In-Depth Reconstruction of Drift's $285 Million Hack: How Can DeFi Governance Move Beyond "Amateur Hour"?

Ngày 1 tháng 4 năm 2026, sàn giao dịch hợp đồng vĩnh viễn phi tập trung lớn nhất trong hệ sinh thái Solana, Drift Protocol, đã hứng chịu một đòn tấn công thảm khốc chưa từng có. Chỉ trong vòng hơn mười phút, tài sản mã hóa trị giá lên tới 285 triệu USD đã bị cướp sạch, trở thành sự cố bảo mật quy mô lớn nhất trong lĩnh vực DeFi tính từ đầu năm nay.

Khi dữ liệu trên chuỗi được phân tích tỉ mỉ và các cơ quan an ninh mạng can thiệp sâu, toàn cảnh cuộc tấn công APT được cho là do nhóm hacker Triều Tiên chủ đạo đã dần lộ diện. Điều đáng buồn là, thứ phá hủy pháo đài DeFi trị giá hàng trăm triệu USD này không phải là một lỗ hổng zero-day tinh vi nào, mà là một cuộc săn lùng kỹ thuật xã hội kéo dài hàng tháng trời, nhắm thẳng vào điểm yếu con người.

Thảm họa này không chỉ là khoảnh khắc đen tối nhất của Drift, mà còn lột trần sự "nghiệp dư" trong quản trị và quản lý khóa của ngành DeFi hiện tại.

Cuộc săn lùng được lên kế hoạch từ lâu: Drift đã thất thủ từng bước như thế nào?

Phân tích lại đường đi của hacker, chúng ta sẽ thấy đây là một cuộc tấn công phối hợp đa tuyến cực kỳ chặt chẽ và kiên nhẫn. Kẻ tấn công đã lợi dụng hoàn hảo sự tự mù quáng của cộng đồng geek Web3 vào "code is law", cùng sự bất cẩn với "con người" - mắt xích yếu nhất.

Bước 1: Ẩn mình dưới vỏ bọc "nhà tạo lập thị trường"

Ngay từ nửa năm trước khi sự việc xảy ra, kẻ tấn công đã cải trang thành một tổ chức giao dịch định lượng với nguồn vốn dồi dào. Họ không chỉ giao lưu thân thiết với đội ngũ lõi của Drift tại các hội nghị thượng đỉnh tiền mã hóa, mà còn thực sự gửi hàng triệu USD vào giao thức. Bằng cách tham gia thử nghiệm sản phẩm và đưa ra các đề xuất chiến lược chất lượng cao, hacker đã thành công len lỏi vào nhóm trao đổi nội bộ của Drift, thiết lập được sự tin tưởng chết người.

Bước 2: Lợi dụng "Durable Nonces" để chôn quả bom hẹn giờ

Sau khi giành được sự tin tưởng của những người đóng góp lõi, hacker bắt đầu lợi dụng cơ chế "Durable Nonces" đặc trưng của mạng Solana. Cơ chế này cho phép giao dịch được ký trước ngoại tuyến và được phát sóng để thực thi tại bất kỳ thời điểm nào trong tương lai. Thông qua lời nói khéo léo và nhu cầu thử nghiệm giả mạo, hacker đã dụ dỗ các thành viên của ủy ban an ninh Drift thực hiện "Blind Signing" đối với một số giao dịch trông có vẻ bình thường. Trong khi đó, Payload thực sự của những giao dịch này là chuyển quyền kiểm soát tối cao của quản trị viên (Admin) giao thức.

Bước 3: Đa ký 2/5 chết người và không có Timelock

Ngày 27 tháng 3, Drift đã thực hiện một bản cập nhật quản trị chết người: di chuyển ủy ban an ninh sang một kiến trúc đa ký 2/5 mới và loại bỏ Timelock. Điều này có nghĩa là chỉ cần có đủ hai chữ ký, bất kỳ chỉ thị nào sửa đổi logic cốt lõi của giao thức sẽ được thực thi ngay lập tức, không cho thời gian phản ứng để "rút phích cắm".

Bước 4: Máy rút tiền "giả" như ảo ảnh

Ngày 1 tháng 4, hacker đồng loạt kích hoạt tất cả các bẫy đã triển khai. Họ phát sóng các chỉ thị đa ký đã lừa được trước đó, ngay lập tức tiếp quản quyền Admin của giao thức. Sau đó, hacker đã thêm một loại token giả mạo có tên CVT (CarbonVote Token) vào danh sách trắng và kéo giới hạn cho vay của nó lên mức tối đa. Phối hợp với thao túng giá từ oracle, hacker đã dùng một đống token vô giá trị làm tài sản thế chấp để "vay" một cách hợp pháp 285 triệu USD USDC, SOL và ETH từ kho bạc của Drift.

Chữ ký hợp pháp ≠ Ý định hợp pháp: Gót chân Achilles của bảo mật DeFi

Trong sự kiện Drift, điều khiến người ta cảm thấy bất lực nhất là: dưới con mắt của máy ảo blockchain, mọi bước đi của hacker đều "hợp pháp". Họ không khai thác lỗ hổng tràn số, cũng không tấn công reentrancy, họ chỉ đơn giản có được chìa khóa quản trị viên hợp pháp, rồi đường hoàng bước vào kho bạc.

