Các hacker cấp quốc gia đã xâm nhập DeFi như thế nào? Điều tra sâu về vụ tấn công Drift

Mối trọng tâm của các cuộc tấn công trong các sự cố an ninh tiền mã hóa đang chuyển dịch mạnh mẽ từ lớp mã sang lớp niềm tin của con người.

Ngày 1 tháng 4 năm 2026, giao thức phái sinh phi tập trung hàng đầu trong hệ sinh thái Solana là Drift Protocol đã bị tấn công, gây thiệt hại khoảng 285 triệu USD. Tổng giá trị bị khóa trên nền tảng (TVL) giảm đột ngột từ khoảng 550 triệu USD trước khi xảy ra sự cố xuống còn khoảng 230 triệu USD. Phần xác nhận ban đầu về cuộc điều tra do Drift công bố sau đó cho biết hành động này do nhóm tin tặc UNC4736 có liên hệ với chính phủ Triều Tiên đứng sau, đây là một “chiến dịch tình báo có cấu trúc kéo dài 6 tháng”.

Sự thay đổi mà kết luận này hé lộ còn vượt xa một sự cố an ninh đơn lẻ: khi các hacker cấp quốc gia chuyển trọng tâm tấn công từ việc phát hiện lỗ hổng trong mã sang sự thâm nhập lòng tin giữa con người kéo dài hàng tháng, toàn bộ mô hình bảo mật của ngành DeFi đang bị viết lại một cách có hệ thống. Cuộc tấn công không còn cần các lỗ hổng hợp đồng thông minh phức tạp hay việc đánh cắp khóa riêng—nó chỉ cần một mối quan hệ kiên nhẫn, một danh tính được ngụy trang tinh vi, và đủ nhiều thời gian.

Cơ chế vận hành của cuộc tấn công là gì?

Kế hoạch hành động của UNC4736 cho thấy tính kỷ luật tổ chức và mức độ đầu tư nguồn lực vượt xa các băng nhóm tin tặc thông thường. Từ mùa thu năm 2025, những người đóng vai công ty giao dịch định lượng đã chủ động tiếp cận các đóng góp viên của Drift tại nhiều hội nghị tiền mã hóa quốc tế. Những người này thông thạo về kỹ thuật, có nền tảng chuyên môn có thể xác minh, và hiểu rõ cách vận hành của Drift. Đáng chú ý, những người tiếp xúc trực tiếp không mang quốc tịch Triều Tiên, mà được xác định là bên trung gian thứ ba do tác nhân đe dọa Triều Tiên triển khai.

Sau khi xây dựng được lòng tin, trong giai đoạn từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm này đã “đặt chân” vào một kho quỹ của hệ sinh thái trong hệ sinh thái Drift, và thực sự nạp vào hơn 1 triệu USD vốn của chính họ để tạo dựng độ tin cậy. Trong quá trình đó, họ đã có các cuộc thảo luận chi tiết và mang tính chuyên nghiệp về các vấn đề sản phẩm với nhiều đóng góp viên.

Xâm nhập kỹ thuật được thực hiện thông qua hai con đường: một đóng góp viên bị lừa khi nhân bản một kho mã độc, kho mã đó khai thác các lỗ hổng mà cộng đồng an ninh liên tục cảnh báo trong các trình chỉnh sửa VSCode và Cursor—chỉ cần mở tệp, thư mục hoặc kho mã trong trình chỉnh sửa là có thể âm thầm thực thi mã tùy ý mà không cần bất kỳ lời nhắc hoặc thao tác nhấp chuột nào của người dùng; đóng góp viên khác lại bị dẫn dụ tải xuống một ứng dụng ví giả mạo thông qua nền tảng TestFlight của Apple. Sau khi giành được quyền truy cập nội bộ, kẻ tấn công đã sử dụng tính năng gốc của Solana là Durable Nonce để ký trước giao dịch; sau khi được phê duyệt thông qua cơ chế đa chữ ký, chỉ trong khoảnh khắc là thực hiện thao tác xóa sạch.

Kiểu mô hình tấn công này kéo theo cái giá như thế nào?

