Vụ hack của Drift Protocol rút cạn $285M, gây ảnh hưởng nặng nề tới Solana DeFi

• Vụ khai thác (exploit) của Drift đã rút cạn $285M thông qua quyền kiểm soát quản trị (admin), khiến TVL sụt giảm, giá token lao dốc và mọi hoạt động bị đình trệ trên toàn hệ sinh thái Solana DeFi.

• Cuộc tấn công sử dụng thao túng oracle và cơ chế quản trị yếu kém để thổi phồng tài sản thế chấp (collateral) và rút nhanh các tài sản thực.

• Tiền được chuyển qua nhiều blockchain sang Ethereum, khiến việc khôi phục trở nên khó khăn khi các cuộc điều tra và nỗ lực thực thi pháp luật vẫn tiếp diễn.

Một vụ khai thác bất ngờ tại Drift Protocol vào ngày 1 tháng 4 năm 2026 đã xóa sổ khoảng $285 triệu và làm rung chuyển lĩnh vực Solana DeFi chỉ trong vài phút. Kẻ tấn công chiếm quyền kiểm soát quản trị (admin), rút cạn tiền trong các kho tiền (vault), và kích hoạt đợt sụt giảm mạnh về khối lượng giao dịch, open interest và tổng giá trị bị khóa (total value locked), buộc nhiều nền tảng phải tạm dừng hoạt động và đánh giá mức độ phơi nhiễm (exposure).

Khai thác kích hoạt đợt rút lui nhanh khỏi thị trường

Drift Protocol xác nhận cuộc tấn công ngay sau khi xuất hiện hoạt động bất thường trên chuỗi (on-chain). Nhóm nhanh chóng tạm dừng gửi tiền và rút tiền để kiểm soát sự cố. Tuy nhiên, thiệt hại đã lan rộng ra toàn bộ hệ sinh thái.

Trong vòng một giờ, tổng giá trị bị khóa của Drift (total value locked) giảm từ khoảng $550 triệu xuống dưới $300 triệu. Đồng thời, token DRIFT giảm hơn 40%. Hệ quả là các nhà giao dịch đã giảm hoạt động trên các nền tảng DeFi dựa trên Solana.

Một số giao thức liên quan phản ứng ngay lập tức. PiggyBank_fi đã bù khoảng $106.000 rủi ro (exposure) bằng quỹ nội bộ. Trong khi đó, Reflect Money tạm dừng đúc (minting) và hoàn mua (redemptions), còn Ranger Finance dừng các chức năng quan trọng do khả năng chịu lỗ.

Cuộc tấn công khai thác lỗ hổng quản trị và chênh lệch định giá

Những người điều tra sau đó đã mô tả chi tiết cách kẻ tấn công thực hiện khai thác. Theo dữ liệu on-chain, vụ xâm nhập kết hợp giữa một khóa quản trị (admin key) bị xâm phạm, thao túng định giá qua oracle và các cơ chế kiểm soát quản trị yếu.

Kẻ tấn công tạo ra một token có tên CarbonVote Token và thổi phồng giá trị của nó bằng giao dịch rửa (wash trading). Theo thời gian, các oracle giá bắt đầu ghi nhận định giá nhân tạo đó, coi như dữ liệu thị trường hợp pháp.

Vào ngày 1 tháng 4, kẻ tấn công niêm yết token trên Drift bằng đặc quyền quản trị. Sau đó, họ nâng giới hạn rút tiền và nạp tài sản thế chấp (collateral) đã bị thổi phồng. Điều này cho phép vay nhanh các tài sản thực.

Trong khoảng 12 phút, kẻ tấn công hoàn tất 31 lần rút tiền, rút cạn USDC, SOL và các tài sản khác. Đáng chú ý, hệ thống chỉ yêu cầu 2 trong số 5 người ký (signers) và thiếu cơ chế timelock.

Tiền được chuyển nhanh qua các chuỗi (chains)

Sau vụ khai thác, kẻ tấn công chuyển đổi tài sản thành USDC và chuyển tiền ra khỏi chuỗi (off-chain). Hồ sơ blockchain cho thấy các giao dịch chuyển sang Ethereum bằng Giao thức Chuyển Chuỗi chéo (Circle’s Cross-Chain Transfer Protocol).

Trên Ethereum, một phần tài sản được hoán đổi (swapped) sang ETH, trong khi phần khác được chuyển qua các sàn giao dịch (exchanges). Việc di chuyển này khiến công tác theo dõi và nỗ lực khôi phục trở nên phức tạp.

Trong khi đó, nhà điều tra ZachXBT đã chỉ trích phản hồi của Circle. Ông cho biết các giao dịch chuyển USDC quy mô lớn đã diễn ra trong khung giờ của Mỹ mà không bị đóng băng. Đội ngũ của Drift vẫn tiếp tục phối hợp với lực lượng thực thi pháp luật và các đối tác an ninh trong khi các cuộc điều tra tiếp diễn.