Điều này phơi bày sự lệch pha lớn trong quản lý vốn của các giao thức DeFi hiện tại: dùng công cụ cấp nhà đầu tư nhỏ lẻ để quản lý vài trăm USD để quản lý kho bạc cấp tổ chức trị giá hàng trăm triệu USD.

Hiện tại, hầu hết các giao thức DeFi chủ lưu vẫn phụ thuộc cao vào cơ chế đa ký truyền thống dựa trên hợp đồng thông minh (như Safe hoặc cơ chế đa ký gốc). Kiến trúc này tồn tại hai điểm yếu chết người:

1. Không chống được kỹ thuật xã hội: Chỉ cần hacker thỏa hiệp (lừa đảo, ép buộc hoặc mua chuộc) vài nhân vật chủ chốt nắm giữ private key, phòng tuyến sẽ sụp đổ.
2. Thiếu kiểm tra ý định: Đa ký chỉ xác minh "có phải những người này ký hay không", mà không quan tâm "họ ký có phải bán thân hay không".

Từ thí nghiệm của geek đến cơ sở hạ tầng tài chính: Sự tiến hóa tất yếu của bảo mật Web3

285 triệu USD của Drift đã mua được một bài học cực kỳ đắt giá: Khi Web3 và tài chính truyền thống hội tụ ngày càng nhanh, các giao thức DeFi phải từ bỏ mô hình quản trị chỉ dựa vào kỷ luật tự giác của nhà phát triển và đa ký đơn giản, hướng tới tiêu chuẩn bảo mật cấp tổ chức.

Hiện tại, các tổ chức hàng đầu ngành và các nhà quan sát an ninh đã đạt được đồng thuận, lần lặp bảo mật tiếp theo của cơ sở hạ tầng DeFi phải bao gồm nâng cấp ở các khía cạnh cốt lõi sau:

Nâng cấp nền tảng mật mã: Hướng tới HSM (Mô-đun bảo mật phần cứng)

So với việc tổng hợp phần mềm của đa ký, HSM lưu trữ private key của giao thức bên trong chip được chứng nhận, mã hóa cấp quân sự, private key không thể bị xuất ra. Sự cách ly vật lý và kiểm soát an ninh cấp phần cứng này, về cơ bản loại bỏ rủi ro do tấn công kỹ thuật xã hội nhắm vào nhân viên nội bộ hoặc thiết bị bị xâm nhập, cung cấp cho kho bạc giao thức sự bảo vệ khóa vượt xa đa ký truyền thống.

Giới thiệu "Policy Engine" dựa trên ý định

Việc phê duyệt quyền quản lý DeFi trong tương lai không thể chỉ dừng lại ở giai đoạn "xác minh chữ ký". Hệ thống cần được tích hợp sẵn một bộ logic quản lý rủi ro, ví dụ: khi một giao dịch cố gắng sửa đổi giới hạn cho vay của một token không xác định (như CVT trong vụ Drift) thành vô hạn, Policy Engine sẽ có thể tự động nhận diện ý định bất thường của nó, kích hoạt cơ chế ngắt mạch và buộc phải có xác minh ở cấp độ cao hơn (như kiểm soát rủi ro thủ công đa cấp, xác minh video hoặc bắt buộc Timelock).

Đón nhận sức mạnh lưu ký tuân thủ độc lập

Khi TVL không ngừng phình to, các nhà phát triển giao thức nên tập trung năng lượng vào logic mã và đổi mới nghiệp vụ, đồng thời giao quyền kiểm soát kho bạc trị giá hàng trăm triệu USD và phòng thủ an ninh cho các tổ chức lưu ký tuân thủ chuyên nghiệp bên thứ ba. Giống như trong tài chính truyền thống, sàn giao dịch không đặt tài sản người dùng trong két cá nhân của ông chủ. Việc đưa vào các quy trình quản lý rủi ro cấp tổ chức đã được kiểm toán, có khả năng tấn công-phòng thủ mạnh mẽ, là con đường tất yếu để DeFi tiến tới đại chúng.

Như các nhà cung cấp dịch vụ tổ chức lâu năm trong lĩnh vực bảo mật tài sản số như Cactus Custody đã đề xuất: Tính phi tập trung của DeFi không nên trở thành cái cớ để trốn tránh kiểm soát rủi ro có hệ thống.

Sự kiện hacker Drift có lẽ là một bước ngoặt. Nó tuyên bố sự phá sản của mô hình quản trị kiểu "nghiệp dư", và cũng báo trước sự xuất hiện của một mô hình bảo mật mới lấy kiến trúc phần cứng, xác minh ý định và lưu ký chuyên nghiệp làm cốt lõi. Chỉ có củng cố tuyến phòng thủ này, Web3 mới thực sự có thể gánh vác tương lai trị giá nghìn tỷ USD.