Vào ngày 1 tháng 4 năm 2026, Drift Protocol — sàn giao dịch hợp đồng hoán đổi phi tập trung lớn nhất hệ sinh thái Solana — đã bị tấn công nghiêm trọng. Trong vòng vài chục phút, tới 285 triệu USD tài sản tiền điện tử đã bị đánh cắp, trở thành sự cố bảo mật lớn nhất trong lĩnh vực DeFi kể từ đầu năm nay.
Khi dữ liệu trên chuỗi được làm rõ và các tổ chức an ninh tham gia sâu hơn, toàn bộ bức tranh của cuộc tấn công APT nghi do nhóm tin tặc Triều Tiên chỉ đạo dần hiện ra. Điều đáng tiếc là, thứ phá hủy pháo đài DeFi trị giá hàng trăm triệu đô la này không phải là một lỗ hổng zero-day tinh vi, mà là một cuộc săn lùng xã hội kéo dài nhiều tháng, nhắm thẳng vào con người.
Cuộc khủng hoảng này không chỉ là thời khắc tối tăm nhất của Drift, mà còn phơi bày bộ mặt “tập thể nghiệp dư” của ngành DeFi hiện tại trong quản trị và quản lý khóa.
Cuộc săn lùng có chuẩn bị: Drift đã suy sụp từng bước như thế nào?
Khi phân tích lại lộ trình tấn công của hacker, chúng ta nhận thấy đây là một cuộc tấn công đa tuyến, được phối hợp chặt chẽ, cực kỳ tỉ mỉ và kiên nhẫn. Kẻ tấn công đã tận dụng hoàn hảo sự tự tin mù quáng của cộng đồng Web3 vào nguyên tắc “mã hóa là luật pháp”, cùng với sự lơ là đối với yếu tố “con người” – mắt xích yếu nhất.
Bước 1: Ẩn mình dưới vỏ bọc "nhà tạo lập thị trường"
Sáu tháng trước khi sự việc xảy ra, kẻ tấn công đã giả danh là một tổ chức giao dịch định lượng có nguồn vốn dồi dào. Họ không chỉ giao lưu thân mật với đội ngũ cốt lõi của Drift tại các hội nghị tiền điện tử lớn, mà còn thực sự gửi vào giao thức hàng triệu đô la Mỹ. Bằng cách tham gia kiểm thử sản phẩm và đưa ra các đề xuất chiến lược chất lượng cao, hacker đã thành công trong việc lọt vào các nhóm liên lạc nội bộ của Drift, xây dựng nên sự tin tưởng mang tính chết người.
Bước thứ hai: Sử dụng "số ngẫu nhiên bền vững" để cài đặt bom hẹn giờ
Sau khi giành được sự tin tưởng của các đóng góp chính, kẻ tấn công đã bắt đầu khai thác cơ chế “Durable Nonces” đặc trưng của mạng Solana. Cơ chế này cho phép các giao dịch được ký offline trước và được phát sóng thực thi vào bất kỳ thời điểm nào trong tương lai. Bằng cách sử dụng những lời nói khéo léo và yêu cầu kiểm thử giả mạo, kẻ tấn công đã lừa các thành viên trong Ủy ban Bảo mật Drift thực hiện “Blind Signing” cho một vài giao dịch trông có vẻ bình thường. Tuy nhiên, Payload thực sự của các giao dịch này là chuyển quyền kiểm soát cao nhất của người quản trị (Admin).
Bước thứ ba: Chữ ký đa ký 2/5 chết người và không có thời gian khóa
Ngày 27 tháng 3, Drift đã thực hiện một bản cập nhật quản trị gây tử vong: chuyển dịch Ủy ban An toàn sang kiến trúc đa chữ ký 2/5 mới và gỡ bỏ thời gian chờ (Timelock). Điều này có nghĩa là, chỉ cần có hai chữ ký, bất kỳ lệnh nào thay đổi logic cốt lõi của giao thức sẽ được thực thi ngay lập tức, thậm chí không cho phép thời gian phản ứng để rút phích cắm.
Bước thứ tư: Máy rút tiền “tiền giả” như ảo ảnh
Vào ngày 1 tháng 4, kẻ tấn công đồng thời kích hoạt tất cả các lỗ hổng đã triển khai. Chúng phát sóng các lệnh đa chữ ký đã lừa đảo trước đó, ngay lập tức chiếm quyền Admin của giao thức. Sau đó, kẻ tấn công thêm một loại token giả có tên CVT (CarbonVote Token) vào danh sách trắng và nâng giới hạn vay của nó lên mức tối đa. Kết hợp với thao túng giá từ oracle, kẻ tấn công đã sử dụng một đống token rỗng làm tài sản thế chấp để “vay” hợp pháp 285 triệu USD USDC, SOL và ETH từ kho Drift.
Chữ ký hợp lệ ≠ Ý định hợp lệ: Điểm yếu Achilles của bảo mật DeFi
Trong sự kiện Drift, điều khiến người ta cảm thấy bất lực nhất là: trong mắt máy ảo blockchain, từng bước của hacker đều là “hợp lệ”. Họ không khai thác lỗ hổng tràn, cũng không thực hiện tấn công tái nhập, họ chỉ đơn giản là lấy được chìa khóa quản trị hợp lệ, rồi bước vào kho báu một cách công khai.
