#Gate广场四月发帖挑战

CUỘC TRỘM TINH VIỆT NHẤT TRONG LỊCH SỬ SOLANA

$285 Triệu đô la. 12 Phút. Nhiều tháng lên kế hoạch. Không khoan nhượng.

Vào ngày 1 tháng 4 năm 2026, thế giới DeFi thức dậy với cơn ác mộng tồi tệ nhất của mình. Drift Protocol, sàn giao dịch phi tập trung perpetual lớn nhất của Solana, đã bị rút sạch hơn $285 triệu đô la trong chưa đầy mười hai phút. Đây không phải là một vụ khai thác vay flash. Đây không phải là lỗi hợp đồng thông minh. Đây là một chiến dịch lừa đảo xã hội được lên kế hoạch tỉ mỉ bắt đầu từ mùa thu 2025 và kết thúc bằng vụ tấn công gây thiệt hại lớn nhất trong lịch sử DeFi của Solana.

Ngành công nghiệp tiền mã hóa vẫn đang xử lý những gì vừa xảy ra.

DRIFT PROTOCOL LÀ GÌ

Trước khi hiểu về vụ tấn công, bạn cần hiểu về mục tiêu. Drift Protocol là nền tảng giao dịch phái sinh và hợp đồng tương lai perpetual hàng đầu được xây dựng bản địa trên Solana. Vào đỉnh điểm tháng 9 năm 2025, giao thức này nắm giữ tổng giá trị khóa (TVL) là 1.5Bỷ đô la, trở thành một trong những lớp hạ tầng DeFi đáng tin cậy nhất trong toàn bộ hệ sinh thái Solana. Vào sáng ngày 1 tháng 4 năm 2026, TVL của nó vẫn còn khoảng $550 triệu đô la, phản ánh số tiền tiết kiệm, tài sản thế chấp và các vị thế hoạt động của hàng nghìn người dùng trên toàn cầu.

Drift không phải là một giao thức nhỏ hoặc mơ hồ. Nó là hạ tầng DeFi đạt tiêu chuẩn tổ chức. Chính vì vậy, nó đã trở thành mục tiêu tấn công.

CÁC CHIẾN DỊCH TẤN CÔNG VÀ PHÂN TÍCH CHI TIẾT

Những nhà nghiên cứu an ninh và phân tích blockchain đã tái dựng lại câu chuyện không phải về một lỗ hổng kỹ thuật. Đó là câu chuyện về sự lừa đảo của con người được thực hiện ở mức độ chuyên nghiệp hiếm thấy trong crypto.

Xâm nhập (Mùa thu 2025 đến tháng 3 năm 2026):

Những kẻ tấn công giả danh là một công ty giao dịch định lượng hợp pháp. Họ tiếp cận nhóm Drift qua các kênh ngành thông thường, tham dự nhiều hội nghị blockchain và DeFi, gặp gỡ các cộng tác viên của Drift trực tiếp, và xây dựng mối quan hệ tin cậy qua nhiều tháng. Để thiết lập uy tín, họ đã gửi vào giao thức Drift hơn $1 triệu đô la vốn của chính họ, chứng minh họ là những người tham gia thực sự có "da thịt" trong trò chơi.

Xâm nhập thiết bị:

Sau khi đã thiết lập được lòng tin, những kẻ tấn công đã đưa vào các kho mã độc và một ứng dụng ví giả mạo vào các thiết bị của cộng tác viên Drift. Điều này giúp họ truy cập vào các thông tin xác thực quản trị và khóa riêng tư của các thành viên trong hội đồng an ninh của giao thức, cấu trúc quản trị multisig chịu trách nhiệm phê duyệt các hoạt động quản trị lớn.

Nonce bền vững trước khi ký:

Điều này thể hiện sự tinh vi kỹ thuật đáng chú ý. Những kẻ tấn công đã tận dụng tính năng nonce bền vững của Solana, một cơ chế blockchain hợp pháp cho phép ký các giao dịch trước mà không hết hạn. Sử dụng các khóa quản trị bị xâm phạm và có khả năng thao túng hoặc giả mạo các giao dịch để lấy được sự phê duyệt multisig từ hội đồng an ninh, các kẻ tấn công đã ký trước một loạt các giao dịch quản trị hàng tuần trước khi thực thi. Các giao dịch này đã loại bỏ giới hạn rút tiền và cấp quyền truy cập toàn bộ vào các vault của giao thức.

