Trò đùa Cá tháng Tư? Drift Protocol bị Đánh cắp Hơn 280 Triệu USD, Có thể Trở thành Vụ Tấn công DeFi Lớn thứ Hai trong Hệ sinh thái Solana

Bản gốc | Odaily Planet Daily (@OdailyChina)

Tác giả | Wenser (@wenser 2010)

Trong khi ngọn lửa xung đột ở Trung Đông chưa tắt, một sự kiện tấn công an ninh với quy mô hơn 200 triệu USD lại giáng một đòn mạnh vào cộng đồng tiền mã hóa.

Vào ngày Cá tháng Tư 1/4, giao thức phái sinh hàng đầu trên hệ sinh thái Solana, Drift Protocol, đã trêu đùa mọi người bằng một "trò đùa" chẳng giống ai: chỉ một tuần trước vừa cập nhật chữ ký đa ký hiệu (multisig) mới chỉ yêu cầu 2/5 chữ ký và không thiết lập khóa thời gian (timelock); một tuần sau, tài sản liên quan đến JLP trị giá hơn 280 triệu USD đã bị đánh cắp. Điều này khó không khiến người ta nghi ngờ liệu có tồn tại tình trạng tự đạo trong nội bộ hay không.

Tin tức mới nhất, Drift chính thức xác nhận bị tấn công chủ động và đã tạm dừng mọi thao tác gửi/rút tiền trên toàn nền tảng; hơn nữa, một dự án có khả năng bị ảnh hưởng đã tuyên bố rõ ràng: "Đây không phải là trò đùa Cá tháng Tư."

Một lời giải thích tưởng như đùa giỡn lại hé mở một đòn giáng có lẽ là nặng nề nữa vào hệ sinh thái DeFi của Solana.

Diễn biến Vụ tấn công Drift Protocol: 11 giao dịch chuyển tiền, Kho bạc bị rút rỗng trong tích tắc

Điều tra sơ bộ cho thấy, phương thức tấn công lần này là chiếm quyền điều khiển quyền hạn quản trị và khai thác lỗ hổng thực thi đa ký hiệu.

Nhà sáng lập Slow Mist, Cosine, đã đăng bài: "Một tuần trước, Drift đã chuyển sang dùng multisig 2/5 và không có timelock (Odaily Planet Daily chú thích: tức thao tác có thể thực thi ngay lập tức) (bao gồm 1 địa chỉ ví cũ và 4 địa chỉ ví ký mới), kẻ tấn công vài giờ trước đã chiếm quyền quản trị, đúc tiền giả CVT, thao túng oracle, vô hiệu hóa các cơ chế bảo mật liên quan, và cuỗm đi các tài sản có giá trị trong pool."

Thông tin trên chain cho thấy, kẻ tấn công đầu tiên đã mua 41.72 triệu token thanh khoản Jupiter (JLP), trị giá khoảng 155.6 triệu USD, sau đó nhanh chóng chuyển ra số USDC lớn và các token khác, rồi chuyển chéo chain số tiền này sang Ethereum để mua khoảng 19,913 ETH, tương đương khoảng 42.6 triệu USD.

Toàn bộ quá trình bao gồm khoảng 11 giao dịch lớn, gồm:

• 51.61 triệu USDC, trị giá khoảng 51.62 triệu USD;
• 125,000 WSOL, trị giá khoảng 10.45 triệu USD;
• 164,000 cbBTC, trị giá khoảng 11.29 triệu USD.
• Địa chỉ ví của hacker: HkGz4KmoZ7Zmk7HN6ndJ31 UJ1qZ2qgwQxgVqQwovpZES.

Chỉ trong vòng vài phút, tổng tài sản kho bạc của Drift đã giảm mạnh từ 309 triệu USD xuống còn 41 triệu USD.

Vào khoảng 3 giờ sáng, Drift chính thức thông báo bị tấn công, đồng thời công bố đang phối hợp ứng phó với nhiều công ty bảo mật, cross-chain bridge và sàn giao dịch.

Nguyên nhân tấn công: Phía chính thức chưa kết luận, Rò rỉ khóa riêng tư quản trị viên có thể là nguyên nhân chính

Hiện tại, phía chính thức của Drift vẫn chưa chính thức công bố nguyên nhân chính của vụ tấn công này.

Tổ chức bảo mật PeckShield đánh giá, khóa quản trị viên của Drift Protocol rất có khả năng đã bị rò rỉ hoặc bị xâm nhập, kẻ tấn công thông qua việc giành quyền truy cập đặc quyền đã thao túng kho bạc của giao thức. Đánh giá này định tính vụ tấn công là sự xuyên phá ở cấp độ quyền hạn, chứ không phải lỗ hổng mã hợp đồng thông minh.

Ngoài ra, có thông tin từ cộng đồng cho rằng kẻ tấn công có thể đã thao túng các tham số tài sản thế chấp, đẩy giá trị của một số tài sản có tính thanh khoản thấp lên một cách nhân tạo, sau đó dùng chúng để vay các token có giá trị cao, cuối cùng hoàn thành việc đánh cắp tiền trong kho bạc. Con đường này trùng khớp cao với mô hình tấn công governance DeFi trước đây. Hiện tại, cơ quan điều tra chưa loại trừ khả năng tồn tại lỗ hổng hợp đồng thông minh hoặc thao túng oracle, cuộc điều tra vẫn đang được tiến hành.

Đáng chú ý, ví Solana mà kẻ tấn công sử dụng chỉ được nạp lần đầu với 1 SOL vào tuần trước, và trước đó đã từng nhận được một giao dịch chuyển tiền thử nghiệm nhỏ khoảng 2.52 USD từ kho bạc Drift, cho thấy kẻ tấn công có thể đã ẩn nấp từ trước, hoàn thành xác minh quyền hạn trước khi hành động chính thức. Hơn nữa, địa chỉ liên quan đến kẻ tấn công Drift có nguồn tiền từ Backpack, có thể để lại manh mối liên quan đến KYC.

