Drift Protocol bị đánh cắp 285 triệu USD thông qua khóa quản trị bị đánh cắp

Drift đã cắt vào một vết thương mà ngành này không muốn đối mặt nhất.

Ngày 1 tháng 4, Ngày Cá tháng Tư.

Drift Protocol, sàn giao dịch hợp đồng hoán đổi lớn nhất trên chuỗi Solana, đang bị rút sạch vốn, và phản ứng đầu tiên của cộng đồng là: “Một trò đùa ngày Cá tháng Tư hay đó.”

Đây không phải là một câu đùa. Khoảng 1 giờ 30 phút chiều, các tài khoản giám sát chuỗi Lookonchain và PeckShield gần như đồng thời kích hoạt cảnh báo: một ví lạ bắt đầu bằng "HkGz4K" đang rút tài sản khỏi kho của Drift với tốc độ kinh hoàng. Giao dịch đầu tiên: 41 triệu token JLP, trị giá 155 triệu USD. Ngay sau đó, 51,6 triệu USDC, 125.000 WSOL, 164.000 cbBTC... hơn chục loại tài sản như nước trong bồn tắm bị rút nút, tràn ra ngoài ào ạt.

Một giờ. Tài sản kho bạc giảm từ 309 triệu USD xuống còn 41 triệu USD. Hơn một nửa TVL đã bay hơi.

Đội ngũ Drift đã đăng một bài đăng trên X với ngôn từ hiếm khi cấp bách như vậy: "Drift Protocol đang chịu cuộc tấn công chủ động. Các khoản gửi và rút tiền đã bị tạm dừng. Chúng tôi đang phối hợp với nhiều công ty an ninh, cầu liên chuỗi và sàn giao dịch để kiểm soát tình hình."

Sau đó là câu sẽ được ghi vào lịch sử tiền mã hóa: "Đây không phải là trò đùa ngày 1 tháng Tư."

Con số bị đánh cắp từ Drift khác nhau giữa các nguồn khác nhau. PeckShield ước tính khoảng 285 triệu USD, Arkham đưa ra hơn 250 triệu, trong khi đánh giá ban đầu của CertiK vào khoảng 136 triệu USD. Tuy nhiên, bất kể con số nào là chính xác, đây đều là sự kiện bảo mật DeFi lớn nhất tính đến nay trong năm 2026.

Điều đáng quan tâm hơn con số là phương thức tấn công.

Người sáng lập PeckShield, Jiang Xuxian, nói với Decrypt một cách trực tiếp: "Chìa khóa quản trị đằng sau Drift đã bị rò rỉ hoặc bị xâm nhập rõ ràng." Hình ảnh cuộc tấn công do các nhà nghiên cứu trên chuỗi tái tạo cho thấy, tin tặc đã giành được quyền truy cập đặc quyền vào giao thức Drift, từ đó kiểm soát luồng tiền trong kho.

Nói cách khác, không có khai thác lỗ hổng hợp đồng thông minh tinh vi, không có cuộc tấn công flash loan, không có thao túng oracle. Đó chỉ là sự thất bại bảo mật nguyên thủy và cũ kỹ nhất—ai đó đã làm mất khóa riêng.

Chi tiết khiến lo ngại hơn là: kẻ tấn công không hành động bốc đồng. Dữ liệu trên chuỗi cho thấy ví này đã nhận nguồn vốn ban đầu qua Near Intents 8 ngày trước khi xảy ra cuộc tấn công, sau đó ở trạng thái im lặng. Một tuần trước cuộc tấn công, nó thậm chí còn nhận một khoản chuyển khoản nhỏ trị giá 2,52 đô la từ kho Drift—một lần thử nghiệm, một lần “gõ cửa”.

One week later, the door was kicked open.

Đối với Cindy Leow, đồng sáng lập của Drift, cơn ác mộng vào ngày 1 tháng 4 mang một sắc thái đặc biệt tàn khốc.

Câu chuyện của doanh nhân người Hoa Malaysia từng là một trong những câu chuyện truyền cảm hứng tốt nhất về DeFi trên Solana. Bắt đầu từ năm 2016 với arbitrage Bitcoin giữa Trung Quốc và Hàn Quốc, từng vận hành quỹ tự doanh, đóng góp các dự án phái sinh trên Ethereum, năm 2021 anh cùng David Lu thành lập Drift, đặt cược vào lợi thế tốc độ của Solana để phát triển hợp đồng hoán đổi trên chuỗi.

