#Gate广场四月发帖挑战

Không ai trong DeFi muốn tin điều đó khi lần đầu tiên nhìn thấy dòng tiêu đề vào ngày 1 tháng 4 năm 2026. Chính đội ngũ tại Drift Protocol cũng phải ngay lập tức làm rõ rằng đây không phải là trò đùa Ngày Cá tháng Tư. Điều gì đã xảy ra với một trong những sàn giao dịch phi tập trung quan trọng nhất của Solana vào ngày đó là có thật—nó vô cùng nghiêm trọng—và hiện đang được gọi là vụ khai thác lớn thứ hai trong toàn bộ lịch sử của chuỗi khối Solana.

Drift Protocol là một sàn giao dịch hợp đồng tương lai vĩnh viễn và phái sinh được xây dựng trên Solana. Ở giai đoạn đỉnh cao, giao thức này đang nắm giữ khoảng $550 triệu giá trị tổng bị khóa (TVL) trên các vault chia sẻ, chứa các khoản tiền gửi của người dùng dưới các tài sản như USDC, JitoSOL, token JLP, Bitcoin dạng bọc (wrapped Bitcoin) và Solana. Vào ngày 1 tháng 4 năm 2026, các kẻ tấn công đã rút cạn khoảng từ $280 triệu đến $285 triệu từ những vault đó—hơn một nửa tất cả số tiền mà người dùng đã tin tưởng giao thức giữ hộ. TVL giảm từ $550 triệu xuống chỉ còn $24 triệu trong vòng vài giờ.

Điều khiến vụ khai thác này đặc biệt đáng báo động là không có đoạn mã hợp đồng thông minh nào bị phá vỡ. Không có chìa khóa riêng nào bị đánh cắp theo nghĩa truyền thống. Đây không phải là lỗi trong logic chương trình on-chain của Drift. Những gì kẻ tấn công thực hiện còn tinh vi và đáng lo ngại hơn nhiều: đó là một chiến dịch tấn công social engineering được thiết kế cẩn thận nhắm vào con người phía sau kiến trúc bảo mật của giao thức.

Drift Protocol, giống như nhiều dự án DeFi khác, sử dụng hệ thống multisig Security Council theo cơ chế 5-of-9 để quản trị các quyết định cấp quản trị. Các kẻ tấn công đã dành nhiều tuần chuẩn bị trước khi chuyển đi bất kỳ đồng tiền nào. Bắt đầu từ khoảng ngày 23 tháng 3 năm 2026, chúng bắt đầu tạo các tài khoản nonce bền vững—một tính năng gốc của Solana—gắn với các ví của những người ký multisig thuộc Security Council của Drift. Các tài khoản nonce này cho phép kẻ tấn công ký trước các giao dịch có thể được thực thi vào bất kỳ thời điểm nào trong tương lai mà không cần phê duyệt mới từ những người ký. Khả năng cao là các người ký đã chấp thuận những giao dịch trông có vẻ là thông thường hoặc vô hại, không nhận ra rằng mình đang trao cho kẻ tấn công cơ chế để chiếm quyền kiểm soát trong tương lai.

Vào ngày 27 tháng 3, kẻ tấn công đã khai thác một sự kiện di chuyển multisig đã được lên lịch—một thủ tục bảo trì hợp lệ của giao thức—làm “vỏ bọc”. Chúng nhúng hạ tầng độc hại của mình vào trong hoạt động thường nhật này mà không kích hoạt cảnh báo. Rồi đến ngày 1 tháng 4, ngay sau khi đội ngũ xử lý một lệnh rút thử nghiệm hợp lệ, các giao dịch đã được ký trước đã tự động được thực thi. Chỉ trong vòng bốn slot của chuỗi khối Solana—khoảng hai giây—kẻ tấn công đã tự trao cho mình toàn quyền quản trị đối với toàn bộ giao thức.

