Cuộc tấn công vào Drift Protocol được truy nguồn từ nhóm đứng sau vụ khai thác Bybit - Coinfea

Vụ khai thác gần đây nhắm vào Drift Protocol được cho là liên quan đến các hacker Triều Tiên, có thể là cùng một nhóm đã khai thác Bybit với hơn $1,4B. Vụ khai thác ảnh hưởng đến nhiều ứng dụng DeFi trên hệ sinh thái Solana. Phân tích của Drift Protocol cho thấy vụ khai thác có thể được thực hiện bởi Nhóm Lazarus của Triều Tiên, là cùng các tác nhân đe doạ đứng sau một số cuộc tấn công khác.

Dựa trên phân tích của DivergSec và các báo cáo của Elliptic và TRM Labs, thông tin mới về vụ khai thác đang xuất hiện. Kẻ tấn công không chỉ xâm nhập multisig của Drift Protocol một lần. Drift đã chuyển một số ví multisig của mình sang các thành viên mới của Security Council. Trong vòng ba ngày, kẻ tấn công đã xâm nhập multisig mới và chuẩn bị sẵn các giao dịch đã được ký trước vào ngày 31 tháng 3, tức là một ngày trước cuộc tấn công.

Sự cố Drift Protocol liên quan đến hacker Triều Tiên

Việc sử dụng cụ thể các ví cho thấy phương thức hoạt động của Nhóm Lazarus, với một ví ban đầu được nạp tiền bởi Tornado Cash, sau đó thực hiện chuyển cầu đa chuỗi nhanh sang ETH và gom hợp các quỹ để trộn lẫn. Dựa trên nghiên cứu của Elliptic, Lazarus đã thực hiện 18 cuộc tấn công trong năm tính đến nay. Các nhà nghiên cứu sẽ phối hợp với đội ngũ Drift Protocol để theo dõi dòng tiền. Drift Protocol thông báo rằng thông tin quan trọng về các bên liên quan đã được phát hiện.

Ngoài ra, nhóm đã gửi tin nhắn tới bốn ví đã được xác định hiện đang nắm giữ số tiền thu được từ vụ hack. Tin nhắn cho thấy Drift Protocol có thể đã biết danh tính của những kẻ tấn công. Cộng đồng suy đoán về khả năng có quyền truy cập từ nội bộ hoặc việc xâm nhập dự án. Dù vậy, Drift Protocol vẫn bị chỉ trích vì có zero timelock đối với các thay đổi cấp giao thức, cho phép kẻ khai thác rút cạn thanh khoản ngay lập tức.

Drift Protocol hiện vẫn giữ $232M giá trị bị khóa, giảm từ hơn $550M. Nhiều giao thức đã sử dụng Drift để tạo lợi nhuận (yield) bị đánh cắp hoặc bị đóng băng quỹ, toàn bộ hoặc một phần. SOL đã phục hồi lên trên $80 sau một đợt sụt giảm ngắn trong phản ứng với vụ hack. Vụ hack ảnh hưởng đến Reflect Money đối với lợi nhuận canh tác (farming yield) USD+. DeFi Carrot đã mất 50% TVL trên Drift, và các token CRT cũng bị ảnh hưởng. Ranger Finance bị lộ thông qua rUSD. PiggybankFi đã mất $106K từ các khoản tiền gửi vào Drift Protocol.

Project0 đã tạm dừng việc cho vay dựa trên các Drift vault. Các dự án khác, bao gồm Pyra, nơi đã mất toàn bộ quỹ, và XPlace, dự án chủ yếu dùng Drift cho yield. Elemental DeFi chỉ bị phơi nhiễm thông qua một vault USDC. Một số giao thức chỉ giữ quỹ của họ ở trạng thái tạm giữ cho đến khi bảo mật được cải thiện. Mười một dự án đã bị ảnh hưởng cho đến nay, không tính các hệ quả lan truyền về tâm lý chung và mất niềm tin vào mảng cho vay DeFi.

Tính đến nay, đã có tổng cộng 35 giao thức DeFi bị khai thác trong năm 2026, với xu hướng đang gia tăng nhanh hơn và nhiều cuộc tấn công được tổ chức hơn. Khoảng $453M đã được rút ra từ DeFi, cho thấy đây vẫn là một lĩnh vực có rủi ro cao. Các vụ hack làm suy yếu câu chuyện rằng DeFi sẽ là cách phù hợp để tạo yield với rủi ro tối thiểu.