Từ góc nhìn lịch sử, Drift gần như bắt trúng mọi làn sóng. Năm 2024, họ huy động được hai vòng gọi vốn do Polychain và Multicoin dẫn đầu, tổng cộng 52,5 triệu USD. Họ ra mắt thị trường dự đoán cạnh tranh với Polymarket, triển khai đòn bẩy 50 lần, TVL vượt mốc 5,5 tỷ USD và tổng khối lượng giao dịch tích lũy vượt 50 tỷ USD. Trong cuộc phỏng vấn với Fortune, Leow đã đưa ra một định vị đầy tham vọng: trở thành "Robinhood của tiền mã hóa".

So sánh này hiện tại nghe thật phức tạp. Cam kết cốt lõi của Robinhood là giúp người bình thường tiếp cận các công cụ tài chính phố Wall. Cam kết cốt lõi của Drift là mang đến cho người dùng trải nghiệm giao dịch “không托管” trên chuỗi, tiền của bạn không đi qua tay bất kỳ ai, mà chỉ tương tác với mã nguồn.

Nhưng đằng sau mã nguồn, có một khóa quản trị viên. Và sự an toàn của khóa này cuối cùng phụ thuộc vào con người, không phải mật mã học.

Còn một sự trùng hợp lịch sử khiến người ta phải giật mình. Năm 2022, thời kỳ Drift v1 từng trải qua một vụ việc kho bị rút sạch. Sau sự cố, đội ngũ đã công bố một báo cáo kỹ thuật cực kỳ chi tiết, thậm chí còn công khai một đoạn mã minh họa chứng minh cách kẻ tấn công có thể rút sạch toàn bộ kho chỉ trong một giao dịch. Tổn thất trong sự cố đó là 14,5 triệu USD, và đội ngũ đã tự bỏ tiền bồi thường đầy đủ cho người dùng.

Bốn năm sau, cùng nỗi ác mộng đó tái diễn với quy mô gấp 20 lần.

Hãy lùi lại một chút khỏi Drift, bạn sẽ nhận ra một quy luật khó chịu đang hình thành.

Đầu năm 2025, dịch vụ quản lý khóa AWS của Resolv Labs bị xâm nhập, kẻ tấn công sử dụng khóa đặc quyền để phê duyệt các hoạt động đúc ổn định coin USR quy mô lớn, gây ra tổn thất dây chuyền trên nhiều nền tảng. Cùng năm, tổng giá trị trộm cắp tiền mã hóa trong cả năm 2025 đạt mức kỷ lục 3,4 tỷ USD, báo cáo của Chainalysis đặc biệt chỉ ra một sự thay đổi xu hướng: những sự kiện gây thiệt hại nghiêm trọng nhất đều xảy ra ở cấp độ hạ tầng. Những máy phát triển bị xâm nhập, khóa đúc duy nhất được lưu trữ trên đám mây, quy trình ký bị lừa đảo qua xã hội học — những yếu tố này mới thực sự là những hố đen nuốt chửng vốn.

Bây giờ thêm Drift.

Nếu bạn đặt các trường hợp này cạnh nhau, một kết luận gần như không thể tránh khỏi: Bảo mật khóa riêng đã thay thế lỗ hổng hợp đồng thông minh trở thành rủi ro hệ thống lớn nhất trong DeFi.

Có một khoảng cách nhận thức lớn đến mức có thể nuốt chửng hàng tỷ đô la.

Các giao thức DeFi kể câu chuyện với bên ngoài là “phi tập trung”, “không giữ tài sản”, “không cần tin tưởng”. Tài sản của bạn được mã hóa bảo vệ, không có bên trung gian nào có thể chạm vào tiền của bạn. Người dùng đã lắng nghe câu chuyện này, gửi tiền vào các giao thức này và nghĩ rằng “Tôi đang giao dịch với toán học”.

Nhưng thực tế là, gần như mọi giao thức DeFi đang hoạt động đều sở hữu một hoặc vài chìa khóa "của Chúa": chìa khóa quản trị, quyền nâng cấp, quyền kiểm soát kho chứa, công tắc tạm dừng khẩn cấp. Sự tồn tại của những chìa khóa này đôi khi nhằm mục đích bảo mật (để có thể phanh khẩn cấp khi xảy ra sự cố), đôi khi nhằm mục đích linh hoạt (để nâng cấp logic hợp đồng), nhưng bản chất của chúng đều giống nhau: một điểm tin tưởng tập trung, được bao bọc trong câu chuyện phi tập trung.

Người dùng nghĩ rằng họ đang tương tác với mã nguồn. Thực tế, họ đang tin tưởng một cá nhân hoặc một nhóm nhỏ người không bao giờ mắc sai lầm, không bao giờ bị lừa đảo, không bao giờ bị đe dọa, và không bao giờ để quên laptop ở quán cà phê vào ban đêm.

Đây không phải là vấn đề riêng của Drift, mà là mâu thuẫn cấu trúc của toàn bộ ngành DeFi.

