#DriftProtocolHacked DriftProtocolHacked: Phân tích toàn diện về vụ trộm DeFi liên quan đến Bắc Triều Tiên

Phiên bản ngắn gọn: Vào ngày 1 tháng 4 năm 2026 #DriftProtocolHacked đúng vậy, một cuộc tấn công thật sự, không phải đùa$285M , Drift Protocol, sàn giao dịch vĩnh viễn lớn nhất của Solana, đã mất khoảng **(triệu** đô la trong vụ được gọi là cuộc tấn công xã hội tinh vi nhất trong lịch sử DeFi. Những kẻ tấn công đã dành **sáu tháng** để xây dựng lòng tin, gặp gỡ đội ngũ trực tiếp, gửi tiền của chính họ hơn )triệu đô la, và cuối cùng xâm nhập vào các máy ký để rút sạch protocol trong vòng chỉ 12 phút.

---

1. Dòng thời gian: Quá trình diễn ra như thế nào

Thời điểm thực hiện tấn công $285 Ngày 1 tháng 4 năm 2026$1

· Tổng số bị đánh cắp: khoảng (triệu đô la qua nhiều pool: JLP )~$155.6M$285 , USDC, SOL, cbBTC, wBTC, WETH, và meme coins
· Phương pháp: Kẻ tấn công kích hoạt các giao dịch "nonce bền" đã ký sẵn, liệt kê các token CVT giả làm tài sản thế chấp hợp lệ, nâng giới hạn rút tiền lên tối đa, và rút sạch mọi thứ
· Tốc độ: 31 giao dịch rút tiền được xử lý trong khoảng ~12 phút
· Chuyển đổi ngay lập tức: Tài sản bị đánh cắp được đổi sang khoảng 129,000 ETH (~$278M) qua Jupiter, sau đó chuyển sang Ethereum

Phản ứng ngay lập tức

· Giao dịch gửi/rút tiền bị đóng băng ngay lập tức
· Drift xác nhận: "Đây không phải là trò đùa ngày 1 tháng 4"
· Tất cả chức năng của protocol tạm dừng; ví bị xâm phạm đã bị loại khỏi multisig

---

2. Quá trình xâm nhập sáu tháng: Một chiến dịch tình báo có cấu trúc

Đây không phải là lỗi mã hoặc vụ hack ngẫu nhiên. Đó là một chiến dịch gián điệp quy mô lớn.

Giai đoạn 1: Liên hệ ban đầu (Mùa thu 2025)

Các cá nhân giả danh là một công ty giao dịch định lượng tiếp cận các cộng tác viên của Drift tại một hội nghị crypto lớn. Họ có kỹ năng kỹ thuật cao, đáng tin cậy, và ngay lập tức thiết lập nhóm Telegram.

Giai đoạn 2: Xây dựng lòng tin (Tháng 12 2025 - Tháng 1 2026)

· Đưa vào hoạt động một Vault hệ sinh thái hợp pháp trên Drift
· Gửi hơn (triệu đô la của chính họ để tạo độ tin cậy
· Nhiều buổi họp về chiến lược giao dịch và tích hợp
· Gặp gỡ trực tiếp các cộng tác viên Drift tại các hội nghị ở nhiều quốc gia

Giai đoạn 3: Xâm nhập kỹ thuật )Tháng 2 - Tháng 3 2026$1

Hai phương thức tấn công khả thi được xác định:

Phương thức Tấn công
Kho mã độc: Kẻ tấn công chia sẻ một kho mã dưới vỏ bọc triển khai giao diện Vault. Một lỗ hổng VSCode/Cursor đã biết (được phát hiện từ Tháng 12 2025 - Tháng 2 2026) cho phép thực thi mã tùy ý âm thầm chỉ bằng cách mở thư mục—không cần click, không cảnh báo.
Ứng dụng TestFlight: Người đóng góp bị thuyết phục cài đặt một ứng dụng ví beta qua Apple TestFlight 1928374656574.84Tỏ qua kiểm duyệt của App Store(

Khi các máy bị xâm phạm, kẻ tấn công lấy được sự phê duyệt multisig qua việc giả mạo giao dịch.

