Sự kiện Drift Protocol mất 280 triệu USD đầu tháng 4/2026 không đơn thuần là một vụ hack kỹ thuật. Báo cáo điều tra mới tiết lộ một kịch bản tấn công phức tạp, kết hợp giữa kỹ thuật xã hội và lỗ hổng phần mềm, được thực hiện bởi những tổ chức có chủ đích rõ ràng.
Tóm tắt nhanh
- Vụ việc là kết quả của một chiến dịch xâm nhập kéo dài 6 tháng, bắt đầu từ việc tiếp cận và xây dựng niềm tin với đội ngũ dự án.
- Hacker không khai thác lỗ hổng smart contract mà lợi dụng cơ chế 'durable nonce' của Solana và thuyết phục ký trước các giao dịch quản trị.
- Phương thức và dấu vết on-chain cho thấy sự liên hệ mạnh mẽ với các nhóm hacker nhà nước Triều Tiên, như nhóm đứng sau vụ Radiant Capital năm 2024.
Vào đầu tháng 4/2026, sàn giao dịch phái sinh phi tập trung Drift Protocol trên Solana đã hứng chịu một vụ tấn công làm thất thoát khoảng 280 triệu USD. Khác với các vụ hack DeFi thông thường, đây là kết quả của một chiến dịch xâm nhập có chủ đích, được lên kế hoạch và thực hiện trong suốt 6 tháng.
Nhóm tấn công đã ngụy trang thành một công ty giao dịch định lượng, chủ động tiếp cận và xây dựng mối quan hệ đối tác với các contributor của Drift tại nhiều hội nghị crypto. Sau khi được tin tưởng và triển khai một vault trên giao thức, họ đã tìm cách cài đặt mã độc vào hệ thống của nạn nhân.
Nội dung chính
Quá trình xâm nhập có thể xảy ra qua hai kịch bản chính. Một là thông qua việc một contributor clone một repository độc hại được cung cấp để phát triển frontend. Hai là bị thuyết phục cài đặt một ứng dụng ví giả mạo thông qua nền tảng TestFlight của Apple. Cả hai đều lợi dụng lỗ hổng trong các công cụ phát triển phần mềm phổ biến thời điểm đó.
Sau khi chiếm được quyền truy cập, hacker không tấn công trực tiếp vào hợp đồng thông minh. Thay vào đó, họ sử dụng kỹ thuật social engineering để thuyết phục các thành viên multisig ký trước các giao dịch quản trị, lợi dụng cơ chế 'durable nonce' của Solana. Khi đã thu thập đủ chữ ký, họ kích hoạt các giao dịch này để chiếm quyền điều khiển Security Council và rút sạch tài sản chỉ trong vòng 12 phút.
Góc nhìn VNCOIN.NET
Sự kiện này là một hồi chuông cảnh tỉnh mạnh mẽ về an ninh phi kỹ thuật trong crypto. Các dự án không chỉ cần audit code mà phải siết chặt quy trình xác minh đối tác và nâng cao cảnh giác với mọi hình thức tiếp cận. Độc giả nên theo dõi các báo cáo về phương thức hoạt động mới của các nhóm APT (Advanced Persistent Threat) như Lazarus. Một điểm cần thận trọng: các cuộc tấn công tinh vi này thường nhắm vào cá nhân trong đội ngũ phát triển thông qua các kênh xã hội và sự kiện, biến họ thành điểm yếu nhất trong hệ thống bảo mật.
Nguồn tham khảo: Coin68 | Biên tập và tối ưu bởi VNCOIN.NET