Chìa khóa của DeFi: Từ vụ Drift bị trộm 2.85 tỷ USD, nhìn vào lỗ hổng lớn nhất của tài chính phi tập trung

Drift đã chém trúng một vết thương mà ngành này ít khi muốn đối mặt nhất.

Tác giả: 深潮 TechFlow

Ngày 1 tháng 4, ngày Cá tháng Tư.

Sàn giao dịch phái sinh vĩnh cửu (perpetual) lớn nhất trên chuỗi Solana, Drift Protocol, đang bị rút sạch, và phản ứng đầu tiên của cộng đồng là: “Đúng là một trò đùa Cá tháng Tư hay đấy.”

Không phải trò đùa. Khoảng 1:30 chiều, tài khoản giám sát on-chain Lookonchain và PeckShield gần như đồng thời kích hoạt báo động: một ví lạ bắt đầu bằng “HkGz4K” đang rút tài sản từ kho (vault) của Drift với tốc độ kinh người. Giao dịch đầu tiên: 41 triệu token JLP, trị giá 155 triệu USD. Ngay sau đó là 51,6 triệu USDC, 12,5 vạn WSOL, 16,4 vạn cbBTC… Hàng chục loại tài sản như dòng nước trong một bồn tắm bị rút nút, ào ào chảy ra.

Một giờ. Tài sản trong kho giảm từ 309 triệu USD xuống còn 41 triệu. Hơn một nửa TVL, bốc hơi.

Nhóm Drift đăng một tweet trên X, câu chữ hiếm khi đến mức gấp gáp: “Drift Protocol đang chịu một cuộc tấn công chủ động. Việc gửi và rút tiền đã bị tạm dừng. Chúng tôi đang phối hợp với nhiều công ty an ninh, cầu nối cross-chain và sàn giao dịch để kiểm soát tình hình.”

Rồi đến câu bổ sung được định sẵn sẽ được ghi vào lịch sử của crypto: “This is not an April Fools joke.”

** Một chiếc chìa khóa, mở được tất cả các cánh cửa **

Số tiền Drift bị đánh cắp là số liệu khác nhau tùy nguồn. PeckShield ước tính khoảng 285 triệu USD, Arkham đưa ra con số hơn 250 triệu, đánh giá ban đầu của CertiK vào khoảng 136 triệu. Nhưng dù con số nào là đúng, đây vẫn là sự cố an ninh DeFi lớn nhất tính đến năm 2026.

Điều đáng chú ý hơn cả con số, là phương thức tấn công.

Người sáng lập PeckShield, Jiang Xuxian, nói thẳng với Decrypt: khóa quản trị nằm sau Drift “đã bị rò rỉ hoặc bị xâm nhập một cách rõ ràng”. Bức tranh về cuộc tấn công được các nhà nghiên cứu on-chain ghép lại cho thấy: kẻ tấn công đã giành được quyền truy cập đặc quyền vào giao thức Drift, từ đó kiểm soát luồng tiền trong kho.

Nói cách khác: không có lỗ hổng khai thác smart contract tinh vi, không có tấn công flash loan, không có thao túng oracle. Chỉ là thất bại an ninh nguyên thủy và lỗi mốt nhất: có người đã đánh mất khóa riêng.

Một chi tiết còn khiến người ta bất an là: kẻ tấn công không hề bốc đồng nhất thời. Dữ liệu on-chain cho thấy ví này đã lấy nguồn vốn ban đầu thông qua Near Intents từ 8 ngày trước khi cuộc tấn công xảy ra, rồi sau đó rơi vào trạng thái im lìm. Trước khi tấn công diễn ra một tuần, nó thậm chí đã nhận được một khoản chuyển nhỏ trị giá 2,52 USD từ kho của Drift. Một lần dò, một lần “gõ cửa”.

Một tuần sau, cánh cửa đã bị đá tung.

** Sự sụp đổ của Robinhood phiên bản crypto **

Với đồng sáng lập Drift, Cindy Leow, cơn ác mộng ngày 4 tháng 1 còn có một lớp nền đặc biệt tàn nhẫn.

Câu chuyện của nữ doanh nhân người Hoa gốc Malaysia này từng là một trong những câu chuyện truyền cảm hứng hay nhất trong Solana DeFi. Bắt đầu từ năm 2016 với kinh doanh chênh lệch giá Bitcoin giữa Trung Quốc và Hàn Quốc, đã làm quỹ đầu tư tự doanh, đóng góp các dự án phái sinh trên Ethereum, năm 2021 cùng David Lu thành lập Drift, đặt cược vào lợi thế tốc độ của Solana để xây dựng các hợp đồng vĩnh cửu trên chuỗi.

