#DriftProtocolHacked

Drift Protocol, một trong những sàn giao dịch perpetual và spot phi tập trung lớn nhất xây dựng trên blockchain Solana, đã bị tấn công bởi một trong những vụ khai thác tàn khốc nhất trong lịch sử DeFi vào ngày 1 tháng 4 năm 2026. Nhóm xác nhận rằng sự cố này, theo lời của họ, "không phải là trò đùa ngày Cá tháng Tư." Khi mọi chuyện bắt đầu lắng xuống, ước tính thiệt hại tổng cộng dao động trong khoảng $200 triệu đến $285 triệu, trở thành vụ hack tiền điện tử lớn nhất năm 2026 tính đến thời điểm đó, và cuộc tấn công gây thiệt hại lớn nhất đối với DeFi dựa trên Solana kể từ vụ khai thác cầu Wormhole vào năm 2022.

Dấu hiệu đầu tiên của rắc rối xuất hiện vào khoảng 18:10 GMT khi nhóm Drift cảnh báo hoạt động bất thường trên chuỗi và khuyên người dùng không gửi tiền vào nền tảng. Chưa đầy một giờ sau, vào khoảng 18:58 GMT, nhóm xác nhận rằng một cuộc tấn công đang diễn ra, ngay lập tức tạm ngưng cả gửi và rút tiền trên toàn bộ nền tảng, và bắt đầu phối hợp phản ứng khẩn cấp với các công ty an ninh blockchain, cầu nối, và các sàn giao dịch tập trung nhằm cố gắng đóng băng hoặc truy tìm các tài sản bị đánh cắp.

Cơ chế của cuộc tấn công rất tinh vi, gồm nhiều bước và được lên kế hoạch cẩn thận. Các nhà điều tra trên chuỗi tiết lộ rằng kẻ tấn công đã thử nghiệm khai thác ít nhất tám ngày trước khi thực sự tấn công, cho thấy một khoảng thời gian dài chuẩn bị và thu thập thông tin. Trọng tâm của cuộc tấn công xoay quanh một bộ khóa quản trị Drift bị xâm phạm. Liệu đó có phải là các khóa riêng bị rò rỉ hay kết quả của việc xâm phạm đa chữ ký liên quan đến nhiều người ký vẫn đang được điều tra, nhưng kết quả là như nhau: kẻ tấn công đã chiếm quyền kiểm soát quản trị các tham số quan trọng của giao thức.

Với quyền truy cập quản trị trong tay, kẻ tấn công thực hiện chuỗi hành động sau. Đầu tiên, họ tạo ra một token giả gọi là CarbonVote Token, viết tắt là CVT, và thiết lập một pool thanh khoản giả cho nó trên Raydium. Thông qua giao dịch wash trading, họ làm tăng giá trị hiển thị của CVT một cách giả tạo để oracle của giao thức ghi nhận nó như một tài sản hợp lệ, có giá trị cao. Thứ hai, sử dụng quyền quản trị bị xâm phạm, họ niêm yết CVT như một hình thức thế chấp được chấp nhận trong thị trường spot của Drift. Họ cũng dùng quyền quản trị đó để vô hiệu hóa các biện pháp bảo vệ rút tiền của giao thức và nâng giới hạn vay USDC từ mức giới hạn tiêu chuẩn là $25 triệu lên đến $500 triệu. Thứ ba, với lượng lớn CVT giả mạo không có giá trị thực, kẻ tấn công gửi tiền vào và bắt đầu vay mượn, rút sạch các tài sản thực từ pool cho vay chính và các vault của Drift. Việc này được thực hiện qua khoảng 31 giao dịch trên chuỗi, sử dụng các chức năng của giao thức như initializeSpotMarket và updateSpotMarketStatus. Toàn bộ quá trình rút tiền này được cho là mất khoảng 12 phút từ khi bắt đầu đến khi hoàn tất.