Giai đoạn 4: Bẫy đã sẵn sàng )Ngày 27 tháng 3 năm 2026(

Drift chuyển đổi Hội đồng Bảo mật sang dạng multisig 2 trong 5 với thời gian khóa 0 giây—tức là các hành động quản trị có thể thực thi ngay lập tức. Các giao dịch đã ký sẵn đã chờ sẵn.

Giai đoạn 5: Thực thi )Ngày 1 tháng 4 năm 2026(

· Kẻ tấn công kích hoạt các giao dịch đã ngủ yên
· Các cuộc trò chuyện Telegram và phần mềm độc hại bị xóa sạch ngay khi cuộc tấn công bắt đầu
· Quỹ bị rút trong vòng 12 phút

---

3. Phân loại: Nhóm UNC4736 )Lazarus( của Bắc Triều Tiên

Với độ tin cậy trung bình cao, Drift và nhóm SEAL 911 quy kết vụ này thuộc về UNC4736 )còn gọi là AppleJeus, Citrine Sleet, Gleaming Pisces(—cùng nhóm đã tấn công Radiant Capital vào tháng 10 năm 2024.

Bằng chứng liên quan đến DPRK:

· Trùng lặp trên chuỗi: Các luồng vốn dùng để tổ chức vụ Drift có nguồn gốc từ các kẻ tấn công Radiant Capital
· Mẫu hoạt động: Cách tiếp cận kiên nhẫn, nhắm mục tiêu con người như trong vụ hack cầu Ronin 2022 )$625M(
· Nguồn gốc Tornado Cash: Vụ tấn công bắt đầu bằng việc rút ETH từ Tornado Cash ngày 11 tháng 3
· Dấu thời gian Pyongyang: Thời điểm triển khai CVT phù hợp với khoảng 09:00 giờ Pyongyang
· Tốc độ rửa tiền: Chuyển đổi chéo chuỗi ngay lập tức sang ETH, không bị đóng băng bởi các sàn CEX

Lưu ý quan trọng: Những người gặp mặt trực tiếp KHÔNG phải là công dân Bắc Triều Tiên

"Những cá nhân xuất hiện tại các hội nghị trực tiếp không phải là công dân Bắc Triều Tiên. Các tác nhân đe dọa của DPRK hoạt động ở cấp độ này thường sử dụng trung gian bên thứ ba để xây dựng mối quan hệ."

Các trung gian này đã xây dựng đầy đủ danh tính—lịch sử công việc, chứng chỉ công khai, mạng lưới chuyên nghiệp—được thiết kế để chịu đựng kiểm tra đối tác.

---

4. Phân tích kỹ thuật: Cách thức khai thác hoạt động

Vụ tấn công "Nonce bền"

Solana có một tính năng hợp pháp gọi là nonce bền cho phép các giao dịch được ký sẵn và thực thi sau này. Kẻ tấn công:

1. Yêu cầu các signer multisig phê duyệt các giao dịch bình thường
2. Các phê duyệt đó trở thành khóa ủy quyền hoạt động trong dự trữ
3. Khi thời gian khóa bị gỡ bỏ vào ngày 27 tháng 3, các giao dịch đã ký sẵn kích hoạt ngay lập tức

Chương trình thế chấp giả

1. Ngày 11 tháng 3: Kẻ tấn công rút ETH từ Tornado Cash
2. Ngày 12 tháng 3: Phát hành token "CVT" )carbonvote$50M
3. 3 tuần: Gửi ít thanh khoản trên Raydium, dùng giao dịch wash để duy trì giá khoảng ~$1.00
4. Ngày 1 tháng 4: Oracles của Drift đọc CVT là tài sản thế chấp hợp lệ → kẻ tấn công gửi CVT vô giá trị → protocol phát hành tài sản thật dựa trên đó

