Drift “Ngày Cá tháng Tư” hơn 2,8 tỷ USD bị đánh cắp: hacker xâm nhập hay nhân viên tự lấy trộm?

Shaw，Jinse Finance

Ngày 2 tháng 4, nền tảng giao dịch phái sinh Drift Protocol xảy ra sự cố an ninh, dữ liệu trên-chain cho thấy thiệt hại vượt 285 triệu USD. Bên dự án cho biết đã phát hiện hoạt động bất thường và đang trong quá trình điều tra, đồng thời nhắc người dùng tạm thời đừng nạp tiền vào giao thức, nhấn mạnh “đây không phải trò đùa ngày Cá tháng Tư”.

Cuộc tấn công này liên quan đến nhiều quỹ thanh khoản, bao gồm JLP Delta Neutral, SOL Super Staking và BTC Super Staking, v.v. Giá trị chuyển khoảng 41,7 triệu token JLP trong một giao dịch duy nhất xấp xỉ 155 triệu USD; ngoài ra, các tài sản như SOL, USDC, cbBTC và wBTC cũng bị rút ra.

Theo thống kê, sự kiện này có thể trở thành một trong những cuộc tấn công DeFi quy mô lớn nhất trong hệ sinh thái Solana, sau vụ khai thác Wormhole bridge.

I. Diễn biến cập nhật mới nhất vụ việc Drift Protocol bị tấn công

Theo giờ miền Đông Mỹ ngày 1 tháng 4 năm 2026, giao thức phái sinh phi tập trung Drift Protocol trong hệ sinh thái Solana đã hứng chịu một cuộc tấn công tin tặc nghiêm trọng; tài sản bị đánh cắp khoảng 285 triệu USD. Các tài sản cốt lõi bị đánh cắp chủ yếu có: khoảng 41,7 triệu token JLP, trị giá 155,6 triệu USD; cùng nhiều loại tài sản khác như USDC, SOL, cbBTC, wBTC. Sự cố bị đánh cắp này trở thành một trong những vụ tấn công lớn thứ hai trong lịch sử Solana và cũng là một trong những vụ tấn công quy mô lớn nhất trong DeFi.

Sau đó, Drift Protocol chính thức đăng bài trên nền tảng xã hội để xác nhận: “Drift Protocol đang bị tấn công. Chức năng gửi tiền và rút tiền đã tạm dừng. Chúng tôi đang phối hợp với nhiều tổ chức an ninh, cầu nối liên chuỗi và sàn giao dịch để kiểm soát tình hình một cách toàn lực. Đây không phải trò đùa ngày Cá tháng Tư. Thông tin thêm sẽ được đăng tải ngay lập tức thông qua tài khoản này.”

Cuộc tấn công bắt đầu từ rạng sáng ngày 2 tháng 4. Nền tảng giám sát on-chain PeckShield phát cảnh báo: địa chỉ kho quỹ chính của Drift bắt đầu thực hiện chuyển khoản quy mô lớn tới một ví mới tạo có tên HkGz4K. Lô chuyển ban đầu chủ yếu là token JLP (Jito Liquidity Provider), trị giá khoảng 155 triệu USD; sau đó là USDC, SOL, cbBTC, wBTC, WETH và một phần meme coin. Dữ liệu của PeckShield cho thấy, trong thời gian ngắn, tổng lượng tài sản rút ra lên tới 285 triệu USD.

Theo giám sát của Yuyin, 285 triệu USD tài sản bị Drift đánh cắp hiện đã được đổi sang 129.000 ETH (2,78 tỷ USD). Trong vài giờ qua, tin tặc đã bán các tài sản này bằng nhiều cách và chuyển sang Ethereum qua cầu liên chuỗi, sau đó trên chuỗi Ethereum mua thành ETH. Hiện tại, 285 triệu USD tài sản bị tin tặc đánh cắp trên Solana đã được mua thành 129,066 ETH trên chuỗi Ethereum.

Ngoài ra, đội ngũ bảo mật SlowMist trên mạng xã hội cho biết, hiện tại, các khoản tiền bị đánh cắp cơ bản đã được tập trung vào các địa chỉ Ethereum sau: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674、0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7、0xaa843ed65c1f061f111b5289169731351c5e57c1, tổng cộng: 105,969 ETH (khoảng 226 triệu USD).

Cụm địa chỉ của tin tặc：

II. Phân tích vụ tấn công Drift Protocol, phía dự án “tự đục khoét”?

Cuộc tấn công này là một tổ hợp tấn công xâm nhập quyền một cách được lên kế hoạch kỹ lưỡng + thao túng giá; điểm mấu chốt là tin tặc đã đánh cắp quyền của quản trị viên, sau đó thông qua việc giả mạo token và thao túng oracle, trong nháy mắt vượt hạn mức vốn, cướp bóc kho quỹ của giao thức. Tin tặc đã vô hiệu hóa hệ thống quản trị rủi ro cốt lõi của giao thức (hạn mức rút tiền) bằng cách lấy khóa riêng quản trị viên; sau đó sử dụng tài sản thế chấp giả để rút hàng loạt từ quỹ thanh khoản và hoàn tất việc rửa tiền thông qua chuyển tài sản qua cầu liên chuỗi.

