Trò đùa ngày Cá tháng Tư? Drift Protocol Bị Đánh Cắp Hơn 280 Triệu USD, Có Thể Trở Thành Vụ Cướp DeFi Lớn Thứ Hai Trong Hệ Sinh Thái Solana

Original｜Odaily（@OdailyChina）

Tác giả｜Wenser（@wenser 2010）

Trong khi tình hình Trung Đông vẫn chưa hạ nhiệt, một vụ tấn công bảo mật với quy mô hơn 200 triệu USD lại giáng một đòn mạnh vào cộng đồng tiền mã hóa.

Vào ngày Cá tháng Tư 1/4, giao thức phái sinh hàng đầu trong hệ sinh thái Solana, Drift Protocol, đã có một "trò đùa" chẳng giống đùa chút nào với mọi người: chỉ một tuần sau khi cập nhật chữ ký đa ký 2/5 mà không có khóa thời gian, tài sản liên quan đến JLP trị giá hơn 280 triệu USD đã bị đánh cắp. Điều này khiến người ta khó tránh khỏi nghi ngờ về khả năng có sự thông đồng từ bên trong.

Tin tức mới nhất, Drift chính thức xác nhận bị tấn công chủ động và đã tạm dừng mọi hoạt động gửi/rút tiền trên toàn nền tảng; thậm chí có dự án bị ảnh hưởng tiềm tàng đã tuyên bố rõ ràng: "Đây không phải là trò đùa ngày Cá tháng Tư."

Một tuyên bố tưởng như đùa, lại có thể hé lộ một đòn giáng mạnh nữa vào hệ sinh thái DeFi của Solana.

Diễn biến vụ tấn công Drift Protocol: 11 giao dịch, kho bạc bị rút sạch trong nháy mắt

Điều tra sơ bộ cho thấy, phương thức tấn công lần này là chiếm quyền quản trị và khai thác lỗ hổng thực thi đa ký.

Nhà sáng lập SlowMist, Cosine, đã đăng bài cho biết: "Một tuần trước, Drift đã chuyển sang sử dụng chữ ký đa ký 2/5 không có khóa thời gian (Odaily lưu ý: tức là thao tác có thể thực thi ngay lập tức) (bao gồm 1 địa chỉ ví cũ và 4 địa chỉ ví ký mới). Vài giờ trước, kẻ tấn công đã chiếm quyền quản trị, đúc token giả CVT, thao túng oracle, vô hiệu hóa các cơ chế bảo mật liên quan và cuỗm đi tài sản có giá trị từ các pool."

Thông tin trên chuỗi cho thấy, kẻ tấn công đầu tiên đã mua 41.72 triệu token thanh khoản Jupiter (JLP), trị giá khoảng 155.6 triệu USD, sau đó nhanh chóng chuyển một lượng lớn USDC và các token khác ra ngoài, chuyển tiền qua chuỗi sang Ethereum và mua khoảng 19,913 ETH, tương đương khoảng 42.6 triệu USD.

Toàn bộ quá trình bao gồm khoảng 11 giao dịch lớn, gồm:

• 51.61 triệu USDC, trị giá khoảng 51.62 triệu USD;
• 125,000 WSOL, trị giá khoảng 10.45 triệu USD;
• 164,000 cbBTC, trị giá khoảng 11.29 triệu USD. 
• Địa chỉ ví của hacker: HkGz4KmoZ7Zmk7HN6ndJ31 UJ1qZ2qgwQxgVqQwovpZES.

Chỉ trong vài phút, tổng tài sản kho bạc của Drift đã giảm mạnh từ 309 triệu USD xuống còn 41 triệu USD. 

Vào khoảng 3 giờ sáng, Drift chính thức thông báo bị tấn công, đồng thời công bố hợp tác ứng phó với nhiều công ty bảo mật, cầu nối chuỗi chéo và sàn giao dịch.

Nguyên nhân tấn công: Chưa có kết luận chính thức, rò rỉ khóa riêng tư quản trị viên có thể là nguyên nhân chính

Hiện tại, Drift chưa chính thức công bố nguyên nhân chính của vụ tấn công này.

Tổ chức bảo mật PeckShield nhận định, khóa quản trị viên của Drift Protocol rất có khả năng đã bị rò rỉ hoặc xâm nhập, kẻ tấn công đã kiểm soát kho bạc giao thức bằng cách giành quyền truy cập đặc quyền. Nhận định này xác định bản chất của vụ tấn công là vi phạm ở cấp độ quyền hạn, chứ không phải lỗ hổng mã hợp đồng thông minh.

Ngoài ra, có thông tin từ cộng đồng cho rằng, kẻ tấn công có thể đã thao túng các tham số tài sản thế chấp, làm tăng giá trị nhân tạo của một số tài sản có thanh khoản kém, sau đó dùng chúng để vay các token có giá trị cao, cuối cùng hoàn thành việc đánh cắp tiền từ kho bạc. Con đường này hoàn toàn trùng khớp với mô hình tấn công quản trị DeFi trước đây. Hiện tại, các cơ quan điều tra chưa loại trừ khả năng có lỗ hổng hợp đồng thông minh hoặc thao túng oracle, cuộc điều tra vẫn đang được tiến hành. 

Đáng chú ý, ví Solana mà kẻ tấn công sử dụng chỉ được nạp tiền ban đầu với 1 SOL vào tuần trước, và trước đó đã nhận được một giao dịch thử nghiệm nhỏ khoảng 2.52 USD từ kho bạc Drift, cho thấy kẻ tấn công có thể đã ẩn náu từ trước, hoàn thành xác minh quyền hạn trước khi hành động chính thức. Hơn nữa, nguồn vốn từ địa chỉ liên quan đến kẻ tấn công Drift đến từ Backpack, có thể để lại manh mối liên quan đến KYC.

