Ngày 1 tháng 4 năm 2026, Drift Protocol, sàn giao dịch hợp đồng vĩnh cửu phi tập trung lớn nhất trong hệ sinh thái Solana, đã chịu một đòn tấn công thảm khốc. Chỉ trong vòng mười mấy phút, tài sản mã hóa trị giá lên tới 285 triệu USD đã bị cuốn sạch, trở thành sự kiện an ninh lớn nhất trong lĩnh vực DeFi tính từ đầu năm nay.
Khi dữ liệu trên chuỗi được mổ xẻ và các cơ quan an ninh can thiệp sâu, toàn cảnh cuộc tấn công APT được cho là do nhóm hacker Triều Tiên chủ trì dần dần lộ diện. Điều đáng buồn là, thứ phá hủy pháo đài DeFi trị giá hàng trăm triệu USD này không phải là một lỗ hổng zero-day (0-day) tinh vi nào, mà là một cuộc săn đuổi kỹ thuật xã hội (social engineering) kéo dài hàng tháng trời, nhắm thẳng vào điểm yếu của con người.
Thảm họa này không chỉ là khoảnh khắc đen tối nhất của Drift, mà còn lột trần sự 'nghiệp dư' trong quản trị và quản lý khóa của ngành công nghiệp DeFi hiện tại.
Cuộc săn đuổi có chủ đích từ lâu: Drift đã thất thủ như thế nào?
Phân tích lại đường đi của hacker, chúng ta sẽ thấy đây là một cuộc tác chiến phối hợp đa tuyến cực kỳ chặt chẽ và kiên nhẫn. Kẻ tấn công đã lợi dụng hoàn hảo sự tự mãn mù quáng của cộng đồng geek Web3 vào 'code là luật', cũng như sự sơ suất đối với 'con người' - mắt xích yếu nhất.
Bước 1: Mai phục dưới vỏ bọc 'nhà tạo lập thị trường'
Ngay từ nửa năm trước khi sự việc xảy ra, kẻ tấn công đã ngụy trang thành một tổ chức giao dịch định lượng với vốn dồi dào. Họ không chỉ giao lưu thân thiết với đội ngũ cốt lõi của Drift tại các hội nghị thượng đỉnh tiền mã hóa, mà còn thực sự gửi hàng triệu USD vào giao thức. Bằng cách tham gia kiểm tra sản phẩm và đưa ra những đề xuất chiến lược chất lượng cao, hacker đã thành công len lỏi vào nhóm trao đổi nội bộ của Drift, thiết lập được sự tin tưởng chết người.
Bước 2: Lợi dụng 'Số ngẫu nhiên bền vững' để chôn quả bom hẹn giờ
Sau khi giành được lòng tin của những người đóng góp cốt lõi, hacker bắt đầu lợi dụng cơ chế 'Số ngẫu nhiên bền vững' (Durable Nonces) đặc trưng của mạng Solana. Cơ chế này cho phép giao dịch được ký trước ngoại tuyến và được phát sóng thực thi tại bất kỳ thời điểm nào trong tương lai. Thông qua lời nói khéo léo và nhu cầu kiểm tra giả mạo, hacker đã dụ các thành viên ủy ban an ninh của Drift thực hiện 'ký mù' (Blind Signing) đối với một vài giao dịch trông có vẻ bình thường. Nhưng Payload thực sự của những giao dịch này là chuyển quyền kiểm soát tối cao của quản trị viên (Admin) giao thức.
Bước 3: Đa đa chữ ký 2/5 chết người và khóa thời gian bằng không
Ngày 27 tháng 3, Drift đã thực hiện một bản cập nhật quản trị chết người: di chuyển ủy ban an ninh sang một kiến trúc đa chữ ký 2/5 mới, và loại bỏ khóa thời gian (Timelock). Điều này có nghĩa là, chỉ cần tập hợp đủ hai chữ ký, bất kỳ chỉ thị nào sửa đổi logic cốt lõi của giao thức sẽ được thực thi ngay lập tức, không cho thời gian phản ứng kể cả ngắt kết nối.
Bước 4: Cỗ máy rút tiền 'tiền giả' ảo ảnh
Ngày 1 tháng 4, hacker đồng thời kích hoạt tất cả các bước triển khai. Họ phát sóng các chỉ thị đa chữ ký đã lừa được từ trước, ngay lập tức tiếp quản quyền Admin của giao thức. Sau đó, hacker đã thêm một loại token giả có tên là CVT (CarbonVote Token) vào danh sách trắng và kéo giới hạn cho vay của nó lên tối đa. Phối hợp với thao túng giá của oracle, hacker sử dụng một đống tiền ảo làm tài sản thế chấp, đã 'vay' một cách hợp quy hợp pháp 285 triệu USD USDC, SOL và ETH từ kho bạc của Drift.
Chữ ký hợp pháp ≠ ý định hợp pháp: Gót chân Achilles của an ninh DeFi
Trong sự kiện Drift, điều khiến người ta cảm thấy bất lực nhất là: trong mắt máy ảo blockchain, mỗi bước của hacker đều 'hợp pháp'. Họ không khai thác lỗ hổng tràn số, cũng không tấn công xâm nhập lại, họ chỉ đơn giản lấy được chìa khóa quản trị viên hợp pháp, rồi đường hoàng bước vào kho bạc.
