thuật được thực hiện đằng sau mã đã được kiểm toán. Tấn công trôi dạt cho thấy rằng các cuộc tấn công mà chỉ kiểm toán bảo mật kỹ thuật không thể ngăn chặn đã trở thành hiện thực. Ngành công nghiệp đang ngày càng có nhu cầu định nghĩa lại các tiêu chuẩn liên quan đến thiết kế quản trị, quản lý khóa và việc bắt buộc triển khai khóa thời gian.
Trong DeFi, tổn thất đầu tiên là tiền. Tổn thất thứ hai là niềm tin. Và niềm tin phục hồi chậm hơn nhiều so với tổng giá trị tổn thất (TVL).
Tin tức thời sự... Tham gia nhóm Telegram của TokenPost
[Phân tích kinh tế] Từ cú sốc lạm phát đến sự sụp đổ nhu cầu… "Hãy nhìn vào quân đội, chứ đừng nhìn vào các dòng tweet"
Xem toàn bộ báo cáo Alpha →<Bản quyền ⓒ TokenPost, nghiêm cấm sao chép và phân phối lại trái phép>
