Vào ngày 1 tháng 4 năm 2026, sàn giao dịch hợp đồng vĩnh cửu phi tập trung Drift Protocol trong hệ sinh thái Solana đã bị tin tặc tấn công, tổng tài sản bị đánh cắp khoảng 2,85 trăm triệu USD. Kẻ tấn công giành được quyền quản trị của ví đa chữ ký (multi-sig) của giao thức, trong vòng một giờ đã “xóa sạch” các tài sản trong nhiều quỹ thanh khoản như USDC, SOL, cbBTC, WETH… và chuyển xuyên chuỗi sang mạng Ethereum để đổi lấy khoảng 129.000 ETH (giá trị khoảng 2,78 trăm triệu USD). Tính đến ngày 2 tháng 4 năm 2026, số tiền bị đánh cắp đã được phân tán lưu trữ tại 4 địa chỉ Ethereum; tổng giá trị bị khóa của giao thức (TVL) đã giảm mạnh từ 5,5 trăm triệu USD xuống còn khoảng 2,55 trăm triệu USD. Sự kiện này trở thành vụ việc an ninh có mức tổn thất một lần lớn nhất trong lĩnh vực DeFi năm 2026.
Dòng thời gian tấn công và lộ trình kỹ thuật
Cuộc tấn công không phải xảy ra đột ngột mà trải qua khoảng tám ngày chuẩn bị. Dữ liệu trên chuỗi cho thấy địa chỉ ví của kẻ tấn công, HkGz4K…, được tạo vào ngày 24 tháng 3 năm 2026. Kẻ tấn công thu được nguồn vốn ban đầu thông qua hệ thống xuyên chuỗi NEAR Intents, rồi gửi một giao dịch kiểm thử trị giá nhỏ (khoảng 2,52 USD) đến Drift Vault để xác minh quyền kiểm soát hợp đồng. Cửa sổ tấn công chính thức mở vào 16:00 UTC ngày 1 tháng 4:
- Giao dịch đầu tiên rút khoảng 41,7 triệu token JLP (giá trị khoảng 155,6 triệu USD) từ kho Drift.
- Khoảng 11 giao dịch phối hợp tiếp theo được trích xuất lần lượt trong vòng 60 phút đối với các tài sản như USDC, SOL, cbBTC, wBTC, WETH, v.v., với tổng số tiền lên tới 285 triệu USD.
Về lộ trình kỹ thuật, kẻ tấn công không khai thác lỗ hổng trong mã hợp đồng thông minh, mà thực hiện lần lượt các thao tác sau bằng cách giành quyền quản trị của ví đa chữ ký: đúc token giả CVT → thao túng giá oracle → vô hiệu hóa mô-đun bảo mật → rút các tài sản có giá trị cao.
Lỗ hổng cốt lõi của cơ chế đa chữ ký và việc thiếu cơ chế khóa thời gian
Nguyên nhân trực tiếp của cuộc tấn công lần này là khiếm khuyết về bảo mật trong cấu hình quản lý đa chữ ký của giao thức Drift. Báo cáo tổng kết của tổ chức an ninh SlowMist (SlowMist) cho biết, khoảng một tuần trước khi cuộc tấn công xảy ra, Drift đã điều chỉnh cơ chế đa chữ ký sang chế độ “2/5” (1 người ký cũ cộng với 4 người ký mới), và không thiết lập bất kỳ cơ chế khóa thời gian (Timelock) nào.
Khóa thời gian là một cơ chế trì hoãn bắt buộc, yêu cầu mọi thay đổi cấu hình có đặc quyền sau khi thực hiện phải chờ thời gian 24–48 giờ mới có hiệu lực, từ đó tạo “khoảng đệm” phát hiện bất thường cho cộng đồng và các tổ chức an ninh. Việc thiếu khóa thời gian có nghĩa là một khi khóa cá nhân của người ký mới bị đánh cắp hoặc bị kiểm soát một cách độc hại, kẻ tấn công có thể ngay lập tức thực hiện các thao tác cấp quản trị. Kẻ tấn công sử dụng người ký gốc duy nhất trong đa chữ ký cũ cùng với một người ký mới được thêm vào để đồng ký, chuyển quyền quản trị sang địa chỉ do chúng kiểm soát, từ đó vượt qua toàn bộ lớp bảo vệ ở phía người dùng.