Phản ứng thị trường: Token DRIFT lao dốc 28%, SOL chịu áp lực giảm ngắn hạn

Sau khi tin Drift bị đánh cắp lan truyền, thị trường rơi vào hoảng loạn, DRIFT và SOL nhanh chóng có xu hướng giảm.

Token gốc của Drift Protocol, DRIFT, giảm hơn 38% trong 24 giờ, hiện tạm báo khoảng 0.042 USD, so với mức cao nhất lịch sử 2.60 USD vào tháng 11/2024, mức giảm tích lũy đã vượt 98%. Giá SOL dưới tác động của tin tức cũng giảm theo, hiện đã phá vỡ mốc 80 USD, giảm gần 5% trong 24 giờ, hiện tạm báo 78.6 USD.

Ví Phantom đã chủ động hiện thông báo cảnh báo rủi ro cho người dùng cố gắng truy cập giao thức Drift; Công ty niêm yết kho bạc Solana Forward Industries và DeFi Development Corp cũng lên tiếng xác nhận số tiền của họ không bị ảnh hưởng bởi vụ tấn công này.

Vụ tấn công DeFi Lớn nhất Hệ sinh thái Solana năm 2026

Theo thống kê từ KOL tiền mã hóa @lugeweb3, các dự án chịu tổn thất rõ ràng hoặc ảnh hưởng nghiêm trọng do sự kiện Drift bị đánh cắp bao gồm:

• @piggybank_fi: 106,000 USD bị đánh cắp, đội ngũ đang bơm thanh khoản để bù đắp tổn thất cho người dùng.
• @DeFiCarrot: Sản phẩm Boost và Turbo không bị ảnh hưởng, nhưng toàn bộ bị ảnh hưởng bởi lỗ hổng, đã tạm dừng chức năng đúc/hoán đổi.
• @uselulo: Khoản tiền gửi truyền thống có thể bị ảnh hưởng (tiền gửi được bảo vệ và nâng cao không bị ảnh hưởng).
• @reflectmoney: Tất cả việc phát hành thêm/đổi lại USDC+ và USDT+ đã bị đóng băng.
• @project0: Các khoản vay được thế chấp bằng thị trường Drift đã tạm dừng.
• @ranger_finance: Nạp/rút rgUSD tạm dừng, 900,000 USD trong tổng 14.6 triệu USD TVL trên Drift bị đóng băng.
• @elementaldefi: Số SOL và tiền Lend gửi vào Drift bị đóng băng (tiền USDC và ONYC an toàn).
• @TradeNeutral: Tất cả các kho bạc liên quan đến Drift (JLP, Super stake BTC/ETH/SOL, Hyper JLP, v.v., tổng TVL 3.6 triệu USD) có thể bị ảnh hưởng, gửi tiền/rút tiền tạm dừng.
• @xplaceapp: Không thể thực hiện gửi tiền/rút tiền, chế độ tín dụng và chức năng cho vay ngừng hoạt động.
• @GetPyra: Tiền bị ảnh hưởng, tất cả chức năng thẻ tạm dừng.
• @ExponentFinance: Giao dịch liên quan đến USDC+ tạm dừng.
• @fusewallet: Gửi tiền tạm dừng.
• @perena: Stablecoin không bị ảnh hưởng, nhưng đổi lại tạm dừng; JLP Vault trên Neutral Trade (TVL 512,000 USD) có thể bị ảnh hưởng.

Các dự án đã tuyên bố rõ không bị ảnh hưởng:

• @JupiterExchange
• @kamino
• @UnitasLabs
• @onrefinance
• @solflare
• @hylo_so
• @MarinadeFinance
• @synatraxyz
• @solsticefi
• @defidevcorp
• @jito_sol
• @MeteoraAG
• @sanctumso
• @wormhole

Theo ước tính quy mô, sự kiện này có thể trở thành một trong những sự kiện bảo mật DeFi lớn nhất trong hệ sinh thái Solana, sau vụ tấn công cross-chain bridge Wormhole.

Trước khi sự kiện Drift xảy ra, TVL của nó vào khoảng 550 triệu USD, vụ tấn công này gây thiệt hại trực tiếp lên tới 285 triệu USD, quy mô thiệt hại đứng đầu trong tất cả các sự kiện bảo mật DeFi tính đến năm 2026. Đáng chú ý, thiệt hại do các vụ tấn công DeFi trong tháng 3 tổng cộng khoảng 52 triệu USD, bao gồm 20 sự kiện chính. Còn bây giờ, chỉ riêng sự kiện bảo mật Drift này đã đẩy con số thiệt hại nửa đầu năm lên một cấp độ mới.

Không còn nghi ngờ gì nữa, sự kiện Drift bị đánh cắp một lần nữa gióng lên hồi chuông cảnh báo cũ kỹ nhưng không bao giờ lỗi thời đối với ngành DeFi - ngoài an ninh mã code, an ninh vận hành cũng chí mạng. Về sau, nếu cuối cùng xác nhận nguyên nhân bị đánh cắp là do rò rỉ khóa riêng tư của quản trị viên, điều này cũng sẽ một lần nữa xác minh: Dù kiểm tra mã code có hoàn thiện đến đâu, yếu tố con người luôn là mắt xích yếu nhất trong bảo mật on-chain.

Cuối cùng, Odaily Planet Daily nhắc nhở người dùng: Trước khi Drift công bố báo cáo điều tra đầy đủ và đưa ra giải pháp rõ ràng, tuyệt đối không gửi tiền hoặc tương tác với giao thức.