Tôi vừa đọc một phân tích khá đáng lo ngại về những gì đã xảy ra với Drift Protocol gần đây. Kết quả là, vụ khai thác trị giá 270 triệu đô la không phải là một cuộc tấn công ngẫu nhiên, mà là một hoạt động tình báo của Bắc Triều Tiên được lên kế hoạch tỉ mỉ kéo dài khoảng sáu tháng.

Điều đáng lo ngại nhất là cách họ thực hiện. Một nhóm liên kết với Nhà nước Bắc Triều Tiên đã xâm nhập vào hệ sinh thái của Drift giả vờ là một công ty giao dịch định lượng. Để hiểu Drift là gì và hoạt động ra sao, bạn cần biết rằng đây là một giao thức DeFi dựa trên nhiều chữ ký để đảm bảo an toàn. Vậy, những kẻ tấn công này đã kiên nhẫn và tinh vi đến mức nào? Đầu tiên, họ đã liên lạc vào khoảng mùa thu năm 2025 tại một hội nghị tiền điện tử quan trọng, tự giới thiệu là các chuyên gia giao dịch. Họ có giấy chứng nhận chuyên nghiệp xác thực, nói thành thạo ngôn ngữ kỹ thuật của giao thức và biết chính xác cần nói gì.

Trong nhiều tháng, họ duy trì các cuộc trò chuyện về chiến lược và các kho bạc hệ sinh thái, điều hoàn toàn bình thường trong cách các công ty tích hợp vào các giao thức DeFi. Từ tháng 12 năm 2025 đến tháng 1 năm 2026, họ đã thêm một Kho bạc Hệ sinh thái, tổ chức các buổi làm việc với các cộng tác viên của Drift, gửi hơn một triệu đô la từ vốn tự có của họ và thiết lập hoạt động trong hệ sinh thái. Điều táo bạo nhất là họ đã gặp trực tiếp các nhóm của Drift tại nhiều hội nghị quan trọng trong tháng 2 và 3. Đến tháng 4, khi tiến hành tấn công, mối quan hệ này đã gần nửa năm tuổi.

Việc xâm nhập diễn ra qua hai vectơ kỹ thuật. Đầu tiên, họ tải xuống một ứng dụng từ TestFlight, nền tảng của Apple phân phối các ứng dụng thử nghiệm chưa qua kiểm duyệt bảo mật, và giới thiệu nó là sản phẩm ví của họ. Thứ hai, họ khai thác một lỗ hổng đã biết trong VSCode và Cursor, hai trong số các trình chỉnh sửa mã phổ biến nhất trong phát triển phần mềm, nơi chỉ cần mở một tệp là chạy mã tùy ý mà không cảnh báo. Sau khi xâm nhập vào các thiết bị, họ có được những gì cần thiết để có được hai chữ ký đa chữ ký (multisig) cho phép thực hiện vụ tấn công vào ngày 1 tháng 4, rút sạch 270 triệu đô la trong chưa đầy một phút.

Các nhà điều tra quy kết toàn bộ vụ này cho nhóm UNC4736, còn gọi là AppleJeus hoặc Citrine Sleet, một nhóm liên kết với Nhà nước Bắc Triều Tiên. Điều thú vị là những người gặp trực tiếp không phải là công dân Bắc Triều Tiên, mà là các trung gian với danh tính hoàn toàn giả tạo, lý lịch giả mạo và mạng lưới chuyên nghiệp được thiết kế để qua mặt mọi kiểm tra.

Điều này phơi bày một vấn đề nhạy cảm cho toàn ngành DeFi: nếu các kẻ tấn công sẵn sàng bỏ ra sáu tháng và một triệu đô la để xây dựng một hình ảnh hợp pháp, gặp gỡ các nhóm trực tiếp và kiên nhẫn chờ đợi, thì mô hình an ninh nào thực sự đủ khả năng phát hiện điều đó? Drift hiện cảnh báo rằng ngành cần kiểm tra các hợp đồng truy cập và xem mỗi thiết bị tương tác với multisig như một mục tiêu tiềm năng. Câu hỏi cốt lõi là liệu multisig như một mô hình an ninh chính trong DeFi có đủ mạnh để chống lại các đối thủ cấp độ này hay không.