Logic rửa tiền qua chuyển chuỗi và chuyển đổi sang ETH
Sau khi đạt được thành công, kẻ tấn công khởi động quy trình xử lý tài sản:
- Chuyển xuyên chuỗi: thông qua các giao thức xuyên chuỗi như Wormhole để chuyển các tài sản đa loại trên chuỗi Solana sang mạng Ethereum.
- Đổi thống nhất: trên các sàn giao dịch phi tập trung ở Ethereum, đổi toàn bộ các tài sản như USDC, SOL, wBTC… sang ETH.
- Phân tán địa chỉ: khoảng 129.000 ETH (giá trị khoảng 278 triệu USD) được phân tán lưu trữ tại 4 địa chỉ Ethereum.
Luận điểm chọn ETH làm tài sản cuối cùng bao gồm: mạng Ethereum có tính thanh khoản cao nhất, thuận tiện cho việc nhanh chóng chuyển đổi thành tiền mặt; việc hợp nhất nhiều loại “tiền bẩn” thành một loại tài sản duy nhất có thể cắt đứt dấu vết truy vết trên chuỗi của nguồn tiền ban đầu; phân tán địa chỉ giúp giảm rủi ro bị đóng băng toàn bộ trên một địa chỉ duy nhất. Một phần USDC trên mạng Ethereum bị tổ chức phát hành Circle đóng băng, nhưng tỷ lệ so với tổng số tiền bị đánh cắp là rất thấp.
Tác động tới TVL của Drift Protocol và hệ sinh thái Solana
Tác động tài chính trực tiếp của sự kiện đối với Drift thể hiện qua dữ liệu TVL. Theo thống kê của DeFiLlama:
Thời điểm (UTC)
TVL (USD)
4/1 00:00
Khoảng 550 triệu
4/1 22:41
Khoảng 255 triệu
TVL giảm một nửa có nghĩa là quy mô của các bể thanh khoản bị thu hẹp, dẫn đến trượt giá (slippage) khi giao dịch tăng, hiệu quả sử dụng vốn giảm, từ đó nén quy mô giao dịch và doanh thu phí của giao thức. Xét từ góc độ vĩ mô hơn đối với hệ sinh thái Solana, đây là vụ việc an ninh DeFi có quy mô lớn nhất đối với hệ sinh thái này kể từ cuộc tấn công cây cầu Wormhole năm 2022 (258 triệu USD). Từ tháng 1 đến tháng 3 năm 2026, 15 giao thức DeFi đã mất tổng cộng khoảng 137 triệu USD; tổn thất của một lần sự kiện Drift xấp xỉ gấp đôi con số này, đồng thời còn vượt xa kỷ lục tổn thất một lần lớn nhất trước đó là 27,3 triệu USD.
Vai trò can thiệp của tổ chức phát hành stablecoin và vùng xám pháp lý về quản lý
Tốc độ phản hồi của tổ chức phát hành stablecoin Circle trong sự kiện đã khơi dậy thảo luận trong ngành. Sau khi cuộc tấn công xảy ra, một phần USDC trên mạng Ethereum đã bị Circle đóng băng, nhưng lượng lớn USDC được chuyển qua cầu xuyên chuỗi lại không bị chặn kịp thời vì không đi qua địa chỉ ủy thác trực tiếp do Circle nắm giữ. Thám tử on-chain ZachXBT đã đưa ra chỉ trích về điều này, cho rằng Circle có độ trễ trong cơ chế đóng băng đối với USDC xuyên chuỗi.
Tranh cãi này đã lộ ra một vùng xám về quản lý trong các sự kiện an ninh DeFi: nghĩa vụ can thiệp chủ động của tổ chức phát hành stablecoin trong môi trường xuyên chuỗi thiếu khung pháp lý rõ ràng và sự đồng thuận của ngành. Hiện tại, các tổ chức phát hành như Circle chỉ có thể đóng băng các USDC nằm trên blockchain gốc của họ (Ethereum) do địa chỉ được Circle ủy thác trực tiếp kiểm soát; đối với “USDC được cầu nối” được tạo thông qua các cầu nối xuyên chuỗi bên thứ ba như Wormhole hoặc các tài sản được bao bọc sau khi xuyên chuỗi, tổ chức phát hành không có quyền đóng băng trực tiếp. Vụ việc này có thể thúc đẩy các cơ quan quản lý đưa ra những yêu cầu cụ thể hơn đối với nghĩa vụ phản ứng rủi ro của tổ chức phát hành stablecoin.