Vụ rút tiền (Ngày 1 tháng 4 năm 2026, 16:00 UTC):

Việc thực thi diễn ra chính xác. Trong chưa đầy 12 phút, những kẻ tấn công đã rút gần 20 vault của Drift trong một chuỗi phối hợp. Giao dịch chuyển khoản lớn nhất trị giá $155 triệu token JLP đã được thực hiện trong một lần duy nhất. Tổng số tiền bị rút gồm:

Token JLP (Jupiter Liquidity Provider): $155 triệu
Stablecoin USDC: tổng cộng $232 triệu đô la qua các giao dịch
Bitcoin wrapped (wBTC): lượng lớn
Solana (SOL): nhiều vị trí vault
Các token staking thanh khoản và các tài sản khác

Số tiền bị đánh cắp ngay lập tức được đổi thành stablecoin và một phần được chuyển cầu sang Ethereum theo mô hình rửa tiền tiêu chuẩn nhằm phân tán dấu vết qua các chuỗi và khu vực pháp lý.

Hủy bằng chứng:

Chỉ trong vài phút sau khi hoàn tất vụ rút, những kẻ tấn công đã xóa sạch tất cả bằng chứng pháp y khỏi các hệ thống bị xâm phạm, loại bỏ các kho mã độc và ứng dụng ví khỏi các thiết bị bị ảnh hưởng.

SỐ LIỆU ĐƯỢC XÁC THỰC VÀ HIỆN TẠI

Tổng số tiền bị rút: $285 triệu đô la (được xác nhận bởi công ty an ninh blockchain SlowMist và dữ liệu trên chuỗi)
TVL của giao thức trước vụ tấn công: $550 triệu đô la
TVL của giao thức sau vụ tấn công: giảm còn khoảng $247 triệu đô la
Tỷ lệ rút tiền: trên 50%
Thời gian rút: dưới 12 phút
Số vault bị rút: gần 20
Ví của kẻ tấn công đã được cấp tiền trước: khoảng 8 ngày trước vụ tấn công (quan sát chuyển tiền thử)
Xếp hạng: vụ khai thác lớn thứ hai trong lịch sử Solana
Xếp hạng năm 2026: vụ khai thác DeFi lớn nhất trong năm

ẢNH HƯỞNG ĐẾN TOKEN DRIFT:
Giá trước khi bị tấn công: khoảng $0.073
Giá thấp nhất sau tấn công: $0.040 (đáy mọi thời đại)
Giảm giá trong một ngày lớn nhất: 47%
Chỉ số RSI tại đáy sau tấn công: khoảng 17 1928374656574.84Tị bán quá mức sâu(
MACD: tiêu cực, báo hiệu áp lực giảm tiếp tục
Các mức kháng cự: từ $0.053 đến $0.060

SỰ LÂY LAN VƯƠN RA NGOÀI DRIFT

Thiệt hại không chỉ dừng lại ở Drift. Vụ khai thác đã gây ra những chấn động ngay lập tức trong toàn bộ hệ sinh thái DeFi của Solana, kích hoạt rút vốn từ các giao thức không trực tiếp liên quan đến vụ tấn công Drift.

Jito, Raydium và Sanctum, ba trong số các giao thức DeFi lớn của Solana, mỗi giao dịch đều ghi nhận dòng chảy TVL khoảng 3,8% đến 4,3% trong ngày xảy ra vụ khai thác Drift. Khi các giao thức đáng tin cậy không có liên quan trực tiếp đến vụ tấn công mà vẫn bị rút vốn, điều này cho thấy thị trường đang định giá lại mức độ an toàn của toàn bộ hệ sinh thái DeFi của Solana — không chỉ riêng Drift.

Token SOL của Solana đã giảm mạnh xuống )ngay sau đó, với các nhà phân tích cảnh báo $78 và $67 là các mục tiêu giảm tiếp theo khi chưa có câu chuyện phục hồi rõ ràng.

Circle, nhà phát hành USDC, đã bị chỉ trích dữ dội vì không khóa nhanh số USDC bị đánh cắp trị giá $60 triệu đô la để ngăn chặn việc chuyển đi. Điều này đã làm dấy lên cuộc tranh luận trong ngành về quyền can thiệp tập trung trong hạ tầng phi tập trung về lý thuyết.