Sau khi đã giành được quyền quản trị, cuộc tấn công diễn ra theo ba bước tàn phá. Thứ nhất, quyền quản trị được chiếm giữ hoàn toàn. Thứ hai, một tài sản giả có tên CarbonVote Token được đưa vào giao thức và được wash-trade một cách tích cực để thao túng các price oracle, khiến chúng coi đó là một tài sản hợp pháp với giá trị thực. Thứ ba, hạn mức rút tiền đã bị loại bỏ hoàn toàn, và kẻ tấn công đã rút cạn một cách có hệ thống khoảng hai mươi vault chia sẻ, lấy toàn bộ những gì chúng có thể bằng USDC, JitoSOL, token JLP, wrapped Bitcoin và SOL. Bản thân token DRIFT cũng sụt giảm hơn 40% giá trị trong vòng vài giờ kể từ khi vụ khai thác được công bố.

Các khoản tiền không ở lại trên Solana. Khoảng $278.5 triệu đã được chuyển sang Ethereum bằng Circle's Cross-Chain Transfer Protocol gần như ngay lập tức sau vụ rút cạn. Kẻ tấn công cố ý tránh USDT, có lẽ để giảm rủi ro của việc bị đóng băng tập trung, và đã chuyển tiền qua bốn địa chỉ ví Ethereum—những địa chỉ này kể từ đó đã được theo dõi và công bố bởi công ty phân tích blockchain Arkham Intelligence. Công ty an ninh Elliptic đã báo cáo khả năng có liên hệ với North Korean state-affiliated threat actors, và một phần số tiền đã chuyển qua Tornado Cash—một công cụ che giấu danh tính đã được biết đến—trong khi một dòng chảy khác đã được xác định hướng đến một sàn giao dịch lớn, nơi việc xác minh KYC có thể làm việc chuyển dịch tiếp theo trở nên phức tạp hơn.

Drift Protocol đã phản hồi bằng cách tạm dừng ngay lập tức mọi khoản gửi và rút, đóng băng toàn bộ giao thức, và loại bỏ ví multisig bị xâm phạm khỏi mọi quyền truy cập quản trị trong tương lai. Đội ngũ xác nhận rằng quỹ bảo hiểm không bị ảnh hưởng và DSOL được giữ ngoài Drift vẫn an toàn. Cơ quan thực thi pháp luật đã được thông báo, và đội ngũ đang phối hợp với nhiều công ty bảo mật blockchain để xác định nguồn gốc và khả năng thu hồi. Một bản báo cáo postmortem đầy đủ đã được hứa hẹn.

Vụ khai thác này không chỉ là vấn đề của Drift. Nó là bài học bảo mật quan trọng nhất mà DeFi đã nhận được trong nhiều năm qua. Cuộc tấn công không phải do lỗi mã—mà là do thất bại về quản trị. Các hệ thống multisig chỉ mạnh khi con người vận hành chúng và các quy trình đi kèm. Các nonce bền vững trên Solana tạo ra một lỗ hổng ký trước mà hệ sinh thái rộng hơn vẫn chưa giải quyết thỏa đáng. Việc social engineering nhắm vào các key signer giờ đây đã trở thành một vector tấn công đã được chứng minh ở quy mô lớn, với $285 triệu đô la là bằng chứng về khái niệm (proof of concept).

Bất kỳ giao thức nào chạy cấu trúc quản trị multisig, trên Solana hay bất kỳ nơi nào khác, đều cần phải kiểm toán ngay lập tức mức độ phơi nhiễm của tài khoản nonce. Mỗi người dùng DeFi cần hiểu rằng chỉ audit mã không thể bảo vệ khỏi các cuộc tấn công nhắm vào lớp con người có mức độ tinh vi như thế này. Vụ khai thác Drift là một thời khắc bước ngoặt cho thiết kế bảo mật phi tập trung, và số tiền $285 triệu đô la mà nó đã gây ra thuộc về những người dùng thực sự đã tin tưởng hệ thống.

DeFi không bị hỏng. Nhưng nó đang bị thử thách gắt gao hơn bao giờ hết.
#DriftProtocolHacked
#CreaterLeaderBoard