285 triệu USD đã đi đâu

Các hành động trên chuỗi của kẻ tấn công gọn gàng và mang sự bình tĩnh của một chuyên gia.

Sau khi rút tài sản từ kho Drift, anh ta nhanh chóng chuyển đổi phần lớn số token thành stablecoin, sau đó chuyển khoản qua cầu跨链 Wormhole sang mạng Ethereum. Trên Ethereum, anh ta sử dụng một phần stablecoin để mua khoảng 19.913 ETH (giá trị khoảng 42,6 triệu USD), phần còn lại được phân tán vào nhiều địa chỉ ví.

Có một chi tiết hài hước: ví của kẻ tấn công vẫn đang giữ một lượng lớn Fartcoin, chiếm khoảng 2,5% tổng nguồn cung của đồng tiền này. Một hacker vừa thực hiện vụ trộm DeFi lớn nhất năm nay lại đang nắm trong tay một đống meme coin được đặt tên theo... ợ hơi.

Tính đến thời điểm bài viết, việc nạp và rút tiền của Drift vẫn đang bị tạm dừng, token DRIFT đã giảm từ khoảng 0,072 USD trước cuộc tấn công xuống gần 0,05 USD, giảm hơn 28%. Tính từ mức cao nhất lịch sử là 2,60 USD, mức giảm tích lũy vượt quá 98%. Ví Phantom đã hiển thị cảnh báo cho người dùng cố gắng truy cập Drift.

Đội ngũ Drift cho biết đang phối hợp với các công ty bảo mật, nhà vận hành cầu liên chuỗi và các sàn giao dịch tập trung để cố gắng đóng băng và truy vết số tiền bị đánh cắp. Tuy nhiên, nếu dựa vào lịch sử làm cơ sở tham khảo, khả năng thu hồi lại số tiền đã được chuyển qua cầu liên chuỗi và phân tán vào nhiều ví là không mấy khả quan.

Drift đã cắt vào một vết thương mà ngành này không muốn đối mặt nhất.

Trong báo cáo vào cuối năm 2025, Chainalysis đã bày tỏ sự lạc quan rằng an ninh DeFi đã đạt được "tiến bộ đáng kể", ngay cả khi TVL tăng gấp đôi lên 119 tỷ USD, thì thiệt hại do hacker gây ra trong DeFi lại đang giảm. Ví dụ về Venus Protocol được đưa ra như một mô hình tích cực: hệ thống giám sát an ninh đã phát hiện bất thường 18 giờ trước khi cuộc tấn công xảy ra, giao thức nhanh chóng tạm dừng hoạt động, cơ chế quản trị đã phong tỏa nguồn vốn của kẻ tấn công, và thậm chí kẻ tấn công còn bị lỗ tiền.

Drift đã làm suy giảm "câu chuyện tiến bộ" này. Bạn có thể thực hiện kiểm toán hợp đồng thông minh một cách hoàn hảo, triển khai hệ thống giám sát trên chuỗi tiên tiến nhất, nhưng chỉ cần một khóa quản trị bị lừa đảo xã hội, bị đánh cắp qua lừa đảo hoặc bị bẻ khóa bằng lực lượng thô, toàn bộ cơ sở hạ tầng bảo mật sẽ giống như một pháo đài xây trên cát.

Ngành DeFi cần dừng lại và trung thực trả lời một câu hỏi: Khi bạn nói với người dùng “không được quản lý”, bạn thực sự muốn nói gì?

Nếu khóa admin của giao thức có thể chuyển tất cả tài sản trong kho bất kỳ lúc nào, thì sự khác biệt giữa việc này và việc gửi tiền vào tài khoản ngân hàng của một người bạn không quen biết là gì? Ít nhất ngân hàng có bảo hiểm, có giám sát và quyền khiếu nại pháp lý.

Có lẽ câu trả lời không phải là hủy bỏ các quyền quản trị này, vì trong nhiều trường hợp, sự hiện diện của chúng là cần thiết. Nhưng ít nhất, ngành công nghiệp nên ngừng giả vờ rằng chúng không tồn tại. Các giải pháp công nghệ như quản trị đa chữ ký, khóa thời gian, mô-đun bảo mật phần cứng, xoay vòng khóa… đã tồn tại nhiều năm, nhưng vẫn quá nhiều giao thức đang đặt an ninh hàng trăm triệu đô la vào sự cảnh giác của một hoặc hai nhân viên vận hành con người.

Giấc mơ về "Robinhood phiên bản tiền mã hóa" thật tuyệt vời. Nhưng trước khi hiện thực hóa nó, có lẽ nên trả lời một câu hỏi cơ bản hơn: Ai đang giữ chìa khóa đó?