Xét theo dòng thời gian, Drift gần như đã dẫm trúng mọi “làn sóng” may mắn. Năm 2024 nhận được hai vòng gọi vốn do Polychain và Multicoin dẫn dắt, tổng cộng 52,50 triệu USD. Ra mắt thị trường dự đoán để đối đầu Polymarket, lên sàn đòn bẩy 50 lần, TVL vượt mốc 550 triệu USD, tổng khối lượng giao dịch tích lũy vượt 50 tỷ. Khi trả lời phỏng vấn Fortune, Leow dùng một định vị đầy tham vọng: muốn làm “Robinhood phiên bản crypto”.

Ẩn dụ này bây giờ đọc lên nghe vừa chua vừa chát. Lời hứa cốt lõi của Robinhood là giúp người bình thường tiếp cận các công cụ tài chính của Phố Wall. Lời hứa cốt lõi của Drift là mang đến cho người dùng trải nghiệm giao dịch “phi tập trung hóa” trên chuỗi: tiền của bạn không đi qua tay bất kỳ ai, chỉ tương tác với mã nguồn.

Nhưng đằng sau mã nguồn lại có một khóa quản trị. Và sự an toàn của chiếc chìa khóa ấy, rốt cuộc phụ thuộc vào con người, không phải mật mã.

Cũng có một sự trùng hợp lịch sử khiến người ta gai người. Năm 2022, thời kỳ Drift v1 đã từng trải qua một sự cố rút sạch kho. Sau đó, nhóm đã viết một báo cáo kỹ thuật cực kỳ chi tiết, thậm chí công khai một đoạn mã proof-of-concept, cho thấy kẻ tấn công có thể rút cạn toàn bộ kho chỉ trong một giao dịch. Mất mát của sự cố đó là 14,50 triệu USD, và nhóm đã tự bỏ tiền để bồi hoàn toàn bộ cho người dùng.

Bốn năm sau, cùng một cơn ác mộng lại tái diễn với quy mô gấp 20 lần.

** Niềm tin phi tập trung, điểm yếu chết người tập trung **

Nếu kéo tầm nhìn ra xa khỏi Drift một chút, bạn sẽ thấy một quy luật khó chịu đang dần hình thành.

Đầu năm 2025, dịch vụ quản lý khóa AWS của Resolv Labs bị xâm nhập. Kẻ tấn công đã dùng khóa đặc quyền để phê duyệt hoạt động đúc USR stablecoin quy mô lớn, gây ra chuỗi lỗ liên hoàn trên nhiều nền tảng. Cùng năm, tổng số vụ trộm cắp crypto trong cả năm 2025 đạt mức cao kỷ lục 3,4 tỷ USD. Báo cáo của Chainalysis đặc biệt chỉ ra một sự chuyển hướng xu hướng: những sự kiện phá hoại nhất xảy ra ở tầng cơ sở hạ tầng. Máy của nhà phát triển bị xâm nhập, một khóa đúc đơn lẻ được lưu trên đám mây, quy trình ký bị câu cá bằng mồi social engineering… chính chúng mới là những “hố đen” thực sự nuốt chửng tiền.

Bây giờ thêm Drift vào danh sách.

Nếu bạn sắp các trường hợp này để nhìn chung, một kết luận gần như không thể tránh khỏi: an toàn của khóa riêng đã thay thế lỗ hổng smart contract, trở thành rủi ro hệ thống lớn nhất của DeFi.

Trong đó có một khoảng cách nhận thức, đủ lớn để nuốt chửng hàng chục tỷ USD.

Câu chuyện mà các giao thức DeFi nói với bên ngoài là “phi tập trung hóa”, “phi giám hộ”, “không cần tin tưởng”. Tài sản của bạn do mã nguồn quản lý, không có trung gian nào có thể đụng vào tiền của bạn. Người dùng đã tin câu chuyện đó: họ gửi tiền vào các giao thức này, trong đầu nghĩ rằng “mình đang làm việc với toán học”.

Nhưng thực tế là, gần như mọi giao thức DeFi đang chạy đều có một hoặc vài “chìa khóa của chúa”—admin key, quyền nâng cấp, quyền kiểm soát kho (vault), và công tắc dừng khẩn cấp (emergency pause). Sự tồn tại của các khóa này đôi khi là vì an toàn (để có thể phanh gấp khẩn cấp khi có sự cố), đôi khi là vì tính linh hoạt (để nâng cấp logic hợp đồng), nhưng bản chất của chúng là như nhau: một điểm tin cậy tập trung được bọc trong câu chuyện phi tập trung.

Người dùng tưởng rằng họ đang tương tác với mã nguồn. Trên thực tế, họ đang tin tưởng vào một người—hoặc một nhóm người nhỏ—rằng sẽ không sai, không bị câu lừa, không bị ép buộc, và sẽ không quên để chiếc laptop ở quán cà phê vào tận đêm muộn.