Phản ứng thị trường: Token DRIFT giảm mạnh 28%, SOL chịu áp lực ngắn hạn

Sau khi tin Drift bị đánh cắp lan truyền, thị trường rơi vào hoảng loạn, DRIFT và SOL nhanh chóng giảm giá.

Token gốc của Drift Protocol, DRIFT, giảm hơn 38% trong 24 giờ, hiện tạm báo khoảng 0.042 USD, giảm tích lũy hơn 98% so với mức cao kỷ lục 2.60 USD vào tháng 11/2024. Giá SOL cũng giảm theo dưới tác động của tin tức, hiện đã giảm xuống dưới 80 USD, giảm gần 5% trong 24 giờ, hiện tạm báo 78.6 USD.

Ví Phantom đã chủ động hiển thị cảnh báo rủi ro cho người dùng cố gắng truy cập giao thức Drift; Công ty niêm yết kho bạc Solana, Forward Industries và DeFi Development Corp cũng lên tiếng xác nhận tiền của họ không bị ảnh hưởng bởi vụ tấn công này.

Vụ tấn công DeFi lớn nhất trong hệ sinh thái Solana năm 2026

Theo thống kê từ bài đăng của KOL tiền mã hóa @lugeweb3, các dự án chịu tổn thất rõ ràng hoặc ảnh hưởng nghiêm trọng do sự cố Drift bị đánh cắp bao gồm:

• @piggybank_fi: 106,000 USD bị đánh cắp, đội ngũ đang bơm thanh khoản để bù đắp tổn thất cho người dùng.
• @DeFiCarrot: Sản phẩm Boost và Turbo không bị ảnh hưởng, nhưng tổng thể bị ảnh hưởng bởi lỗ hổng, đã tạm dừng chức năng đúc/hoán đổi.
• @uselulo: Tiền gửi truyền thống có thể bị ảnh hưởng (tiền gửi được bảo vệ và nâng cao không bị ảnh hưởng).
• @reflectmoney: Tất cả việc phát hành thêm/chuộc lại USDC+ và USDT+ đã bị đóng băng.
• @project0: Các khoản vay được thế chấp bằng thị trường Drift đã bị tạm dừng.
• @ranger_finance: Nạp/rút rgUSD tạm dừng, 900,000 USD trong tổng số 14.6 triệu USD TVL trên Drift bị đóng băng.
• @elementaldefi: SOL và tiền Lend gửi vào Drift bị đóng băng (tiền USDC và ONYC an toàn).
• @TradeNeutral: Tất cả các kho bạc liên quan đến Drift (JLP, BTC/ETH/SOL super stake, Hyper JLP, v.v., tổng TVL 3.6 triệu USD) có thể bị ảnh hưởng, gửi tiền/rút tiền tạm dừng.
• @xplaceapp: Không thể gửi/rút tiền, chế độ tín dụng và chức năng cho vay bị tắt.
• @GetPyra: Tiền bị ảnh hưởng, tất cả chức năng thẻ bị tạm dừng.
• @ExponentFinance: Giao dịch liên quan đến USDC+ tạm dừng.
• @fusewallet: Gửi tiền tạm dừng.
• @perena: Stablecoin không bị ảnh hưởng, nhưng việc chuộc lại tạm dừng; JLP Vault trên Neutral Trade (TVL 512,000 USD) có thể bị ảnh hưởng.

Các dự án đã tuyên bố rõ ràng không bị ảnh hưởng:

• @JupiterExchange
• @kamino
• @UnitasLabs
• @onrefinance
• @solflare
• @hylo_so
• @MarinadeFinance
• @synatraxyz
• @solsticefi
• @defidevcorp
• @jito_sol
• @MeteoraAG
• @sanctumso
• @wormhole

Theo ước tính quy mô, sự kiện này có thể trở thành một trong những sự cố bảo mật DeFi lớn nhất trong hệ sinh thái Solana kể từ vụ tấn công cầu nối chuỗi chéo Wormhole. 

Trước khi sự cố Drift xảy ra, TVL của nó vào khoảng 550 triệu USD, tổn thất trực tiếp từ vụ tấn công này lên tới 285 triệu USD, quy mô tổn thất đứng đầu trong tất cả các sự cố bảo mật DeFi từ đầu năm 2026 đến nay. Đáng chú ý, tổng tổn thất do các vụ tấn công DeFi trong tháng 3 là khoảng 52 triệu USD, bao gồm 20 sự kiện chính. Còn bây giờ, chỉ riêng sự cố bảo mật Drift này đã đưa con số tổn thất nửa đầu năm lên một cấp độ mới.

Không còn nghi ngờ gì nữa, sự cố Drift bị đánh cắp một lần nữa gióng lên hồi chuông cảnh báo cũ kỹ nhưng không bao giờ lỗi thời cho ngành DeFi - ngoài an ninh mã nguồn, an ninh vận hành cũng chí mạng. Nếu sau này xác nhận nguyên nhân bị đánh cắp là do rò rỉ khóa riêng tư quản trị viên, điều này cũng sẽ một lần nữa chứng minh: Dù kiểm tra mã có hoàn hảo đến đâu, yếu tố con người vẫn luôn là mắt xích yếu nhất trong bảo mật trên chuỗi.

Cuối cùng, Odaily nhắc nhở người dùng: Trước khi Drift công bố báo cáo điều tra đầy đủ và đưa ra giải pháp rõ ràng, tuyệt đối không gửi tiền hoặc tương tác với giao thức.