Chi phí mà sự kiện Drift bộc lộ là đa chiều, hoàn toàn không chỉ là khoản lỗ trên sổ sách 285 triệu USD.

Chi phí trực tiếp nhất thể hiện ở tổn thất tài chính và cú sốc thị trường. Đây là sự kiện an ninh DeFi lớn nhất từ trước đến nay tính đến năm 2026, đồng thời là sự kiện an ninh lớn thứ hai trong lịch sử hệ sinh thái Solana. Sau khi sự cố xảy ra, giá token DRIFT từng giảm sốc xuống hơn 90% từ đỉnh lịch sử.

Đáng lo ngại hơn nữa là hiệu ứng lan truyền của cuộc tấn công. Các giao thức bị ảnh hưởng bởi sự kiện lỗ hổng của Drift đã mở rộng từ ban đầu 11 giao thức lên hơn 20 giao thức; các giao thức mới bao gồm PiggyBank, Perena, Vectis, Prime Numbers Fi, v.v., và một số giao thức đã tạm dừng các chức năng đúc, hoàn trả hoặc gửi/rút. Sau khi giao thức cho vay phi tập trung Project 0 tạm dừng hoạt động, họ khởi động quy trình giải đòn bẩy; tài sản của người cho vay bị ghi giảm trung bình 2,61%.

Cái giá sâu nhất và cũng khó lượng hóa nhất là sự lung lay của nền tảng niềm tin an ninh trong ngành DeFi. Sau sự cố, Drift nhấn mạnh rằng tất cả các thành viên đa chữ ký đều sử dụng ví lạnh, nhưng vẫn không thể ngăn chặn cuộc tấn công—điều này cho thấy khi cuộc tấn công “khóa” vào lớp con người, thì ngay cả việc kiểm soát phần cứng chặt chẽ cũng có thể bị lách qua. Nếu kẻ tấn công hành động với tư cách một tổ chức thật trong suốt nửa năm, đầu tư vốn, tham gia hệ sinh thái, thì hệ thống bảo mật hiện có hầu như không thể phát hiện họ.

Điều đó có ý nghĩa gì đối với bức tranh của ngành DeFi?

Sự kiện Drift đang buộc toàn ngành phải xem xét lại một vấn đề nền tảng: các giả định an ninh của tài chính phi tập trung liệu còn đúng hay không.

Một phần phản tư quan trọng của ngành tập trung vào lỗ hổng mang tính cấu trúc trong hệ thống niềm tin của bên trung gian thứ ba. Đường đi nước bước của cuộc tấn công UNC4736 cho thấy hệ sinh thái DeFi hiện tại thiếu cơ chế thẩm định an ninh có hệ thống và giám sát liên tục đối với các đối tác mới. Những hành vi trong ngành vốn được xem là hoạt động kinh doanh thông thường—tiếp xúc tại hội nghị, trao đổi qua nhắn tin tức thời, và việc gia nhập kho quỹ hệ sinh thái—lại chính là tấm “che phủ” hoàn hảo cho sự thâm nhập của hacker cấp quốc gia.

Một tranh cãi khác không thể bỏ qua đến từ khe nứt tuân thủ trong khâu thu hồi tiền. Các điều tra viên trên chuỗi chỉ ra rằng kẻ tấn công đã chuyển khoảng 232 triệu USD USDC từ cầu Solana sang Ethereum thông qua các giao thức chuyển chuỗi chéo; trong khi nhà phát hành stablecoin có cửa sổ khoảng 6 giờ để đóng băng phần tiền này nhưng đã không thực hiện hành động. Tranh cãi này chạm đến một vấn đề mang tính thể chế sâu hơn: khi lớp phòng thủ an ninh của chính giao thức DeFi thất bại, việc dựa vào phản hồi tuân thủ của các nhà phát hành stablecoin tập trung để “bù chỗ thiếu” trong mô hình kết hợp này liệu có bền vững không? Và ranh giới hành động của các thực thể tuân thủ sẽ nằm ở đâu khi đối mặt với dòng tiền quy mô lớn?

Tương lai có thể diễn tiến như thế nào?

