2.85 tỷ USD bốc hơi! Drift Protocol bị tấn công, hàng phòng thủ an toàn DeFi tại sao lại như hư không?

2026年4月1日，ngày Cá tháng Tư. Sàn giao dịch hợp đồng vĩnh viễn phi tập trung trong hệ sinh thái Solana, Drift Protocol, đã chịu một cuộc tấn công lớn từ hacker, tổng số tài sản bị đánh cắp khoảng 2.85 tỷ USD, trở thành sự kiện mất mát lớn nhất trong lĩnh vực DeFi năm 2026.

Đây không phải là trò đùa. Đây là một lời cảnh tỉnh nặng nề trong lịch sử an toàn DeFi.

Tấn công diễn ra như thế nào?

Cuộc tấn công không phải là đột ngột, mà đã trải qua khoảng tám ngày chuẩn bị kỹ lưỡng. Dữ liệu trên chuỗi cho thấy, ví của hacker được tạo vào ngày 24 tháng 3, thông qua hệ thống chuyển đổi chéo NEAR Intents để lấy vốn ban đầu, rồi gửi một giao dịch thử nhỏ đến kho chứa của Drift để xác minh quyền kiểm soát hợp đồng.

Vào 16:00 ngày 1 tháng 4 (UTC), cửa sổ tấn công chính thức mở ra. Hacker đã lấy quyền quản trị của ví đa chữ ký của giao thức, trong vòng một giờ đã rút sạch các tài sản trong nhiều bể thanh khoản gồm USDC, SOL, cbBTC, WETH, rồi chuyển chéo qua mạng Ethereum để đổi lấy khoảng 129.000 ETH (giá trị khoảng 278 triệu USD).

Con đường tấn công rõ ràng và chí tử:

· Tạo token giả CVT
· Thao túng giá oracle
· Vô hiệu hóa module an toàn
· Rút các tài sản có giá trị cao

Số tiền bị đánh cắp đã được phân tán lưu trữ tại 4 địa chỉ Ethereum, tổng giá trị bị khóa của hợp đồng (TVL) từ 550 triệu USD giảm mạnh xuống còn khoảng 255 triệu USD.

Nguyên nhân căn bản: Thiếu khóa thời gian (Time Lock)

Lỗ hổng chính của cuộc tấn công này nằm ở việc Drift không thiết lập các biện pháp an toàn trong quản lý đa chữ ký. Báo cáo tổng kết của tổ chức an ninh SlowMist chỉ ra rằng, trước khi xảy ra tấn công khoảng một tuần, Drift đã điều chỉnh cơ chế đa chữ ký thành chế độ "2/5" (một người ký cũ cộng với 4 người ký mới), và không thiết lập bất kỳ khóa thời gian nào (Timelock).

Khóa thời gian là một cơ chế trì hoãn bắt buộc, yêu cầu sau khi thay đổi quyền cao nhất phải chờ đợi 24-48 giờ để có hiệu lực, cung cấp cho cộng đồng và các tổ chức an ninh một khoảng thời gian phát hiện bất thường. Thiếu khóa thời gian có nghĩa là, ngay khi khóa riêng của người ký mới bị đánh cắp hoặc bị kiểm soát độc hại, hacker có thể thực hiện các thao tác quản trị ngay lập tức.

Hacker đã lợi dụng người ký duy nhất trong đa chữ ký cũ cùng với một người ký mới để hợp tác ký, chuyển quyền quản trị sang địa chỉ do chính chúng kiểm soát, qua đó vượt qua mọi lớp bảo vệ an toàn của người dùng.

Phương pháp tấn công: ký trước + tấn công xã hội

Cuộc tấn công này kết hợp kỹ thuật ký trước dựa trên số ngẫu nhiên bền vững và các thủ đoạn xã hội tinh vi. Từ ngày 23 tháng 3, hacker đã tạo các tài khoản số ngẫu nhiên bền vững cho hai người ký đa chữ ký và hai tài khoản do hacker kiểm soát. Hacker đã lừa dối nội dung giao dịch để lấy được chữ ký trước từ các người ký hợp pháp, sử dụng số ngẫu nhiên bền vững để lưu trữ, rồi thực hiện hàng loạt vào ngày 1 tháng 4, cuối cùng chiếm quyền quản trị. Sự kiện này không liên quan đến lộ mnemonic hoặc lỗ hổng hợp đồng thông minh.

Phản ứng dây chuyền trong ngành

Trước đó, Drift Protocol là một trong những giao thức vay mượn lớn nhất trong hệ sinh thái Solana, huy động hơn 52 triệu USD, với các nhà đầu tư gồm Multicoin Capital, Polychain và các quỹ VC hàng đầu khác.

Sau sự kiện, giá token của Drift giảm hơn 40% trong thời gian ngắn. Do liên quan đến nhiều tài sản trong hệ sinh thái Solana, các token như SOL, JUP đều có mức giảm bất thường.

Token DRIFT từ khoảng 0.072 USD giảm xuống còn 0.055 USD, trước đó token này đã giảm khoảng 98% so với đỉnh cao.

Trang chính thức của Drift sau đó đã tạm dừng tất cả chức năng gửi tiền và rút tiền, nhấn mạnh “đây không phải trò đùa ngày Cá tháng Tư”. Ví Phantom nhanh chóng hành động, chặn truy cập vào hợp đồng này.

Lo ngại lớn hơn: hacker Triều Tiên?

Giám đốc công nghệ của Ledger, Charles Guillemet, cho biết, phương pháp tấn công lần này của Drift giống hệt vụ hacker của Bybit năm 2025, được cho là liên quan đến hacker Triều Tiên. Guillemet chỉ ra rằng, cuộc tấn công này không nhằm vào hợp đồng thông minh nào, mà hacker đã xâm nhập lâu dài vào thiết bị của các người ký đa chữ ký, dụ dỗ họ phê duyệt các giao dịch độc hại, khiến các người ký có thể nghĩ rằng họ đang ủy quyền các thao tác hợp pháp.

Làm thế nào để bảo vệ tài sản của bạn?

· Nếu đã từng tương tác với Drift Protocol, hãy ngay lập tức thu hồi quyền ủy quyền, có thể kiểm tra các ứng dụng đã kết nối qua ví Phantom
· Cân nhắc sử dụng nhiều ví để phân tán rủi ro, đối với số tiền lớn nên dùng ví phần cứng
· Cảnh giác với các giao thức DeFi có lợi nhuận cao, thường xuyên kiểm tra các quyền ủy quyền hợp đồng thông minh

Cảnh báo an toàn

Cuộc tấn công vào Drift Protocol một lần nữa chứng minh một chân lý đơn giản: rủi ro lớn nhất của DeFi thường không nằm ở lỗi mã, mà ở con người. Cấu hình cơ chế đa chữ ký, quản lý khóa riêng, kiểm tra quy trình ký, những “quy trình an toàn” này quan trọng hơn nhiều so với kiểm toán mã. Chỉ cách đây 10 ngày, vụ Resolv bị tấn công do không thiết lập đa chữ ký, còn Drift dù có đa chữ ký nhưng do threshold quá thấp và thiếu khóa thời gian cũng đã thất thủ.

Hai sự kiện này cùng cho thấy, việc thiết kế lại kiến trúc đặc quyền là cấp bách hơn bao giờ hết.

#DriftProtocol遭駭客攻擊