Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Thêm
DriftProtocolHacked
Tấn công vào giao thức Drift: $285 triệu đô la khai thác thể hiện sự yếu đuối của con người trong tài chính phi tập trung
Sự khai thác trị giá $285 triệu đô la trên giao thức Drift vào năm 2026 không chỉ là một tiêu đề khác trong danh sách các vụ tấn công liên tục của tài chính phi tập trung; nó còn là một bài học đáng sợ về kỹ thuật xã hội dài hạn. Trong khi phần lớn ngành công nghiệp tập trung phản ứng với các lỗ hổng trong hợp đồng thông minh, vụ việc này làm nổi bật một thực tế sâu sắc hơn: phần dễ bị tổn thương nhất của bất kỳ giao thức nào thường không phải là mã nguồn, mà là con người được tin cậy với chìa khóa truy cập. Khác với các vụ khai thác điển hình nơi lỗi hoặc lỗi logic bị phát hiện ngay lập tức, các hacker của Drift đã dành hàng tuần để xây dựng một ảo tưởng hợp pháp một cách có hệ thống, lừa đảo quản trị của giao thức, vượt qua tất cả các biện pháp phòng ngừa đã được thiết kế sẵn.
Phương thức của các hacker này tinh vi và nhiều lớp. Họ tạo ra một token giả, là CarbonVote, và sử dụng các hoạt động rửa tiền để thao túng dữ liệu một cách nhân tạo hoặc thao túng các tham chiếu, khiến hệ thống nhầm lẫn các pixel vô giá trị thành các đảm bảo hợp pháp trị giá hàng triệu. Đến khi họ kích hoạt các giao dịch “nonce vĩnh viễn” giả mạo, các biện pháp phòng thủ của giao thức đã bị xâm phạm từ bên trong. Đây không phải là một cuộc tấn công “đập phá và trộm cắp”; mà là một cuộc xâm nhập có tính toán cao, gây tổn hại đến hội đồng bảo mật được thiết kế để bảo vệ người dùng. Thực tế rằng một sàn giao dịch phi tập trung hàng đầu trên Solana có thể bị rút tiền trong chưa đầy 12 phút qua kỹ thuật xã hội có tổ chức chứng tỏ một thực tế đáng sợ: một hợp đồng thông minh đã được kiểm tra không tự đảm bảo an toàn một cách độc lập.
An toàn trong tài chính phi tập trung, như vụ việc này cho thấy, không phải là thành tựu một lần mà là một quá trình liên tục của sự cuồng nhiệt và cảnh giác. Một khi các quy trình quản trị trong giao thức trở nên cơ học thay vì nghiêm ngặt, chúng trở thành mục tiêu dễ dàng cho các hacker, kể cả các tổ chức được nhà nước hậu thuẫn. Vụ tấn công này là một bước ngoặt quan trọng của ngành: tài chính phi tập trung đang chuyển từ thời đại “mã là luật” sang thời đại “kỹ thuật xã hội”, nơi mà niềm tin của con người trở thành con đường chính để tấn công. Các biện pháp hiệu quả như các quy trình chuyển đổi không thời gian, từng được ca ngợi như các tính năng dễ sử dụng, giờ đây lộ rõ là các lỗ hổng rõ ràng. Hơn nữa, việc thao túng các tham chiếu thông qua thanh khoản nhân tạo tiết lộ một lỗ hổng cấu trúc mà hầu hết các giao thức cho vay vẫn chưa sẵn sàng để xử lý.
Sự khai thác Drift mang lại nhiều bài học kỹ thuật và quản trị. Thứ nhất, việc sử dụng nonces vĩnh viễn cho phép hacker ký các giao dịch trước hàng tuần, đảm bảo tốc độ thực thi mà các biện pháp phòng thủ con người không thể theo kịp. Thứ hai, vấn đề mù tham chiếu đã rõ ràng hơn bao giờ hết: các tham chiếu chỉ cung cấp giá, chứ không phải là sự thật. Bằng cách bơm đủ thanh khoản để ảnh hưởng đến feed giá của một token giả, hacker đã lợi dụng các tài khoản của giao thức. Cuối cùng, huyền thoại về chữ ký đa chữ ký đã bị phá vỡ: ví đa chữ ký không an toàn hơn trừ khi liên lạc và quy trình vận hành của các người ký được bảo mật. Kỹ thuật xã hội thuyết phục các thành viên đồng ý thực hiện các giao dịch như một thao tác thường lệ biến hệ thống phê duyệt mạnh mẽ từ 5/5 thành hệ thống yếu 1/1.