Đối với vụ việc Drift Protocol bị tấn công dẫn đến tài sản bị đánh cắp, người sáng lập SlowMist, Yu Xuan, đã đăng bài phân tích cho biết rằng trước khi xảy ra cuộc tấn công, một tuần trước đó Drift đã điều chỉnh cơ chế đa chữ ký thành “2/5” (1 người ký cũ + 4 người ký mới), và không thiết lập khóa thời gian (timelock). Sau đó, kẻ tấn công giành được quyền quản trị, giả mạo token CVT, thao túng oracle, tắt cơ chế bảo mật và chuyển tài sản giá trị cao từ quỹ thanh khoản.

Đồng sáng lập Chaos Labs, Omer Goldberg cũng đăng bài trên mạng xã hội, cho biết rằng một tuần trước, Drift đã chuyển sang một ví đa chữ ký mới, ví này do một trong những người ký thuộc nhóm đa chữ ký cũ tạo ra. Tuy nhiên, người ký này không đưa bản thân vào danh sách đa chữ ký mới. Kẻ tấn công đồng thời khởi tạo một đề xuất trong đa chữ ký cũ, chuyển quyền quản trị sang ví mới này. Ví đa chữ ký mới có tổng cộng 5 người ký; chỉ 1 người đến từ nhóm cũ, còn lại 4 người đều là địa chỉ hoàn toàn mới. Ví này đặt ngưỡng đa chữ ký 2/5 và không có bất kỳ khóa thời gian nào (độ trễ 0 giây). Rạng sáng ngày 2 tháng 4, người ký duy nhất thuộc nhóm cũ đã khởi tạo một đề xuất thông qua đa chữ ký mới để thay đổi quyền quản trị viên của Drift. Một người ký mới đã đồng ký chỉ trong 1 giây, ngay lập tức đáp ứng ngưỡng 2/5. Do không có khóa thời gian, giao dịch được thực thi ngay lập tức.

Ngoài ra, trong cộng đồng lan truyền rằng thành viên cốt lõi của đội ngũ Drift đã rời khỏi công ty cách đó một tháng, nhưng đây không phải là sự thật được xác nhận chính thức, thiếu bằng chứng hỗ trợ; hiện chỉ là lời đồn/đoán nghi trên X (Twitter), không có tên cụ thể nào, và cũng không có xác nhận từ truyền thông phổ biến hay từ phía Drift. Trong các tin tức chủ đạo và tuyên bố chính thức của Drift, hoàn toàn không nhắc đến việc bất kỳ thành viên nào của đội ngũ rời đi cách đó một tháng.

Dù vậy, khả năng “tự đục khoét” thực sự là hướng được thảo luận nhiều nhất trong vòng, với nhiều nghi vấn nhất hiện tại, thậm chí còn hợp logic hơn cả “tấn công từ bên ngoài”. Trước đó phía chính thức đã điều chỉnh cơ chế đa chữ ký, khiến cấu trúc quyền trở nên “thuận tiện quá mức cho việc bị tấn công”, không giống như tai nạn; cách thức tấn công “quá rành logic nội bộ”, hoàn toàn không giống phong cách của tin tặc bên ngoài. Ngoài ra, phản ứng của phía chính thức trước việc tài sản bị đánh cắp với quy mô quá lớn là bất thường đến mức lạnh lùng; dòng tiền sau khi bị đánh cắp lại rất sạch và rõ ràng, nhanh chóng đổi sang ETH và thực hiện thao tác qua chuỗi, đồng thời không có dòng tiền chảy vào các sàn tập trung dễ bị đóng băng. Chuỗi diễn biến và logic vận hành này khiến những nghi ngờ trong cộng đồng về việc phía Drift “tự đục khoét” ngày càng dồn dập.

III. Phản ứng của các bên liên quan và cộng đồng crypto

Sau khi xảy ra vụ Drift Protocol bị đánh cắp tài sản, các bên liên quan và cộng đồng crypto phản ứng khác nhau như sau:

• Trong vụ Drift bị đánh cắp tài sản, tổn thất vị thế JLP khoảng 155,6 triệu USD. Về vấn đề này, Jupiter chính thức cho biết nền tảng không bị ảnh hưởng bởi sự kiện này; sản phẩm cho vay Jupiter Lend của họ không liên quan đến thị trường Drift và tài sản JLP “được hỗ trợ hoàn toàn bởi tài sản cơ sở”. Jupiter đồng thời cho biết, sự kiện này đối với hệ sinh thái Solana DeFi là “một ngày khó khăn”, đồng thời bày tỏ sự quan tâm tới đội ngũ Drift và người dùng bị ảnh hưởng.

