Lỗ hổng Drift thúc đẩy tiếp cận trên chuỗi để $280M ăn cắp ETH sau cuộc tấn công Solana–Ethereum

Trong bối cảnh xảy ra một cuộc tấn công DeFi quy mô lớn, Drift Protocol đã bắt đầu tiếp cận trực tiếp về vụ khai thác (drift exploit) khi các nhà điều tra lần theo dòng tiền trên nhiều blockchain.

Drift nhắm tới các ví của hacker bằng tin nhắn on-chain

Vào ngày 3 tháng 4, Drift Protocol đã nâng mức phản hồi đối với vụ hack gần đây bằng cách gửi các tin nhắn on-chain tới bốn ví Ethereum nắm giữ phần lớn tài sản bị đánh cắp. Theo dữ liệu blockchain, các địa chỉ này cùng kiểm soát khoảng 129,000 ETH, gắn liền với một trong những vụ khai thác DeFi lớn nhất của năm 2026.

Vụ khai thác đã rút ước tính từ $270 triệu đến $285 triệu khỏi giao thức, làm gián đoạn nghiêm trọng tình hình giao dịch và thanh khoản. Tuy nhiên, nhóm hiện cho biết họ đã xác định được các bên quan trọng liên quan đến sự cố và đang kêu gọi công khai họ mở đối thoại thay vì tiếp tục im lặng.

Hoạt động tiếp cận được thực hiện từ một địa chỉ mà Drift kiểm soát, đã phát đi một tin nhắn tiêu chuẩn tới từng trong bốn ví mục tiêu. Hơn nữa, động thái này cho thấy giao thức sẵn sàng xem xét các giải pháp được đàm phán, một hướng đi mà các dự án crypto khác đã từng áp dụng trong những vụ trộm cắp quy mô lớn trước đó.

Nội dung tin nhắn kêu gọi giao tiếp qua chat Blockscan

Nội dung tin nhắn được viết ngắn gọn. Drift nói với những người sở hữu ví rằng họ “sẵn sàng để nói chuyện” và yêu cầu họ phản hồi bằng chat Blockscan, một công cụ liên lạc ngoài chuỗi được liên kết với các địa chỉ Ethereum. Điều này phản ánh các trường hợp trước đó, khi các dự án bị tấn công tìm cách mở một kênh liên lạc với hacker.

Trong lịch sử, những nỗ lực như vậy cho ra kết quả không đồng nhất. Ở một số vụ hack gây tiếng vang lớn, đối thoại dẫn đến việc thu hồi một phần hoặc thậm chí toàn bộ tài sản, đôi khi dưới nhãn “thỏa thuận white-hat”. Dù vậy, trong các tình huống khác, kẻ tấn công đã phớt lờ tin nhắn và tiếp tục chuyển tiền, khiến nạn nhân gần như không còn hy vọng được hoàn trả.

Trong trường hợp này, các nhóm an ninh và nhà cung cấp phân tích on-chain cũng đang xem xét liệu vụ trộm và các lần chuyển tiếp theo có cho thấy các mẫu hình gắn với tội phạm mạng có tổ chức hay không. Tuy nhiên, mọi khả năng quy kết danh tính vẫn chưa được xác nhận, và trọng tâm hiện tại là theo dõi các luồng giao dịch cũng như bảo toàn bằng chứng.

Cách cuộc tấn công vượt qua smart contract

Vụ khai thác drift nổi bật vì nó không dựa vào một lỗi smart contract truyền thống. Thay vào đó, nó khai thác một điểm yếu ở cấp hệ thống liên quan đến Solana durable nonces, một tính năng hợp pháp cho phép các nhà phát triển chuẩn bị và ký giao dịch trước để sau đó gửi lên.

Kẻ tấn công sử dụng các giao dịch đã được ký trước, được tạo ra từ vài tuần trước, rồi sau đó giành được quyền kiểm soát một phần đối với thiết lập quản trị multisig của giao thức. Với ảnh hưởng đó, chúng đã tắt hoặc vượt qua một số cơ chế kiểm soát rủi ro được thiết kế để bảo vệ tiền của người dùng. Do đó, một khi các biện pháp bảo vệ bị suy yếu, hacker có thể rút vốn từ nhiều vault chỉ trong thời gian ngắn liên tiếp.

Toàn bộ hoạt động diễn ra nhanh chóng, dẫn đến việc mất hơn một nửa tổng giá trị được khóa (TVL) của Drift Protocol. Hơn nữa, sự kiện này nhấn mạnh rằng thiết kế quản trị và quản lý khóa có thể quan trọng không kém mã smart contract trong việc bảo vệ các nền tảng DeFi.

Chuyển tiền xuyên chuỗi và sự tập trung ETH bị đánh cắp

Sau khi làm trống các vault, kẻ tấn công không để tài sản lại trên Solana. Thay vào đó, chúng dùng cơ sở hạ tầng xuyên chuỗi để chuyển số tiền sang Ethereum, chuyển đổi một phần lớn thành ETH. Dữ liệu on-chain, được làm nổi bật bởi các công ty phân tích như Arkham, cho thấy hiện khoảng 129,000 ETH đang được phân bổ trên bốn ví quan trọng.