Kết luận
Mâu thuẫn mang tính cấu trúc cốt lõi của sự kiện tấn công Drift nằm ở chỗ: về phía người dùng, các giao thức DeFi quảng bá rằng không cần tin cậy và không lưu ký, nhưng ở cấp quản trị lại thường giữ quyền quản trị tập trung cao (thường được gọi là “chìa khóa của Chúa”). Sau khi kẻ tấn công có quyền quản trị, chúng có thể thực hiện đồng thời ba thao tác rủi ro cao trong một giao dịch: tạo thị trường giả, thao túng giá oracle, và gỡ bỏ các hạn chế rút tiền, cho thấy giao thức thiếu cơ chế xác thực nhiều lớp, ngưỡng trễ thao tác và điều kiện kích hoạt kiểm soát rủi ro theo thời gian thực.
Cần lưu ý rằng trong phiên bản v1 của Drift năm 2022, giao thức đã từng mất 14,5 triệu USD do vấn đề quyền quản trị tương tự; nhóm đã bồi hoàn toàn bộ sau đó và công bố báo cáo tổng kết kỹ thuật. Bốn năm sau, vấn đề theo cùng mô hình lại tái diễn với quy mô lớn hơn, cho thấy dù có tổng kết và lặp cải tiến, rủi ro tập trung hóa quyền trong kiến trúc bảo mật lõi vẫn chưa được giải quyết căn bản.
FAQ
Hỏi: 2,85 trăm triệu USD bị đánh cắp từ Drift Protocol có thể được thu hồi không?
Tính đến ngày 2 tháng 4 năm 2026, số tiền bị đánh cắp đã được chuyển xuyên chuỗi sang mạng Ethereum, đổi sang ETH và phân tán lưu trữ tại 4 địa chỉ. Tỷ lệ thu hồi vốn tổng thể của các sự kiện an ninh DeFi năm 2026 dưới 7% (trong 137 triệu USD chỉ thu hồi được 9 triệu USD). Do kẻ tấn công sử dụng các lộ trình rửa tiền qua nhiều địa chỉ phân tán và xuyên chuỗi đã trưởng thành, tính khả thi của việc truy hồi kỹ thuật là cực thấp.
Hỏi: Cuộc tấn công lần này có ảnh hưởng đến mức độ an toàn của các giao thức DeFi khác trong hệ sinh thái Solana không?
Cuộc tấn công lần này xuất phát từ các lỗ hổng cụ thể của chính giao thức Drift trong cấu hình đa chữ ký và cơ chế khóa thời gian, chứ không phải là khiếm khuyết mang tính hệ thống của blockchain lớp nền Solana hay các tiêu chuẩn hợp đồng thông minh phổ quát. Tuy nhiên, sự kiện này sẽ khuếch đại đáng kể mức độ xem xét của các tổ chức kiểm toán và người dùng đối với cấu hình quyền quản trị của các giao thức DeFi khác trong hệ sinh thái Solana, và có thể dẫn tới việc phân bổ lại TVL giữa các giao thức trong ngắn hạn.
Hỏi: Nhà phát triển giao thức nên làm thế nào để ngăn chặn các cuộc tấn công quyền quản trị tương tự?
Các tiêu chuẩn bảo mật của ngành khuyến nghị gồm ba biện pháp cốt lõi: Thứ nhất, đặt ít nhất 24 giờ cơ chế khóa thời gian cho mọi thay đổi cấu hình liên quan đến cấu hình có quyền cao, đồng thời kèm theo giám sát và cảnh báo tự động; Thứ hai, sử dụng mô hình đa chữ ký với ngưỡng ít nhất 4/7 hoặc cao hơn; khóa cá nhân của người ký cần được lưu trữ trong mô-đun bảo mật phần cứng (HSM) và được cách ly vật lý; Thứ ba, triển khai mô-đun kiểm soát rủi ro theo thời gian thực trên chuỗi; khi một giao dịch đơn lẻ liên quan đến thao tác quản trị và số tiền vượt quá ngưỡng được đặt trước, hệ thống sẽ tự động kích hoạt việc trì hoãn thực thi và quy trình xác minh bởi cộng đồng.