---

5. Hậu quả: Ai bị thiệt hại

Thiệt hại trực tiếp: khoảng (triệu đô la

Tài sản Số lượng Giá trị )USD(
Token JLP ~41.7M ~$155.6M
USDC Các loại ~$80-100M
SOL Các loại Rất lớn
cbBTC/wBTC/WETH Các loại Phần còn lại

Các protocol bị ảnh hưởng )Lây lan$285

· Prime Numbers Fi: Mất hàng triệu đô la
· Carrot Protocol: Tạm dừng chức năng mint/redeem sau khi 50% TVL bị ảnh hưởng
· Pyra Protocol: Hoàn toàn vô hiệu hóa rút tiền
· Piggybank: Mất 106.000 đô la (được hoàn trả từ quỹ)

Phản hồi của Jupiter

"Jupiter Lend không tham gia vào thị trường Drift. Tài sản JLP hoàn toàn được đảm bảo bằng tài sản nền tảng. Đây là ngày khó khăn cho DeFi của Solana."

Token không bị ảnh hưởng

· Unitas Protocol
· Meteora
· Perena (dù vault JLP của họ do Neutral Trade quản lý bị ảnh hưởng)
(

6. Tranh cãi về stablecoin: Circle vs. Tether

Một câu chuyện phụ lớn đã nổi lên: Tại sao Circle không đóng băng USDC bị đánh cắp?

Các con số

· )triệu đô la USDC đã được chuyển chéo từ Solana sang Ethereum qua Cross-Chain Transfer Protocol của Circle (CCTP)
· Việc này diễn ra trong hơn sáu giờ mà không có can thiệp

Sự khác biệt

Phản ứng của protocol
USDT0 #DriftProtocolHacked Tether$230 Ngừng liên lạc chéo chuỗi trên Solana trong vòng 90 phút
Circle CCTP Không có can thiệp nào được ghi nhận; protocol hoạt động không cần phép

Phê phán

Nhà phân tích on-chain ZachXBT công khai chỉ trích thất bại của Circle trong việc hành động. Các nhà quan sát ngành nhận định điều này cho thấy một sự đánh đổi thiết kế cơ bản: kiểm soát tập trung để phản ứng khẩn cấp (USDT0) so với phi tập trung không cần phép (CCTP).

Để có bối cảnh, nhà sáng lập Curve Finance Michael Egorov nói: "Nếu hacker Bắc Triều Tiên tham gia, khả năng phục hồi là bằng 0. Họ không bao giờ hợp tác và không sợ cơ quan pháp luật."

---

7. Phản ứng và nỗ lực phục hồi của Drift

Hành động ngay lập tức (Ngày 1-3 tháng 4)

· Tất cả chức năng của protocol bị đóng băng
· Ví bị xâm phạm bị loại khỏi multisig
· Các địa chỉ hacker bị gắn cờ với các sàn giao dịch và nhà điều hành bridge
· Tin nhắn trên chuỗi gửi đến ví hacker: "Chúng tôi sẵn sàng nói chuyện"

Thử thách đàm phán (Ngày 3 tháng 4)

Drift gửi tin nhắn trên chuỗi đến bốn ví Ethereum giữ quỹ bị đánh cắp, nói rằng:

"Thông tin quan trọng về các bên liên quan đến vụ khai thác đã được xác định. Đối với cộng đồng, Drift sẽ chia sẻ thêm cập nhật khi việc xác định của bên thứ ba hoàn tất."