Dựa trên tiến độ điều tra hiện tại và phản ứng của ngành, một số xu hướng trong tương lai đã lộ rõ.

Ngân sách an ninh sẽ được đánh giá lại một cách có hệ thống. Tính đến năm 2025, tổn thất an ninh tiền mã hóa toàn cầu đã vượt quá 2.54Bỷ USD; trong lĩnh vực Web3, trong năm 2025 ghi nhận 89 vụ sự cố an ninh được xác nhận, tổng thiệt hại đạt 3.4Bỷ USD. Trong bối cảnh các cuộc tấn công cấp quốc gia ngày càng trở nên thường nhật, chiến lược phòng thủ chỉ dựa vào kiểm toán mã và kiểm thử an ninh là chưa đủ. Dự kiến nhiều giao thức hơn sẽ đầu tư thêm nguồn lực vào đào tạo an ninh vận hành, diễn tập phòng thủ kỹ thuật xã hội và quy trình thẩm định lý lịch.

Truyền rủi ro xuyên giao thức sẽ trở thành một chiều kích mới cần được chú ý trong an ninh. Hiệu ứng dây chuyền của sự kiện Drift lan sang hơn 20 giao thức cho thấy khả năng “tích hợp/composable” của DeFi trong khía cạnh an ninh là một con dao hai lưỡi. Tương lai có thể xuất hiện hai nhóm giải pháp: một là cô lập phụ thuộc và phân cấp an ninh ở cấp giao thức; hai là xây dựng cơ chế phản ứng sự cố và chia sẻ thông tin thống nhất ở cấp ngành.

Ranh giới giữa quản lý và tuân thủ sẽ tiếp tục là một cuộc đấu giằng co. Các tiêu chuẩn hành động của nhà phát hành stablecoin trong các sự kiện tương tự sẽ trở thành trọng tâm thảo luận của cơ quan quản lý, và có thể dẫn đến việc hình thành khung phản ứng khẩn cấp đối với dòng chảy tài sản tiền mã hóa qua biên giới.

Những rủi ro tiềm ẩn nào vẫn nằm trong vùng cảnh báo?

Dù Drift đã đóng băng tất cả chức năng của các giao thức và chuyển các ví bị ảnh hưởng ra khỏi đa chữ ký, vẫn còn nhiều chiều kích rủi ro đáng tiếp tục theo dõi.

Tính không thể đảo ngược của việc thu hồi tiền. Sau khi thực hiện hành vi trộm cắp, kẻ tấn công đã nhanh chóng xóa bỏ các bản ghi nhắn tin tức thời và mã độc, và số tiền trên chuỗi đã được chuyển qua cầu xuyên chuỗi sang mạng Ethereum. Các tổ chức hacker Triều Tiên từ trước đến nay có mạng lưới rửa tiền và khả năng trộn lẫn xuyên chuỗi đã trưởng thành; phần lớn số tiền bị đánh cắp có thể đã đi vào các kênh khó thu hồi.

Cạnh tranh không cân xứng về năng lực an ninh của ngành. Các tổ chức hacker cấp quốc gia có nguồn lực mang tính tổ chức, hỗ trợ tài chính liên tục và sự phân công chuyên môn hóa; trong khi phần lớn các giao thức DeFi vận hành theo mô hình đội ngũ nhỏ, nên việc phân bổ nguồn lực cho an ninh bị hạn chế. Sự bất đối xứng này đang được kẻ tấn công khai thác một cách có hệ thống. Những danh tính mà các kẻ tấn công sử dụng đã được xây dựng thành hồ sơ nghề nghiệp hoàn chỉnh, các chứng chỉ danh tính công khai và mạng lưới quan hệ xã hội chuyên nghiệp, đủ để vượt qua các thẩm tra thông thường trong hợp tác kinh doanh.

Sự mệt mỏi về niềm tin kìm hãm đổi mới của ngành. Nếu mỗi lần giới thiệu một đối tác mới đều cần trải qua thẩm định an ninh nghiêm ngặt và giám sát liên tục, thì lợi thế cốt lõi của DeFi—tính mở và khả năng “tích hợp”—sẽ đối mặt với rủi ro bị xói mòn. Việc tìm được cân bằng giữa phòng thủ an ninh và hiệu quả vận hành sẽ là bài toán mà ngành buộc phải trả lời.