Các tác động rộng lớn hơn của vụ tấn công vào giao thức Drift vượt xa hệ sinh thái Solana. Sự kiện này là một lời cảnh tỉnh cho tất cả các nền tảng tài chính phi tập trung đã trở nên hài lòng với các “phím tắt quản trị” hoặc các tính năng khẩn cấp vượt quá thời gian. Nếu giao thức của bạn dựa vào các chức năng khẩn cấp không có thời gian, thì nó không còn thực sự phi tập trung — nó về cơ bản là một ngân hàng với ít nhất các người bảo vệ an toàn. Sự khai thác Drift là lời nhắc nhở rằng hành vi con người, kỷ luật vận hành và tính nghiêm ngặt trong quản trị giờ đây quan trọng không kém gì việc đảm bảo an toàn cho các hợp đồng thông minh trong việc bảo vệ hệ thống phi tập trung.
Cuối cùng, vụ tấn công vào giao thức Drift xác nhận rằng tương lai của an toàn tài chính phi tập trung không chỉ nằm ở các cuộc kiểm tra mã chặt chẽ và rà soát mã nguồn, mà còn ở sự cảnh giác liên tục trong quản trị, an ninh vận hành đa lớp và sự hoài nghi về “phím tắt đáng tin cậy”. Ngành công nghiệp cần đối mặt nghiêm túc với các yếu tố con người như các lỗ hổng trong mã nguồn, nếu không sẽ lặp lại chính những sai lầm đó theo cách còn tốn kém hơn.
Các điểm chính:
- Nonces vĩnh viễn như vũ khí: các giao dịch ký trước cho phép hacker thực hiện khai thác phức tạp nhanh hơn phản ứng của các nhà phòng thủ.
- Mù tham chiếu: feed giá không phản ánh sự thật; thao túng thanh khoản có thể thay đổi các tính toán của giao thức.
- Yếu điểm của chữ ký đa chữ ký: kỹ thuật xã hội có thể vượt qua an ninh của chữ ký đa chữ ký nếu các phê duyệt trở thành thủ tục thường lệ.
- Hiệu quả so với an toàn: các tính năng “khẩn cấp” không có thời gian có thể thúc đẩy tốc độ nhưng làm giảm an toàn.
Sự kiện Drift không chỉ là vấn đề của Solana — nó là bài học cho toàn bộ hệ thống tài chính phi tập trung về rủi ro phụ thuộc quá mức vào tự động hóa và đánh giá thấp yếu đuối của yếu tố con người.
Hack Drift Protocol: $285 Triệu USD Lỗ Hổng Cho Thấy Nhược Điểm Nhân Tạo của DeFi
Việc khai thác $285 triệu USD của Drift Protocol vào năm 2026 không chỉ là một tiêu đề khác trong danh sách các vụ hack DeFi đang tiếp diễn; nó là một bài học đáng rùng mình về kỹ thuật xã hội dài hạn. Trong khi phần lớn ngành công nghiệp phản xạ tập trung vào các lỗ hổng hợp đồng thông minh, sự cố này nhấn mạnh một sự thật sâu sắc hơn: phần dễ bị tổn thương nhất của bất kỳ giao thức nào thường không phải là mã, mà là con người được giao phó nắm giữ các khóa. Khác với các vụ khai thác thông thường nơi một lỗi hoặc sai sót logic được phát hiện ngay lập tức, các kẻ tấn công của Drift đã dành nhiều tuần để chế tạo một ảo tưởng về tính hợp pháp có hệ thống, lừa được cơ quan quản trị của giao thức, cuối cùng vượt qua toàn bộ các biện pháp bảo vệ đã được dự định.
Phương pháp của các kẻ tấn công rất tinh vi và nhiều tầng lớp. Chúng tạo ra một tài sản giả là CarbonVote Token và dùng giao dịch wash trading để thao túng nhân tạo các oracle, khiến hệ thống coi những điểm ảnh vô giá trị như tài sản thế chấp hợp pháp có giá trị lên đến hàng triệu. Đến khi chúng kích hoạt các giao dịch được gọi là “durable nonce”, các cơ chế phòng thủ của giao thức đã bị suy yếu từ bên trong. Đây không phải là một cuộc tấn công “đập phá rồi cướp đi”; mà là một cuộc xâm nhập được tính toán ở tầm cao, làm tổn hại chính hội đồng bảo mật được thiết kế để bảo vệ người dùng. Việc một Solana DEX hàng đầu có thể bị rút cạn trong chưa đầy 12 phút nhờ các chiến thuật kỹ thuật xã hội phối hợp chứng minh một thực tế đáng suy ngẫm: chỉ riêng một hợp đồng thông minh đã được kiểm toán không đảm bảo an toàn.
