Hợp đồng phái sinh nổi tiếng trên chuỗi Solana là Drift Protocol bị tin tặc tấn công vào ngày 1 tháng 4, gây thiệt hại khoảng 2.85 trăm triệu USD; lượng tiền gửi bị khóa trên nền tảng (TVL) đã giảm mạnh từ khoảng 5.5 trăm triệu USD trước sự cố xuống còn khoảng 2.3 trăm triệu USD sau sự cố. Nhóm Drift sau đó đã công bố báo cáo điều tra chi tiết, vạch rõ đây là một cuộc tấn công lừa đảo xã hội (social engineering) kéo dài 6 tháng và được hậu thuẫn bởi các nguồn lực cấp quốc gia.
6 tháng nằm vùng: Từ hội nghị tiền mã hóa đến kho mã nguồn
Theo điều tra của Drift, kẻ tấn công đã bắt đầu triển khai từ sớm vào mùa thu năm 2025. Chúng đóng vai là một công ty giao dịch định lượng hợp pháp, tiếp cận những người đóng góp của Drift tại nhiều hội nghị tiền mã hóa, từ đó thiết lập các mối quan hệ nghề nghiệp trông có vẻ chân thực. Trong suốt thời gian xâm nhập kéo dài 6 tháng, kẻ tấn công:
Thành lập nhóm Telegram, thảo luận chiến lược giao dịch với đội ngũ Drift
Dùng vốn thật (hơn 100 vạn USD) để xây dựng độ tin cậy trong Vault của hệ sinh thái
Tổ chức nhiều buổi họp công việc tại nhiều quốc gia
Cuối cùng, việc xâm nhập có thể được thực hiện thông qua hai kênh: một người đóng góp đã sao chép một kho mã nguồn có khả năng khai thác lỗ hổng đã biết của VSCode/Cursor; và người đóng góp còn lại đã tải xuống TestFlight App do kẻ tấn công cung cấp với danh nghĩa là một “sản phẩm ví” (wallet product).
Thủ thuật kỹ thuật: Dùng giao dịch đã ký trước Durable Nonce để vượt qua đa chữ ký
Về mặt kỹ thuật, kẻ tấn công đã sử dụng cơ chế tài khoản “Durable Nonce” trên Solana — một tính năng cho phép ký trước giao dịch và trì hoãn việc thực thi. Kẻ tấn công tận dụng điều này để chuẩn bị trước toàn bộ chữ ký của các giao dịch độc hại; sau khi đạt được đủ quyền hạn, chúng thực thi ngay lập tức, để lại cho bên phòng thủ rất ít thời gian phản ứng.
Kẻ tấn công nhanh chóng giành quyền quản lý từ ủy ban bảo mật của Drift, sau đó xóa sạch các tài sản liên quan. Về sau, Drift nhấn mạnh rằng tất cả các thành viên đa chữ ký đều dùng ví lạnh, nhưng vẫn không thể ngăn chặn cuộc tấn công, cho thấy rằng “khi cuộc tấn công nhắm khóa vào lớp con người (human layer), ngay cả khi kiểm soát phần cứng nghiêm ngặt cũng có thể bị vượt qua”.
Chỉ ra UNC4736 của Triều Tiên: Cùng một nhóm với cuộc tấn công vào Radiant Capital
Drift cho biết, với “mức độ tin cậy từ trung bình đến cao”, cuộc tấn công lần này được quy cho UNC4736 (còn được biết đến với tên Citrine Sleet, AppleJeus), một tổ chức tin tặc có liên hệ với chính phủ Triều Tiên. Kết quả điều tra chỉ ra rằng mô hình sự kiện trùng khớp cao với cuộc tấn công vào tháng 10 năm 2024 khiến Radiant Capital thiệt hại 5,800 vạn USD, và cho rằng đây xuất phát từ cùng một nhóm tác nhân.
Circle bị chỉ trích: Vì sao không thể đóng băng USDC bị đánh cắp ngay lập tức?
Sau cuộc tấn công, một trọng tâm tranh cãi khác là tốc độ phản ứng của Circle. Theo dữ liệu của PeckShield, kẻ tấn công đã đánh cắp khoảng 7,100 vạn USD USDC từ Drift, và sau khi chuyển đổi các tài sản bị đánh cắp khác sang USDC, đã dùng giao thức chuyển khoản xuyên chuỗi của Circle (CCTP) để “cầu nối” khoảng 2.32 trăm triệu USD USDC từ Solana sang Ethereum, khiến việc truy đòi trở nên khó khăn hơn đáng kể.
Nhà điều tra on-chain nổi tiếng ZachXBT đã phê bình Circle vì hành động quá chậm, đồng thời chỉ ra một sự tương phản mang tính mỉa mai: ngay trong cùng ngày kẻ tấn công thiết lập tài khoản Durable Nonce (ngày 23 tháng 3), Circle lại đóng băng 16 ví nóng dành cho giao dịch chỉ trong vài phút. Nguyên nhân được cho là do một vụ kiện dân sự tại Mỹ, nhưng trước một cuộc tấn công DeFi có quy mô vượt xa con số 9 chữ số, lại không có hành động nhanh tương đương.
Phản hồi của Circle là: “Circle là một công ty được quản lý, hoạt động phù hợp với các yêu cầu về biện pháp trừng phạt, lệnh thực thi của cơ quan chức năng và lệnh của tòa án. Trong trường hợp có yêu cầu pháp lý, chúng tôi đóng băng tài sản để tuân thủ nguyên tắc pháp quyền và để bảo vệ quyền cũng như quyền riêng tư của người dùng.” Tư vấn pháp lý của Plume thì kêu gọi cơ quan lập pháp thiết lập cơ chế “safe harbor”, cho phép nhà phát hành stablecoin đóng băng tài sản khi có cơ sở hợp lý để tin rằng tiền liên quan có thể vi phạm pháp luật, đồng thời được miễn trách nhiệm dân sự.
Cảnh báo đối với ngành DeFi
Thông báo của Drift đã thu hút sự quan tâm rộng rãi trong ngành. Cuộc tấn công này cho thấy rõ rằng các tổ chức tin tặc cấp quốc gia đang thực hiện hoạt động thu thập thông tin tình báo dựa trên con người (HUMINT) kéo dài hàng tháng đối với các giao thức DeFi, chứ không chỉ dựa vào lỗ hổng kỹ thuật. Những bài học quan trọng bao gồm: đừng sao chép kho mã nguồn bên ngoài lên các máy có khóa bí mật dùng cho vận hành hoặc thiết bị đa chữ ký; đừng cài đặt ứng dụng bên thứ ba; và đừng mở các liên kết không rõ nguồn gốc. Ngoài ra, việc tách biệt giữa thiết bị và quyền truy cập phải được thực hiện triệt để.
Bài viết Drift Protocol bị đánh cắp 2.85 trăm triệu USD: Tin tặc Triều Tiên chuẩn bị trong 6 tháng, dùng Durable Nonce để vượt qua đa chữ ký Xuất hiện sớm nhất trên Chain News ABMedia.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