AI ĐANG ĐIỀU TRA

Mandiant, bộ phận phản ứng sự cố và an ninh mạng hàng đầu của Google, đã chính thức tham gia điều tra vụ tấn công. Mandiant mang đến khả năng pháp y cấp quốc gia cho phản ứng sự cố crypto, và sự tham gia của họ cho thấy Drift cùng các nhà đầu tư coi đây là một vụ tấn công tinh vi, có thể liên quan đến nhà nước hoặc tổ chức tội phạm có tổ chức chứ không chỉ là một hacker cá nhân.

Vibhu Norby, Giám đốc Sản phẩm của Quỹ Solana, đã xác nhận công khai rằng vụ tấn công không phải do lỗ hổng chương trình hoặc hợp đồng thông minh, mà do thất bại trong an ninh vận hành và lừa đảo xã hội. Ông cẩn thận nhấn mạnh rằng bất kỳ giao thức nào dựa trên cơ chế multisig giữa các chuỗi khác nhau đều có thể đối mặt với rủi ro tương tự, và vụ Drift chỉ là một trường hợp riêng lẻ chứ không phải lỗi hệ thống của Solana.

TẠI SAO VỤ TẤN CÔNG NÀY THAY ĐỔI MỌI THỨ

Hầu hết các khung an ninh DeFi đều dựa trên một giả định: kiểm tra mã, tìm lỗi, vá lỗi. Vụ tấn công Drift đã làm cho toàn bộ khung này trở nên không đầy đủ.

Không có lỗi nào. Mã hoạt động chính xác như thiết kế. Kẻ tấn công không xâm nhập hệ thống mà họ đã được mời vào qua nhiều tháng xây dựng mối quan hệ, rồi sử dụng các cơ chế hợp lệ của giao thức chống lại những người đã xây dựng chúng.

Các hệ quả mang tính cấu trúc:

Quản trị multisig, tiêu chuẩn vàng của an ninh DeFi, có thể bị xâm phạm qua lừa đảo xã hội đối với con người đứng sau các chìa khóa, bất kể số chữ ký yêu cầu là bao nhiêu.

Nonce bền vững, một tính năng được thiết kế để linh hoạt vận hành hợp pháp trên Solana, có thể bị lợi dụng để tạo ra các khai thác quản trị trì hoãn theo thời gian, không thể phát hiện cho đến thời điểm thực thi.

An ninh thiết bị của cộng tác viên giờ đây là một rủi ro hàng đầu của DeFi. Chuỗi tấn công diễn ra qua các laptop cá nhân và ví của các thành viên đáng tin cậy, chứ không phải qua các lỗ hổng trên chuỗi.

Vụ tấn công Drift đã thúc đẩy các cộng đồng an ninh DeFi kêu gọi sử dụng các module bảo mật phần cứng, hạ tầng ký kết cách ly, và các bài tập lừa đảo xã hội chính thức như một thực hành tiêu chuẩn cho bất kỳ giao thức nào nắm giữ hơn $232 triệu đô la tiền của người dùng.

TÓM LƯỢC

Giao thức Drift không phải là sơ suất. Nó đã bị nhắm mục tiêu bởi một hoạt động chuyên nghiệp, đầu tư hàng tháng trời, hơn $50 triệu đô la vốn, và xây dựng mối quan hệ con người chân chính để chuẩn bị cho một vụ trộm 12 phút lấy đi $1 triệu đô la.

Đây là mô hình đe dọa mới của DeFi năm 2026. Không phải vay flash. Không phải lỗi reentrancy. Mà là một đối thủ kiên nhẫn, tinh vi, hiểu rằng điểm yếu nhất trong bất kỳ hệ thống mã hóa nào không phải là toán học mà chính là con người.

Câu hỏi mà toàn bộ ngành DeFi hiện nay phải trả lời không phải là làm thế nào để xây dựng hợp đồng thông minh tốt hơn. Mà là làm thế nào để xây dựng tổ chức có thể chống lại các đối thủ sẵn sàng chơi lâu dài.

$285
#DriftProtocolHacked

Hạn chót: 15 tháng 4
Chi tiết: https://www.gate.com/announcements/article/50520