Bảo mật trong DeFi, như sự cố này chứng minh, không phải là một thành tựu một lần mà là một quá trình liên tục của sự hoài nghi và cảnh giác. Khi các quy trình quản trị của một giao thức trở nên máy móc thay vì nghiêm ngặt, chúng biến thành mục tiêu mềm cho các kẻ tấn công, bao gồm cả các tác nhân do nhà nước hậu thuẫn. Vụ hack này đánh dấu một bước ngoặt quan trọng đối với ngành: DeFi đang chuyển từ thời đại “Code is Law” sang thời đại “Social Engineering”, nơi niềm tin của con người trở thành vectơ tấn công chính. Các biện pháp về hiệu quả như zero-timelock migrations, trước đây từng được ca ngợi là thân thiện với người dùng, nay lại lộ rõ như những lỗ hổng nghiêm trọng. Hơn nữa, việc thao túng các oracle thông qua thanh khoản được tạo giả tạo phơi bày một điểm yếu mang tính cấu trúc mà đa số các giao thức cho vay vẫn chưa sẵn sàng để xử lý.
Một số bài học kỹ thuật và quản trị quan trọng rút ra từ vụ khai thác Drift. Thứ nhất, việc sử dụng durable nonces cho phép các kẻ tấn công ký trước các giao dịch trước đó nhiều tuần, đảm bảo tốc độ thực thi mà không người phòng thủ nào có thể bắt kịp. Kỹ thuật này cho thấy việc lạm dụng khéo léo các nguyên ngữ (primitives) của blockchain có thể biến các tính năng thông thường thành vũ khí. Thứ hai, vấn đề “oracle blindness” hiện đã trở nên rõ ràng không thể phủ nhận: oracle chỉ báo giá, không phải sự thật. Bằng cách cung cấp đủ thanh khoản để tác động đến nguồn cấp dữ liệu giá cho một token giả, các kẻ tấn công đã biến các phép tính của chính giao thức thành vũ khí. Cuối cùng, “hiệu ứng thần thoại” multisig đã bị vạch trần: một multisignature wallet chỉ an toàn ở mức mà các thói quen giao tiếp và vận hành của những người ký cho phép. Kỹ thuật xã hội thuyết phục người tham gia phê duyệt các giao dịch như một việc thường lệ sẽ biến một hệ thống phê duyệt 5-of-5 vững chắc thành một phiên bản mong manh tương đương 1-of-1.
Các hệ quả rộng lớn của vụ hack Drift Protocol vượt xa hệ sinh thái Solana. Sự cố này là lời cảnh tỉnh cho mọi nền tảng DeFi đã trở nên tự mãn với “admin shortcuts” hoặc các tính năng khẩn cấp bỏ qua timelocks. Nếu giao thức ưa thích của bạn dựa vào một chức năng khẩn cấp zero-timelock, thì nó không còn thực sự phi tập trung—về bản chất, đó là một ngân hàng với ít người gác bảo vệ hơn. Vụ khai thác Drift nhắc nhở rằng hành vi con người, kỷ luật vận hành và sự chặt chẽ trong quản trị hiện quan trọng không kém tính đúng đắn của hợp đồng thông minh trong việc đảm bảo an ninh cho các hệ thống phi tập trung.
Kết luận, vụ hack Drift Protocol nhấn mạnh rằng tương lai của bảo mật DeFi không chỉ nằm ở các cuộc kiểm toán nghiêm ngặt và rà soát mã nguồn, mà còn nằm ở việc giám sát quản trị liên tục, an ninh vận hành nhiều lớp dựa trên con người, và sự hoài nghi đối với các “shortcut” được coi là “đáng tin cậy”. Ngành công nghiệp phải xem các yếu tố con người nghiêm túc như các lỗ hổng mã, nếu không sẽ có nguy cơ lặp lại những sai lầm tương tự theo những cách ngày càng tốn kém.
Key takeaways:
Durable Nonces as Weapons: Các giao dịch được ký trước cho phép kẻ tấn công thực hiện các khai thác phức tạp nhanh hơn so với khả năng phản ứng của người phòng thủ.
Oracle Blindness: Các nguồn cấp giá không phải là nguồn cấp sự thật; thao túng thanh khoản có thể thao túng toán học của giao thức.
Multisig Weaknesses: Social Engineering có thể vượt qua an toàn của multisig nếu việc phê duyệt trở nên thường lệ.
Efficiency vs Security: Các tính năng “emergency” zero-timelock có thể tăng tốc độ nhưng làm suy giảm an toàn.
Vụ hack Drift Protocol không chỉ là một vấn đề của Solana—đó là một bài học cho toàn bộ hệ sinh thái DeFi về những nguy hiểm của việc phụ thuộc quá mức vào tự động hóa và đánh giá thấp mức độ dễ tổn thương của con người.