Tóm tắt

Sự kiện bị hack của Drift đã phơi bày một thực tế từng bị bỏ qua trong thời gian dài: các mối đe dọa an ninh đối với ngành DeFi đã hoàn tất bước nhảy thế hệ. Từ lỗ hổng hợp đồng thông minh đến đánh cắp khóa riêng, rồi đến nay là sự thâm nhập kỹ thuật xã hội cấp quốc gia kéo dài 6 tháng—tốc độ tiến hóa chiến thuật của kẻ tấn công còn nhanh hơn nhiều so với tốc độ lặp lại của hệ thống phòng thủ. Khi kẻ tấn công không còn cần phải bẻ khóa mã nữa mà chỉ cần bẻ gãy niềm tin của một con người, hiệu quả của các công cụ an ninh truyền thống như đa chữ ký, ví lạnh, cô lập phần cứng lại bị xem xét lại.

Ngành cần không chỉ kiểm toán mã hoàn thiện hơn và kiểm soát truy cập chặt chẽ hơn, mà còn cần một tư duy an ninh hoàn toàn mới: xem “niềm tin mang tính con người” là một bề mặt tấn công quan trọng ngang bằng với “mã hợp đồng thông minh”. Từ thẩm định lý lịch đến văn hóa an toàn vận hành; từ giám sát liên tục đối tác trong hệ sinh thái đến phối hợp liên giao thức của cơ chế phản ứng khẩn cấp—mỗi mắt xích đều cần được định nghĩa lại. Trong “tân bình” an ninh tiền mã hóa mới khi lực lượng cấp quốc gia đã nhập cuộc, không có giao thức nào có thể đứng ngoài—chuỗi phòng thủ an ninh của toàn ngành chỉ có thể đạt đến cường độ của mắt xích yếu nhất.

FAQ

Hỏi: UNC4736 có phải là cùng một tổ chức với Lazarus không?

UNC4736 là bí danh mà các công ty an ninh dùng để theo dõi các tác nhân đe dọa có liên hệ với chính phủ Triều Tiên, có sự giao cắt nhưng không hoàn toàn đồng nhất với Lazarus Group vốn được biết đến rộng rãi hơn. Người ta cho rằng UNC4736 thực hiện các nhiệm vụ thu lợi dựa trên “nguồn thu cơ sở” mang tính bền vững hơn trong lĩnh vực tiền mã hóa, tập trung vào sự thâm nhập liên tục nhắm tới các mục tiêu nhỏ đến trung bình.

Hỏi: Tại sao Drift dùng đa chữ ký nhưng vẫn không thể ngăn chặn cuộc tấn công?

Kẻ tấn công không trực tiếp đánh cắp khóa riêng của đa chữ ký, mà thu được quyền phê duyệt đa chữ ký thông qua kỹ thuật xã hội, sau đó sử dụng tính năng Durable Nonce của Solana để ký trước giao dịch; sau khi đạt đủ quyền, họ thực thi ngay lập tức. Điều này cho thấy tiền đề an ninh của cơ chế đa chữ ký là chữ ký giả định không bị thao túng bằng kỹ thuật xã hội.

Hỏi: Cuộc tấn công này có liên quan đến lỗ hổng hợp đồng thông minh không?

Không. Drift xác nhận rằng trọng tâm của cuộc tấn công lần này là sự thâm nhập bằng kỹ thuật xã hội và sự lạm dụng tính năng Durable Nonce, chứ không phải lỗ hổng mã truyền thống của hợp đồng thông minh.

Hỏi: Sau sự kiện, Drift đã thực hiện những biện pháp nào?

Drift đã đóng băng tất cả chức năng của các giao thức, chuyển các ví bị ảnh hưởng ra khỏi đa chữ ký, và mời các công ty an ninh tham gia điều tra hiện trường số chuyên sâu. Nhóm giao thức cho biết đang phối hợp với cơ quan thực thi pháp luật để cố gắng truy tìm số tiền bị đánh cắp.