Mẫu hình này phù hợp với một xu hướng rộng hơn, trong đó kẻ tấn công sử dụng các khoản tiền được bridge xuyên chuỗi để làm phức tạp việc theo dõi và thu hồi. Tuy nhiên, các động thái như vậy cũng tạo ra những điểm tập trung giá trị rất dễ bị nhìn thấy, có thể được theo dõi theo thời gian thực bởi các sàn giao dịch, cơ quan thực thi pháp luật và các nhà nghiên cứu độc lập.

Dù có theo dõi tích cực, vẫn có sự chỉ trích từ một số thành viên cộng đồng về những gì họ xem là phản hồi vận hành chậm. Cụ thể, người dùng đã đặt câu hỏi vì sao một số token hoặc vị thế không được đóng băng sớm hơn hoặc không được phòng vệ mạnh tay hơn ngay khi phát hiện hoạt động quản trị bất thường.

Nghi ngờ tội phạm có tổ chức và quá trình điều tra đang diễn ra

Một số người quan sát trong ngành đã suy đoán về khả năng có mối liên hệ giữa kẻ tấn công và các tổ chức tội phạm mạng đã biết, đặc biệt là khi xét đến mức độ tinh vi của việc chiếm quyền quản trị và kế hoạch giao dịch. Tuy nhiên, các tuyên bố công khai từ Drift và các nhóm an ninh bên ngoài nhấn mạnh rằng hiện chưa có sự quy kết chính xác.

Theo thông tin được cho là, cơ quan thực thi pháp luật và các nhóm phản ứng sự cố tư nhân đang phối hợp để lần theo dấu vết tin nhắn trên blockchain và các luồng ETH bị đánh cắp. Ngoài ra, các điều tra viên cũng đang xem xét hoạt động lịch sử trên các ví bị ảnh hưởng để xem liệu các giao dịch cũ có liên kết với các thực thể từng bị gắn cờ trước đó hay không.

Trong lúc này, Drift cam kết sẽ công bố thêm thông tin sau khi hoàn tất các đợt kiểm toán độc lập và rà soát pháp y. Các kênh truyền thông xã hội của giao thức, bao gồm tài khoản chính thức X, đã được dùng để tổng hợp các cập nhật và trích dẫn các giao dịch on-chain quan trọng cho cộng đồng.

Tác động đến Drift, token DRIFT và thanh khoản DeFi

Hậu quả không chỉ dừng lại ở những khoản lỗ ngay lập tức của giao thức. Dữ liệu gần đây cho thấy gần 20 dự án DeFi có liên kết với nhau đã chịu tác động dây chuyền từ sự cố. Một số giao thức tạm thời tạm dừng dịch vụ hoặc hạn chế một số hoạt động để ngăn ngừa nguy cơ lây lan và quản lý tác động tới thanh khoản defi.

Token DRIFT gốc đã phản ứng mạnh, ghi nhận mức giảm dốc khi tin tức về vụ khai thác và việc bị thỏa hiệp quản trị lan truyền. Niềm tin thị trường vào đòn bẩy và các sản phẩm phái sinh trên Solana cũng bị ảnh hưởng, phản ánh các đánh giá rủi ro rộng hơn của cả nhà giao dịch chuyên nghiệp lẫn bán lẻ.

Tuy nhiên, điều quan trọng là cần lưu ý rằng lớp nền của Solana vẫn tiếp tục hoạt động bình thường. Vụ xâm phạm xảy ra ở cấp ứng dụng và quản trị, chứ không phải do lỗi đồng thuận hay sự cố của giao thức. Sự phân biệt này có ý nghĩa đối với nhận thức hệ sinh thái dài hạn và đối với nhà đầu tư khi đánh giá rủi ro của smart contract.

Bài học cho thiết kế quản trị và an ninh

Cuộc tấn công cho thấy ngay cả mã đã được rà soát kỹ vẫn có thể bị suy yếu bởi những điểm yếu trong cấu trúc quản trị, việc chia sẻ khóa và quy trình vận hành. Trong trường hợp này, việc thỏa hiệp quản trị multisig một phần đã cho phép kẻ tấn công biến những giao dịch đã ký trước đó và các tính năng hợp pháp của giao thức thành vũ khí.

Các chuyên gia an ninh cho rằng các chính sách luân chuyển khóa chặt chẽ hơn, cơ chế kiểm soát truy cập nghiêm hơn và giám sát theo thời gian thực các hành động quản trị có thể đã giới hạn mức độ thiệt hại. Hơn nữa, các kịch bản ứng phó sự cố rõ ràng hơn và các cơ chế ngắt mạch tự động có thể giúp các giao thức phản ứng nhanh hơn khi xảy ra những thay đổi bất thường về quyền hạn hoặc hành vi của vault.

Khi cuộc điều tra về vụ khai thác của Drift Protocol tiếp tục, vụ việc có khả năng trở thành một mốc tham chiếu cho các khung quản trị rủi ro và các đợt rà soát an ninh trên toàn bộ DeFi. Tóm lại, sự cố này nhấn mạnh rằng chỉ kiểm toán mã là chưa đủ; quản trị bền vững, quản lý khóa và giám sát xuyên chuỗi là điều thiết yếu để ngăn những khoản lỗ quy mô lớn tương tự.