Đây không phải vấn đề riêng của Drift; đó là mâu thuẫn mang tính cấu trúc của cả ngành DeFi.

2,85 triệu USD đi đâu rồi

Các hành động on-chain của kẻ tấn công gọn gàng và lạnh lùng như một tay chơi chuyên nghiệp.

Sau khi rút tài sản từ kho của Drift, hắn nhanh chóng đổi phần lớn token sang stablecoin, rồi chuyển tiền sang mạng Ethereum thông qua cầu nối Wormhole cross-chain. Trên Ethereum, hắn dùng một phần stablecoin để mua khoảng 19.913 ETH (trị giá khoảng 42,60 triệu USD), số còn lại được phân tán vào nhiều địa chỉ ví.

Có một chi tiết vô lý: trong ví của kẻ tấn công còn nắm giữ một lượng lớn Fartcoin, chiếm khoảng 2,5% tổng nguồn cung của token đó. Một kẻ hacker vừa hoàn thành vụ trộm DeFi lớn nhất trong năm, lại đang cầm trong tay một đống meme coin được đặt tên theo “xì hơi”.

Tính đến thời điểm bài viết được đăng, việc gửi và rút của Drift vẫn đang tạm dừng; token DRIFT từ khoảng 0,072 USD trước cuộc tấn công rơi xuống quanh 0,05 USD, mức giảm hơn 28%. Tính từ đỉnh lịch sử 2,60 USD, mức giảm lũy kế hơn 98%. Ví Phantom đã bật cảnh báo đối với người dùng đang cố truy cập Drift.

Nhóm Drift cho biết đang phối hợp với các công ty an ninh, đơn vị vận hành cầu nối cross-chain và sàn giao dịch tập trung để cố gắng đóng băng và lần theo số tiền bị đánh cắp. Nhưng nếu lịch sử có thể cung cấp bất kỳ tham chiếu nào, thì việc thu hồi số tiền được chuyển qua cầu nối và phân tán vào nhiều ví khiến xác suất đòi lại không mấy lạc quan.

** Một vấn đề mà một ngành phải đối mặt một cách trung thực **

Drift đã chém trúng một vết thương mà ngành này ít khi muốn đối mặt nhất.

Trong báo cáo vào cuối năm 2025, Chainalysis từng lạc quan rằng an ninh DeFi đã đạt “tiến bộ đáng kể”, rằng dù TVL tăng gấp đôi lên 1190 tỷ USD thì thiệt hại do hacker DeFi vẫn đang giảm. Trường hợp của Venus Protocol được xem như một ví dụ tích cực: hệ thống giám sát an ninh phát hiện bất thường trước cuộc tấn công 18 giờ, giao thức nhanh chóng tạm dừng hoạt động, cơ chế quản trị đã đóng băng tiền của kẻ tấn công, thậm chí kẻ tấn công còn bị lỗ.

Drift đã làm giảm giá trị của câu chuyện “tiến bộ” đó. Bạn có thể đưa kiểm toán smart contract lên mức tối đa, triển khai hệ thống giám sát on-chain tiên tiến nhất, nhưng chỉ cần một admin key bị social engineering, bị lừa đảo phishing, hoặc bị phá vỡ bằng vũ lực, thì mọi cơ sở hạ tầng an ninh cũng giống như những pháo đài xây trên cát.

Ngành DeFi cần dừng lại, trả lời trung thực một câu hỏi: khi bạn nói với người dùng rằng đó là “phi giám hộ”, vậy rốt cuộc bạn muốn nói gì?

Nếu admin key của một giao thức có thể chuyển toàn bộ tài sản trong kho bất cứ lúc nào, thì điều đó khác gì việc gửi tiền vào tài khoản ngân hàng của một người mà bạn không quen biết? Ít nhất ngân hàng có bảo hiểm, có giám sát, có quyền truy cứu pháp lý.

Có lẽ câu trả lời không phải là hủy bỏ các quyền admin đó; trong nhiều trường hợp, sự tồn tại của chúng là cần thiết. Nhưng ít nhất, ngành này nên ngừng việc giả vờ rằng chúng không tồn tại. Quản trị đa chữ ký, time lock, mô-đun bảo mật phần cứng (HSM), xoay vòng khóa… các giải pháp kỹ thuật này đã tồn tại nhiều năm rồi, nhưng quá nhiều giao thức vẫn đặt sự sống còn cho hàng trăm triệu USD an ninh vào sự cảnh giác của một hoặc hai người vận hành.

Giấc mơ về “Robinhood phiên bản crypto” là rất đẹp. Nhưng trước khi biến nó thành hiện thực, có lẽ nên trả lời một câu hỏi cơ bản hơn trước: ai đang giữ chiếc chìa khóa đó?