• Giao thức tạo lợi nhuận Unitas Protocol đăng tweet rằng giao thức này không bị ảnh hưởng bởi sự kiện tấn công Drift Protocol. Unitas trên Drift không có bất kỳ vị thế phơi nhiễm nào. Tất cả tài sản thế chấp an toàn, mọi chiến lược (bao gồm chiến lược JLP Delta Neutral) hoạt động bình thường. Tiền của người dùng an toàn. Tài sản thế chấp có thể được kiểm chứng theo thời gian thực trên bảng thông tin bằng các chứng minh dự trữ của Accountable và Primus Labs.

• Giao thức thanh khoản Solana Meteora đăng tweet rằng mọi khoản tiền trên Meteora đều an toàn, và mọi chức năng cũng như kho quỹ trên nền tảng đều không tương tác với giao thức Drift.

• Người sáng lập hạ tầng stablecoin Perena Anna đăng tweet rằng Perena USD*, USD*-J và USD*-P của họ không bị ảnh hưởng bởi sự kiện tấn công Drift. Tuy nhiên, kho quỹ JLP của nền tảng chia sẻ chiến lược định lượng Neutral Trade do Solana có thể chịu ảnh hưởng vì kho quỹ này chạy trên Drift Protocol; đội ngũ đang duy trì liên lạc với các đối tác và sẽ tiếp tục cập nhật tiến độ.

• Người dùng nền tảng X @hzkj99：Giao thức tài sản Drift Protocol trên hệ sinh thái SOL bị đánh cắp, thiệt hại lên tới hàng trăm triệu; hễ có liên quan đến tiền bạc thì ở bất kỳ thời điểm nào, an toàn luôn là ưu tiên số một, đặc biệt trong giai đoạn thị trường gấu cũng chắc chắn sẽ có các giao thức mới bị đánh cắp; thế giới này đúng là một “băng ghép bàn tạm bợ”, có những giao thức thậm chí có thể bị đánh cắp nhiều lần, và Drift cũng không phải là giao thức cuối cùng bị đánh cắp.

• Người dùng nền tảng X @lanhubiji：Drift Protocol đã chịu khai thác lỗ hổng nghiêm trọng, thiệt hại ở mức khoảng 270 triệu USD, là một trong những sự kiện bị tấn công DeFi lớn nhất từ đầu năm 2026 đến nay. Một số bài đăng lại nghiêm túc nói rằng: “Quỹ Solana Foundation đang phối hợp với máy chủ ở nhà hầm của Toly (đồng sáng lập) để thực hiện khôi phục (rollback)”. Dù đây là câu đùa, nhưng nói như vậy thì cũng hơi quá.

• Người dùng nền tảng X @EnHeng456：Trong thị trường gấu, việc gửi tiền thật sự phải cẩn thận hơn nữa; môi trường bây giờ ngày càng không an toàn, khắp nơi đều là tin tức bị đánh cắp. Một số giao thức cũ cũng đặc biệt gặp vấn đề trong thị trường gấu, bạn rất khó phân biệt đây là tấn công của hacker hay “tự đục khoét”. Gần đây tôi cũng rất thận trọng, cứ để yên trong USD1, không dám lung tung nữa. Với kiểu thị trường này, càng giày vò càng dễ phát sinh sự cố; Drift bị đánh cắp 200 triệu USD rồi lại cho vào túi của “tướng quân”.

IV. Ảnh hưởng của sự kiện Drift Protocol bị đánh cắp

Sự kiện Drift Protocol bị đánh cắp 285 triệu USD là cuộc tấn công DeFi lớn thứ hai trong lịch sử hệ sinh thái Solana; tác động của nó còn vượt xa bản thân giao thức, khiến niềm tin trong hệ sinh thái Solana bị giáng một đòn nặng, đồng thời đẩy nhanh sự thay đổi về an toàn trong DeFi.

Cuộc tấn công này phơi bày những khiếm khuyết chí mạng của các dự án DeFi trong quản lý quyền đa chữ ký và bảo mật oracle. Quyền chính là “kho tiền”; một khi khóa của quản trị viên bị lộ, và thiếu các cơ chế phanh khẩn cấp như time lock, thì mọi logic mã phức tạp đều có thể trong nháy mắt trở nên vô hiệu. Đối với Drift Protocol, trừ khi thu hồi được khoản tiền lớn hoặc có “ông lớn” đứng ra tiếp nhận, nếu không thì sẽ đi theo hướng thanh lý, phá sản, kiện tụng. Đối với Solana và hệ sinh thái của nó, uy tín hệ sinh thái bị tổn hại nặng nề; trong ngắn hạn sẽ có dòng tiền chảy ra, tăng trưởng chậm lại; trong dài hạn sẽ buộc phải nâng cấp bảo mật. Còn đối với toàn ngành DeFi, có thể nói đây là một “điểm rẽ” của ngành: “bảo mật quyền truy cập quan trọng hơn bảo mật mã nguồn” trở thành chân lý; chi phí cho niềm tin tăng vọt, và DeFi sẽ bước vào một giai đoạn mới mang tính tuân thủ hơn, minh bạch hơn, và tập trung quyền lực hơn (quản trị bảo mật).