Điều này phơi bày sự lệch lạc lớn trong quản lý quỹ của các giao thức DeFi hiện tại: sử dụng các công cụ cấp người dùng lẻ vài trăm USD để quản lý kho bạc cấp tổ chức hàng trăm triệu USD.
Hiện tại, hầu hết các giao thức DeFi chủ lưu vẫn phụ thuộc cao vào chữ ký đa truyền thống dựa trên hợp đồng thông minh (như Safe hoặc cơ chế đa chữ ký gốc). Kiến trúc này tồn tại hai điểm yếu chết người:
- Không chống nổi kỹ thuật xã hội: Chỉ cần hacker thuyết phục (lừa đảo, ép buộc hoặc mua chuộc) vài nhân vật then chốt nắm giữ khóa riêng tư, phòng tuyến sẽ sụp đổ.
- Thiếu kiểm tra ý định: Đa chữ ký chỉ xác minh 'có phải chữ ký của những người này không', mà không quan tâm 'họ ký có phải là bán thân hay không'.
Từ thử nghiệm geek đến cơ sở hạ tầng tài chính: Sự tiến hóa tất yếu của an ninh Web3
285 triệu USD của Drift đã mua được một bài học cực kỳ đắt giá: Khi Web3 ngày càng hòa nhập với tài chính truyền thống, các giao thức DeFi phải từ bỏ mô hình quản trị chỉ dựa vào sự tự giác của nhà phát triển và đa chữ ký đơn giản, để tiến tới các tiêu chuẩn an ninh cấp tổ chức.
Hiện tại, các tổ chức hàng đầu ngành và các nhà quan sát an ninh đã đạt được đồng thuận, lần lặp lại an ninh tiếp theo của cơ sở hạ tầng DeFi phải bao gồm nâng cấp ở các khía cạnh cốt lõi sau:
Nâng cấp nền tảng mật mã: Hướng tới HSM (Mô-đun an ninh phần cứng)
So với sự tổng hợp phần mềm của đa chữ ký, HSM lưu trữ khóa riêng tư của giao thức bên trong chip được mã hóa cấp quân sự, đã được chứng nhận, và khóa riêng tư không thể bị xuất ra. Sự cách ly vật lý và kiểm soát an ninh cấp phần cứng này, về cơ bản ngăn chặn rủi ro do tấn công kỹ thuật xã hội nội bộ hoặc thiết bị bị xâm nhập, cung cấp cho kho bạc giao thức sự bảo đảm an ninh khóa vượt xa đa chữ ký truyền thống.
Giới thiệu bộ máy chiến lược 'dựa trên ý định' (Policy Engine)
Việc phê duyệt quyền quản lý DeFi trong tương lai không thể chỉ dừng lại ở giai đoạn 'xác minh chữ ký'. Hệ thống cần có sẵn một logic quản lý rủi ro, ví dụ: khi một giao dịch cố gắng sửa đổi giới hạn cho vay của một token không xác định (như CVT trong vụ Drift) thành vô hạn, bộ máy chiến lược sẽ tự động nhận diện ý định bất thường của nó, kích hoạt cơ chế ngắt mạch, và bắt buộc yêu cầu xác minh ở cấp độ cao hơn (như kiểm soát rủi ro thủ công đa cấp, xác minh video hoặc khóa thời gian bắt buộc).
Đón nhận sức mạnh lưu ký tuân thủ độc lập
Khi TVL không ngừng phình to, các nhà phát triển giao thức nên tập trung sức lực vào logic mã và đổi mới nghiệp vụ, mà giao quyền kiểm soát kho bạc hàng trăm triệu USD và phòng thủ an ninh cho các tổ chức lưu ký tuân thủ chuyên nghiệp bên thứ ba. Giống như trong tài chính truyền thống, sàn giao dịch sẽ không để tài sản người dùng trong hộp cá nhân của ông chủ. Việc đưa vào các quy trình quản lý rủi ro cấp tổ chức, có khả năng tấn công-phòng thủ mạnh mẽ và đã được kiểm toán, là con đường tất yếu để DeFi tiến tới đại chúng.
Như các nhà cung cấp dịch vụ tổ chức như Cactus Custody, những người đã lâu năm nghiên cứu sâu về an ninh tài sản số, đã khuyến nghị: Tính phi tập trung của DeFi không nên trở thành cái cớ để trốn tránh quản lý rủi ro có hệ thống.
Sự kiện hacker Drift có lẽ là một bước ngoặt. Nó tuyên bố sự phá sản của quản trị kiểu 'nghiệp dư', và cũng báo trước sự xuất hiện của một mô hình an ninh mới với kiến trúc phần cứng, xác minh ý định và lưu ký chuyên nghiệp làm cốt lõi. Chỉ có củng cố vững chắc phòng tuyến này, Web3 mới thực sự có thể gánh vác được tương lai quy mô nghìn tỷ USD.