Các vault bị ảnh hưởng bao gồm vault JLP Delta Neutral, vault SOL Super Staking, và vault BTC Super Staking, cùng các vault khác. Các tài sản bị đánh cắp gồm khoảng 155,6 triệu USD bằng token JLP, 60,4 triệu USD USDC, và các khoản khác bằng SOL, JitoSOL, cbBTC, và WETH. Tổng thiệt hại ước tính khoảng 50% tổng giá trị bị khóa của Drift, vốn trước đó khoảng $540 triệu USD.

Sau khi rút hết các vault, kẻ tấn công không đứng yên. Các quỹ nhanh chóng được hoán đổi qua Jupiter, nền tảng tổng hợp thanh khoản hàng đầu của Solana. Một phần trong số đó được chuyển qua ví Backpack có thể lưu trữ hồ sơ KYC, điều mà các nhà điều tra đã ghi nhận như một manh mối tiềm năng. Các tài sản sau đó được cầu nối từ Solana sang Ethereum, chuyển đổi thành ETH, và rửa qua các nền tảng như Hyperliquid và Monero. Tính đến thời điểm báo cáo mới nhất trên chuỗi, kẻ tấn công nắm giữ khoảng 19.913 ETH trị giá khoảng $42 triệu USD, với hơn $82 triệu USD đã được coi là đã rửa tiền tại thời điểm viết bài.

Phản ứng của thị trường diễn ra ngay lập tức và dữ dội. Token DRIFT giảm từ 25 đến 50 phần trăm trong vòng vài giờ sau khi tin tức lan truyền. TVL của Drift, vốn đã đạt khoảng 311,93 triệu USD trên DeFiLlama vào thời điểm xảy ra sự cố, sụp đổ. Một số giao thức khác có liên quan đến Drift, bao gồm Ranger Finance, Reflect Money, Elemental DeFi, và Project0, đã tạm dừng hoạt động như một biện pháp phòng ngừa do rủi ro liên kết. Sự cố này tạm thời đưa Drift Protocol trở thành token thịnh hành số một trên CoinGecko khi các nhà giao dịch và nhà nghiên cứu vội vàng đánh giá mức độ rủi ro của họ.

Tính đến ngày 2 tháng 4 năm 2026, nhóm Drift chưa công bố báo cáo chính thức hoặc xác nhận con số thiệt hại chính xác. Các công ty an ninh đưa ra các ước tính khác nhau: CertiK ước tính khoảng $136 triệu USD, trong khi Arkham Intelligence theo dõi gần hơn khoảng $285 triệu USD tài sản bị đánh cắp. Sự chênh lệch này có thể phản ánh các phương pháp khác nhau trong việc đếm tài sản tại thời điểm bị tấn công so với giá trị sau thanh lý.

Đối với bất kỳ ai đã từng tương tác với Drift Protocol, ưu tiên hàng đầu là thu hồi tất cả các quyền token và quyền truy cập liên quan đến giao thức. Người dùng được khuyên kiểm tra quyền của họ trong ví bằng công cụ quét Jup Portfolio hoặc các công cụ tương đương. Những ai nắm giữ tài sản trong các vault bị ảnh hưởng nên ghi lại vị trí của mình và theo dõi các thông báo chính thức của Drift để biết các kế hoạch phục hồi hoặc bồi thường.

Sự kiện này là một lời nhắc nhở rõ ràng về rủi ro hệ thống mà việc lộ khóa quản trị mang lại cho các giao thức DeFi. Ngay cả các nền tảng được kiểm toán kỹ lưỡng, đã qua thử thách cũng mang theo một yếu tố tập trung khi quyền quản trị tồn tại mà không có các kiểm soát đa bên có thời gian khóa phù hợp. Vụ khai thác Drift không phải là lỗi hợp đồng thông minh theo nghĩa truyền thống. Đó là một thất bại trong kiểm soát truy cập cho phép một kẻ tấn công đơn phương thay đổi quy tắc của giao thức giữa chừng. Cho đến khi có báo cáo hậu sự cố đầy đủ và chuỗi các chứng cứ của các khóa bị xâm phạm được xác lập, bức tranh toàn cảnh vẫn còn chưa hoàn chỉnh.

Tình hình vẫn đang tiếp diễn. Việc phục hồi còn nhiều uncertain.