#DriftProtocolHacked

Một $285 triệu đô la hoạt động tình báo do nhà nước tài trợ ngụy trang thành bắt tay tại hội nghị crypto. Ngành công nghiệp đang chao đảo sau một trong những cuộc tấn công DeFi tinh vi nhất từng ghi nhận.

Quy mô của vụ vi phạm

Drift Protocol, sàn giao dịch hợp đồng vĩnh viễn lớn nhất trên Solana, đã bị rút mất khoảng **$285 triệu đô la vào ngày 1 tháng 4 năm 2026**. Cuộc tấn công không phải do lỗ hổng hợp đồng thông minh hay bị đánh cắp khóa, mà là kết quả của một **chiến dịch xã hội kỹ thuật kéo dài sáu tháng** do **UNC4736 (Citrine Sleet/AppleJeus)** , một nhóm do nhà nước tài trợ liên kết với Triều Tiên, tổ chức. Chainalysis đã tuyên bố rằng nếu được xác nhận, các vụ trộm tiền điện tử liên quan đến Triều Tiên sẽ tổng cộng ít nhất 10,58 nghìn tỷ won toàn cầu. Quy mô của hoạt động này thật đáng kinh ngạc: nhóm đã tạo ra danh tính giả của một công ty giao dịch định lượng, gửi vào hơn $1 triệu đô la vốn thật của chính họ, và gặp gỡ các cộng tác viên của Drift trực tiếp tại các hội nghị ở nhiều quốc gia trước khi tấn công.

---

Phân tích về một cuộc tấn công do nhà nước tài trợ

Nhóm tấn công bắt đầu hoạt động vào mùa thu năm 1928374656574.84Tại một hội nghị crypto lớn, nơi họ giả danh là đại diện của một công ty giao dịch định lượng. Những gì xảy ra sau đó là một chiến dịch xây dựng lòng tin tỉ mỉ, kiên nhẫn kéo dài khoảng nửa năm.

· Giai đoạn xâm nhập: Đến tháng 12 năm 2025 và tháng 1 năm 2026, nhóm đã đưa vào một Ecosystem Vault trên Drift, nộp tài liệu chiến lược, tham gia nhiều buổi họp với các cộng tác viên, và gửi vào hơn $1 triệu đô la vốn của chính họ. Drift mô tả hành vi này hoàn toàn phù hợp với cách các công ty giao dịch hợp pháp thường tích hợp với giao thức.
· Lớp con người: Trong suốt tháng 2 và tháng 3 năm 2026, các cộng tác viên của Drift đã gặp mặt trực tiếp các thành viên của nhóm tại nhiều hội nghị ngành lớn ở các quốc gia khác nhau. Đến khi cuộc tấn công diễn ra, họ không còn là người lạ nữa mà là các đối tác đã hợp tác gần sáu tháng.
· Các vector kỹ thuật: Khi đã thiết lập được lòng tin, nhóm triển khai một cuộc tấn công hai chiều: một liên quan đến một ứng dụng độc hại TestFlight của Apple, nền tảng phân phối ứng dụng trước phát hành của Apple, giả dạng là ví tiền của họ; cái còn lại khai thác lỗ hổng đã biết trong VSCode và Cursor, nơi chỉ cần mở một tệp hoặc thư mục là đủ để thực thi mã tùy ý một cách âm thầm mà không có cảnh báo hay nhắc nhở.

---

Thực thi: Tính năng của Solana biến thành vũ khí

Nhóm tấn công đã lợi dụng một tính năng hợp lệ của Solana gọi là "nonces bền vững", cho phép các giao dịch được ký trước và duy trì hiệu lực vô hạn. Bằng cách lừa hai trong số năm người ký đa chữ ký của Hội đồng Bảo mật Drift phê duyệt các giao dịch dường như bình thường, nhóm đã có được các phê duyệt đã ký trước đó, nằm im trong hơn một tuần. Vào ngày 1 tháng 4, họ thực thi các giao dịch đã ký trước đó, chiếm quyền quản trị cấp giao thức trong chưa đầy một phút.

---

Hậu quả: Suy thoái thị trường và phản ứng của cộng đồng

Ảnh hưởng ngay lập tức rất nghiêm trọng:

· Sụp đổ TVL: Tổng giá trị bị khóa của Drift giảm từ khoảng (triệu đô la xuống dưới )triệu đô la chỉ trong một buổi sáng, giảm hơn 53%.
· Giảm giá token: Token DRIFT giảm tới 45% trong vài giờ sau đó, về gần mức $0.04–$0.05.
· Ảnh hưởng rộng hơn đến hệ sinh thái: Ít nhất 20 dự án khác có liên quan đến thanh khoản hoặc chiến lược của Drift đã tạm dừng hoạt động hoặc đánh giá thiệt hại.
· Circle bị chỉ trích: Nhà điều tra on-chain ZachXBT chỉ trích Circle vì đã không đóng băng USDC bị đánh cắp trong vụ tấn công, khi kẻ tấn công đã sử dụng Cross-Chain Transfer Protocol $550 CCTP$250 của Circle để chuyển khoảng gần (triệu USDC từ Solana sang Ethereum mà không có sự can thiệp.

---

Ảnh hưởng pháp lý và an ninh

Luật sư về tiền điện tử Ariel Givner cho biết vụ việc có thể cấu thành "sơ suất dân sự", lập luận rằng nhóm Drift đã không tuân thủ các thủ tục an ninh cơ bản—bao gồm giữ khóa ký riêng biệt trên các hệ thống cách ly và thực hiện thẩm định kỹ lưỡng các nhà phát triển gặp tại các hội nghị ngành. Các cáo buộc về kiện tụng tập thể chống lại Drift Protocol đã bắt đầu lan truyền. Đáp lại, Quỹ Solana và Asymmetric Research đã ra mắt chương trình an ninh STRIDE vào ngày 6 tháng 4 năm 2026, cung cấp xác minh chính thức và giám sát mối đe dọa cho các giao thức DeFi trên Solana.

---

Thời đại mới của các mối đe dọa DeFi

Cuộc tấn công này thể hiện một sự leo thang căn bản trong cảnh quan mối đe dọa. Nó không phải là khai thác mã nguồn—mà là một hoạt động tình báo có tổ chức, đòi hỏi sự hậu thuẫn của tổ chức, nguồn lực đáng kể, và nhiều tháng chuẩn bị có chủ đích. Những kẻ tấn công không chỉ tạo ra các hồ sơ LinkedIn giả; họ còn triển khai các trung gian với danh tính hoàn chỉnh, lịch sử công việc xác thực, và mạng lưới chuyên nghiệp có thể vượt qua thẩm định thực sự. Như một nhà nghiên cứu an ninh đã nhận xét: "Nếu kẻ tấn công hành xử như một tổ chức thực sự trong sáu tháng, đầu tư vốn, và tham gia vào hệ sinh thái, thì hầu như không thể phát hiện họ bằng các hệ thống an ninh hiện tại".

)$232 #DeFiHack #NorthKoreaCrypto