Thảm họa Solana trị giá 285M – Đây Là Điều Thực Sự Đã Xảy Ra

Vào ngày 1 tháng 4 năm 2026, mọi thứ đã sụp đổ trên Solana (SOL). Drift Protocol đã bị nhắm tới trong một vụ khai thác trị giá 285 triệu USD, và chỉ trong vài giờ, token của nó đã lao dốc mạnh. Hậu quả không dừng lại ở đó; nó nhanh chóng lan sang các giao thức khác có kết nối.

Việc phân tích này dựa trên tin tức và đánh giá từ Coin Bureau với 2,73m người đăng ký, nơi đã bao phủ toàn bộ dòng thời gian của vụ khai thác và cách mọi chuyện diễn ra phía sau hậu trường.

Ban đầu, mọi người cho rằng nguyên nhân thường thấy—lỗi hợp đồng thông minh hoặc một khiếm khuyết kỹ thuật nào đó. Nhưng lần này không phải như vậy. Không có mã nào bị hỏng. Không có lỗ hổng nào bị khai thác.

Cuộc tấn công này được xây dựng dựa trên con người, chứ không phải mã.

Hoạt động bắt đầu sớm hơn vài tháng, vào khoảng cuối năm 2025. Nó diễn ra âm thầm: một nhóm đóng vai một công ty giao dịch chuyên nghiệp tiếp cận các cộng tác viên của Drift tại các hội nghị. Họ tạo cảm giác đáng tin cậy, am hiểu sâu cả về giao dịch lẫn hạ tầng.

Theo thời gian, họ xây dựng các mối quan hệ. Họ tham gia các cuộc thảo luận riêng tư, chia sẻ ý tưởng và phối hợp để triển khai chiến lược. Để củng cố hình ảnh của mình, họ thậm chí đã nạp hơn 1 triệu USD vào nền tảng. Chỉ riêng động thái đó đã khiến họ trông nghiêm túc và đáng tin cậy.

Từng bước một, họ giành được quyền truy cập nội bộ mà không bao giờ phải xông vào bằng vũ lực.

• Kẻ tấn công đã vào được bằng cách nào
• Sai lầm then chốt khiến mọi thứ trở nên khả thi
• $285M đã bị rút cạn trong vài phút như thế nào
• Điều này thay đổi gì đối với Crypto

Kẻ tấn công đã vào được bằng cách nào

Khi đã có được niềm tin, kẻ tấn công đã đưa vào các công cụ độc hại được ngụy trang như các quy trình thông thường. Họ chia sẻ một kho GitHub trông giống như một tích hợp chuẩn. Nhưng ẩn bên trong là đoạn mã được thiết kế để âm thầm xâm nhập hệ thống của một nhà phát triển ngay khi nó được mở ra.

Không có bất kỳ cảnh báo nào hay dấu hiệu rõ ràng. Mọi thứ đều trông có vẻ bình thường.

Tuy nhiên, một cộng tác viên đã bị thuyết phục tải về một ứng dụng giả với suy nghĩ rằng đó là để kiểm thử một ví mới. Điều đó đã giúp kẻ tấn công có quyền truy cập sâu hơn vào các hệ thống nội bộ.

Giờ đây họ không còn chỉ quan sát—họ đã ở trong hạ tầng quan trọng, bao gồm cả các hệ thống dùng để phê duyệt giao dịch.

_****Đây là giá Bittensor (TAO) nếu nó nắm bắt được thị trường AI trị giá $60B**

Sai lầm then chốt khiến mọi thứ trở nên khả thi

Dù đã có mức độ truy cập đó, kẻ tấn công vẫn cần một cách để giành quyền kiểm soát hoàn toàn mà không bị ngăn chặn. Cơ hội đó đến từ một sai lầm đơn giản nhưng nghiêm trọng.

Drift đã loại bỏ timelock quản trị trong một bản cập nhật định kỳ. Thông thường, tính năng này tạo ra độ trễ trước khi các hành động quan trọng được thực thi, cho các đội có thời gian phát hiện bất kỳ điều gì đáng ngờ.

Không có nó, các giao dịch có thể được thông qua ngay lập tức.

Cũng vào khoảng thời gian đó, kẻ tấn công đã thuyết phục các thành viên trong nhóm ký vào những gì trông giống như các giao dịch hành chính thường lệ. Trên thực tế, những chữ ký đó đã chuyển giao toàn quyền kiểm soát giao thức.

Không có cảnh báo nào được kích hoạt.

$285M đã bị rút cạn trong vài phút như thế nào

Khi mọi thứ đã được chuẩn bị sẵn sàng, cuộc tấn công diễn ra nhanh chóng. Kẻ tấn công tạo ra một token giả và thao túng giá của nó để trông như thể nó trị giá $1. Sau đó, họ niêm yết nó như một tài sản thế chấp hợp lệ trong giao thức.

Trên giấy tờ, nó giống như thể họ đang nắm giữ hàng trăm triệu tài sản.

Với tài sản thế chấp giả đó, họ bắt đầu vay các tài sản thật từ hệ thống. Khối lượng thanh khoản lớn đã bị rút ra trên nhiều pool khác nhau, bao gồm các token lớn như Solana (SOL) và Bitcoin bọc.

Trong vài phút, hơn $150 triệu đã bị rút cạn. Phần còn lại diễn ra ngay sau đó.

Các quỹ bị đánh cắp được chuyển đổi thành stablecoins và chuyển ra khỏi mạng. Sau đó, chúng được chuyển cầu sang Ethereum và phân phối qua nhiều ví khác nhau, khiến việc khôi phục trở nên cực kỳ khó khăn.

Các công ty an ninh sau đó đã liên kết vụ tấn công này với một North Korean group nổi tiếng với việc thực hiện các hoạt động tương tự. Đây không phải là ngẫu nhiên hay vội vàng. Vụ việc được lên kế hoạch trong nhiều tháng và được thực hiện với độ chính xác cao.

Cùng một nhóm cũng đã được gắn với các vụ khai thác trong quá khứ, nhưng vụ này cho thấy mức độ phối hợp và quy mô cao hơn.

Điều này thay đổi gì đối với Crypto

Sự cố này làm thay đổi trọng tâm về bảo mật trong crypto. Trong nhiều năm, mối lo ngại chính là các lỗ hổng hợp đồng thông minh. Các dự án đã đầu tư mạnh vào kiểm toán và rà soát mã, và Drift cũng không phải ngoại lệ.

Nhưng cuộc tấn công này không nhắm vào mã. Nó nhắm vào niềm tin.

Các nhà phát triển, cộng tác viên và quy trình nội bộ trở thành điểm xâm nhập. Kẻ tấn công không phá vỡ hệ thống; họ đi vòng qua nó bằng cách khai thác sự tương tác giữa con người với con người.

Điều đó sẽ thay đổi cách cần tiếp cận bảo mật trong tương lai.

Khoản lỗ 285 triệu USD không chỉ là một vụ khai thác nữa. Nó cho thấy ngay cả các hệ thống đã được kiểm toán kỹ lưỡng vẫn có thể thất bại nếu lớp con người bị lộ ra ngoài.

DeFi không còn chỉ là về mã an toàn nữa. Đó là về việc bảo vệ con người và quy trình đứng phía sau nó. Và như trường hợp này cho thấy, phần khó nhất có thể chính là thứ đó để bảo vệ.