Phản hồi duy nhất? Một ví ngẫu nhiên giữ (triệu đô la ETH đã trả lời: *"Gửi tôi 155.6M đô la để chơi với đội Drift."*

Điều tra pháp y

· Mandiant được thuê để dẫn đầu điều tra pháp y
· Nhóm SEAL 911 )Taylor Monahan, tanuki42_, pcaversaccio, Nick Bax( được ghi nhận đã xác định các tác nhân
· Chờ đợi hoàn tất pháp y thiết bị để chính thức xác định danh tính

Những gì tanuki42_ nói

"Đây là vụ tấn công tinh vi và có mục tiêu cao nhất mà tôi từng thấy do DPRK thực hiện trong lĩnh vực crypto. Việc tuyển dụng nhiều trung gian và hướng họ tấn công các cá nhân cụ thể tại các sự kiện crypto lớn là một chiến thuật điên rồ."

---

8. Tại sao điều này thay đổi mọi thứ cho DeFi

Sự thật phũ phàng

"Nếu các tác nhân sẵn sàng dành sáu tháng, bỏ ra )triệu đô la trong hệ sinh thái, gặp gỡ đội ngũ trực tiếp, gửi tiền thật, và chờ đợi kiên nhẫn—thì mô hình an ninh nào có thể phát hiện ra điều đó?"

Bài học rút ra

1. Thời gian khóa không phải là tùy chọn. Việc gỡ bỏ thời gian khóa $200 như Drift đã làm vào ngày 27 tháng 3$10 biến một vụ tấn công phức tạp thành việc rút tiền trong 12 phút
2. Xây dựng lòng tin xã hội > khai thác mã. Kiểm toán mã phức tạp nhất cũng không thể ngăn con người mở thư mục VSCode độc hại hoặc cài đặt ứng dụng TestFlight độc hại
3. An ninh có phép so với phi phép là một sự đánh đổi thực sự. Sự khác biệt giữa USDT0 và CCTP cho thấy các lựa chọn trong thiết kế stablecoin
4. Bắc Triều Tiên vẫn còn đó. Elliptic đã theo dõi hơn 278M đô la bị đánh cắp trong Quý 1 năm 2026, với các tác nhân liên kết DPRK chịu trách nhiệm hơn 625M đô la trong những năm gần đây

Điều gì tiếp theo cho Drift

· Trừ khi quỹ được phục hồi hoặc có một biện pháp hỗ trợ lớn xuất hiện, khả năng cao dẫn đến thanh lý, phá sản hoặc kiện tụng
· Chưa có kế hoạch hoàn trả toàn diện được công bố từ ngày 3-5 tháng 4
· Khả năng phục hồi nếu DPRK liên quan: 0% (theo Michael Egorov)

---

9. Các ví chính & dữ liệu on-chain

Ví ETH của hacker $1 Post-bridge(

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

Tổng số nắm giữ: khoảng 105,969 ETH )~$226M$300M

Gửi tin nhắn on-chain của Drift:

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

Thông điệp cuối cùng

Đây không phải là một vụ hack. Đó là một chiến dịch tình báo thù địch kéo dài sáu tháng do một quốc gia thực hiện chống lại một protocol DeFi. Những kẻ tấn công:

· Sử dụng trung gian bên thứ ba với danh tính giả nhưng hoàn hảo
· Gặp gỡ mục tiêu trực tiếp tại các hội nghị ở nhiều quốc gia
· Gửi hơn 1 triệu đô la vốn thật làm bình phong
· Khai thác các công cụ phát triển đáng tin cậy (VSCode) và TestFlight của Apple
· Thực hiện rút tiền chính xác trong 12 phút, đúng thời điểm

Nếu DeFi muốn tồn tại, ngành công nghiệp cần chấp nhận rằng xã hội kỹ thuật và các tác nhân nhà nước là mối đe dọa hiện tại—không chỉ lỗi hợp đồng thông minh.

"Cuộc điều tra đã cho thấy các hồ sơ sử dụng có danh tính đầy đủ, bao gồm lịch sử công việc, chứng chỉ công khai, và mạng lưới chuyên nghiệp có thể chịu đựng được sự kiểm tra trong quá trình hợp tác." — Drift Protocol ()