Điều này phơi bày sự không phù hợp lớn trong quản lý vốn của các giao thức DeFi hiện tại: sử dụng các công cụ dành cho nhà đầu tư lẻ quản lý vài trăm đô la để quản lý kho bạc cấp tổ chức với hàng trăm triệu đô la.
Hiện tại, hầu hết các giao thức DeFi chính đều vẫn phụ thuộc mạnh vào cơ chế chữ ký đa bên truyền thống dựa trên hợp đồng thông minh (như Safe hoặc cơ chế đa chữ ký bản địa). Kiến trúc này có hai khuyết điểm nghiêm trọng:
- Không thể phòng tránh được kỹ thuật xã hội: Chỉ cần tin tặc thành công trong việc lừa đảo, đe dọa hoặc mua chuộc một vài cá nhân quan trọng nắm giữ khóa riêng, hàng phòng thủ sẽ sụp đổ.
- Thiếu kiểm tra ý định: Đa chữ ký chỉ xác minh “liệu có phải những người này đã ký không”, nhưng không quan tâm “họ đã ký vào cái gì—có phải là hợp đồng bán thân không”.
Từ thí nghiệm kỹ thuật đến hạ tầng tài chính: Sự phát triển tất yếu của bảo mật Web3
Drift đã trả 285 triệu USD để học một bài học cực kỳ đắt giá: Khi Web3 và tài chính truyền thống ngày càng hội nhập nhanh chóng, các giao thức DeFi phải từ bỏ mô hình quản trị dựa solely vào tự giác của nhà phát triển và đa chữ ký đơn giản, và hướng tới các tiêu chuẩn bảo mật cấp tổ chức.
Hiện tại, các tổ chức hàng đầu trong ngành và các chuyên gia an ninh đã đạt được sự đồng thuận rằng lần nâng cấp bảo mật tiếp theo cho cơ sở hạ tầng DeFi phải bao gồm các cải tiến cốt lõi sau:
Nâng cấp nền tảng mật mã: Hướng tới HSM (Modun bảo mật phần cứng)
So với việc tổng hợp phần mềm của chữ ký đa bên, HSM lưu trữ khóa riêng của giao thức trong một chip được xác thực và mã hóa cấp quân sự, nơi khóa riêng không thể được xuất ra. Sự cô lập vật lý và kiểm soát bảo mật cấp phần cứng này loại bỏ hoàn toàn rủi ro do các cuộc tấn công xã hội học từ bên trong hoặc thiết bị bị xâm nhập, mang lại mức độ bảo mật khóa vượt trội hơn nhiều so với chữ ký đa bên truyền thống cho kho giao thức.
Giới thiệu bộ máy chiến lược dựa trên ý định (Policy Engine)
Việc phê duyệt quyền quản lý DeFi trong tương lai không thể chỉ dừng lại ở giai đoạn “xác minh chữ ký”. Hệ thống cần tích hợp sẵn một logic kiểm soát rủi ro, ví dụ: khi một giao dịch cố gắng thay đổi giới hạn vay của một đồng tiền không xác định (như CVT trong vụ Drift) thành vô hạn, công cụ chiến lược phải tự động nhận diện ý định bất thường, kích hoạt cơ chế ngắt mạch và yêu cầu xác minh cấp độ cao hơn (như kiểm soát rủi ro bằng tay đa cấp, xác minh qua video hoặc khóa thời gian bắt buộc).
Đón nhận sức mạnh托管 hợp quy độc lập
Khi TVL không ngừng tăng trưởng, các nhà phát triển giao thức nên tập trung vào logic mã và sự đổi mới về nghiệp vụ, đồng thời giao quyền kiểm soát kho bạc hàng trăm triệu USD cùng các biện pháp bảo mật cho các tổ chức托管 hợp quy chuyên nghiệp. Giống như trong tài chính truyền thống, các sàn giao dịch không bao giờ lưu trữ tài sản của người dùng trong két sắt cá nhân của chủ sở hữu. Việc áp dụng các quy trình kiểm soát rủi ro cấp tổ chức, có khả năng phòng thủ mạnh mẽ và đã được kiểm toán, là con đường tất yếu để DeFi trở nên phổ biến rộng rãi.
Như các nhà cung cấp dịch vụ lâu năm trong lĩnh vực bảo mật tài sản số như Cactus Custody đã khuyến nghị: Tính phi tập trung của DeFi không nên trở thành lý do để né tránh các biện pháp kiểm soát rủi ro hệ thống.
Sự kiện hacker của Drift có thể là một mốc phân nước. Nó tuyên bố sự thất bại của mô hình quản trị “tạm bợ” và dự báo sự ra đời của một mô hình bảo mật mới dựa trên kiến trúc phần cứng, xác thực ý định và lưu ký chuyên nghiệp. Chỉ khi củng cố hàng rào bảo vệ này, Web3 mới thực sự có thể gánh vác tương lai trị giá hàng nghìn tỷ đô la.