Vụ tấn công mạng trị giá 285 triệu đô la Mỹ vào Drift Protocol đã được lên kế hoạch trong sáu tháng, nhóm tin tặc Triều Tiên bị cáo buộc.

Ngày 1 tháng 4 năm 2026 khai thác of SolanaVụ tấn công Drift Protocol dựa trên nền tảng này, đã rút khoảng 285 triệu đô la từ nền tảng, không phải là một cuộc tấn công tự phát. Theo báo cáo sơ bộ của Drift, điều traĐây là kết quả của một chiến dịch tình báo có cấu trúc, bắt đầu ít nhất sáu tháng trước đó, được cho là do UNC4736, một nhóm đe dọa liên kết với nhà nước Triều Tiên, thực hiện với độ tin cậy trung bình đến cao. Nhóm này cũng được theo dõi với tên gọi AppleJeus hoặc Citrine Sleet.

Vụ tấn công giao thức Drift thực sự bắt đầu như thế nào?

Theo nhóm phát triển Drift Protocol, chiến dịch này bắt đầu tại một hội nghị tiền điện tử lớn vào mùa thu năm 2025, nơi các cá nhân tự xưng là công ty giao dịch định lượng đã tiếp cận những người đóng góp cho Drift. Những gì diễn ra sau đó không phải là một nỗ lực lừa đảo nhanh chóng. Đó là một chiến dịch xây dựng mối quan hệ có chủ đích, kéo dài nhiều tháng, được thực hiện thông qua nhiều cuộc gặp mặt trực tiếp, tại nhiều hội nghị ngành, ở nhiều quốc gia.

Nhóm này có kiến ​​thức chuyên môn vững chắc, kinh nghiệm chuyên môn được xác minh và hiểu biết chi tiết về cách thức hoạt động của Drift. Một nhóm Telegram đã được thiết lập sau cuộc họp đầu tiên, và các cuộc thảo luận chuyên sâu về chiến lược giao dịch và tích hợp kho tiền đã tiếp tục trong nhiều tháng. Nhóm của Drift nhận thấy rằng những tương tác này hoàn toàn phù hợp với cách thức các công ty giao dịch hợp pháp thường sử dụng giao thức này.

Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã thiết lập một Kho lưu trữ hệ sinh thái trên Drift. Quá trình này bao gồm việc gửi chi tiết chiến lược thông qua một mẫu đơn đăng ký chính thức, tham gia nhiều buổi làm việc với các cộng tác viên của Drift và gửi hơn 1 triệu đô la vốn tự có. Họ đã xây dựng một sự hiện diện hoạt động hiệu quả bên trong giao thức, một cách có chủ đích và kiên nhẫn.

Những tháng cuối cùng trước khi vụ tấn công xảy ra

Các cuộc đàm phán về việc tích hợp tiếp tục diễn ra trong suốt tháng Hai và tháng Ba năm 2026. Các cộng tác viên của Drift đã gặp gỡ lại các cá nhân từ nhóm này trực tiếp tại các sự kiện lớn trong ngành. Đến tháng Tư, mối quan hệ này đã kéo dài gần sáu tháng. Họ không phải là người xa lạ. Họ là những người mà nhóm của Drift đã từng làm việc cùng và gặp gỡ trực tiếp nhiều lần.

Trong suốt giai đoạn này, nhóm đã chia sẻ các liên kết đến các dự án, công cụ và ứng dụng mà họ tuyên bố đang phát triển. Việc chia sẻ các nguồn lực như vậy là thông lệ trong mối quan hệ giữa các công ty thương mại, và chính điều đó đã biến nó thành một cơ chế phân phối hiệu quả.

Các phương thức tấn công kỹ thuật là gì?

Sau vụ tấn công ngày 1 tháng 4, Drift đã tiến hành rà soát pháp y các thiết bị, tài khoản và lịch sử liên lạc bị ảnh hưởng. Các cuộc trò chuyện Telegram và phần mềm độc hại được nhóm này sử dụng đã bị xóa sạch hoàn toàn ngay khi cuộc tấn công xảy ra. Cuộc điều tra của Drift đã xác định ba phương thức xâm nhập khả dĩ:

• Một người đóng góp có thể đã bị lộ thông tin sau khi sao chép kho mã nguồn mà nhóm chia sẻ, được giới thiệu như một công cụ triển khai giao diện người dùng cho kho lưu trữ của họ.
• Một người đóng góp thứ hai đã bị dụ dỗ tải xuống ứng dụng TestFlight mà nhóm này mô tả là sản phẩm ví điện tử của họ. TestFlight là nền tảng của Apple để phân phối các phiên bản beta của ứng dụng iOS trước khi chúng được phát hành rộng rãi.
• Đối với phương thức tấn công dựa trên kho lưu trữ, cơ chế khả dĩ là một lỗ hổng đã biết trong các trình soạn thảo mã VSCode và Cursor mà các nhà nghiên cứu bảo mật đã tích cực cảnh báo từ tháng 12 năm 2025 đến tháng 2 năm 2026. Việc mở một tệp, thư mục hoặc kho lưu trữ trong trình soạn thảo bị ảnh hưởng là đủ để thực thi mã tùy ý một cách âm thầm, không có lời nhắc, cảnh báo, hộp thoại quyền hoặc bất kỳ dấu hiệu nào hiển thị cho người dùng.

Tại thời điểm công bố bài viết này, quá trình phân tích pháp y toàn diện đối với phần cứng bị ảnh hưởng vẫn đang được tiến hành.

Cuộc tấn công diễn ra nhanh đến mức nào?

Quá trình thiết lập có thể mất sáu tháng, nhưng việc thực thi lại diễn ra rất nhanh. Ngay sau khi bị chiếm quyền kiểm soát giao thức, tiền của người dùng thực đã bị rút sạch chỉ trong vòng chưa đầy 12 phút. Tổng giá trị bị khóa (TVL) của Drift đã giảm từ khoảng 550 triệu đô la xuống còn dưới 300 triệu đô la trong chưa đầy một giờ. Token DRIFT đã giảm hơn 40% trong sự cố này. Công ty bảo mật PeckShield đã xác nhận tổng thiệt hại vượt quá 285 triệu đô la, chiếm hơn 50% TVL của giao thức tại thời điểm đó.

Trong lúc hỗn loạn, nhóm của Drift đã đăng bài trên X để làm rõ rằng tình hình là có thật, viết: "Đây không phải là trò đùa Cá tháng Tư. Hãy thận trọng cho đến khi có thông báo tiếp theo." Tất cả các giao dịch gửi và rút tiền đều bị tạm dừng khi cuộc điều tra bắt đầu.

Khám phá những dự án đầy hứa hẹn...

Các dự án đầy hứa hẹn...

(Quảng cáo)

Bài viết còn tiếp tục...

285 triệu đô la đã đi đâu?

Sau khi khai thác lỗ hổng, kẻ tấn công đã nhanh chóng che giấu dấu vết nguồn tiền. Tài sản bị đánh cắp được chuyển đổi thành USDC và SOL, sau đó được chuyển từ Solana sang Ethereum bằng Giao thức Chuyển giao Chuỗi chéo (CCTP) của Circle. CCTP là cơ sở hạ tầng cầu nối gốc của Circle cho phép USDC di chuyển giữa các blockchain khác nhau mà không cần đóng gói. Trên Ethereum, số tiền được chuyển đổi thành ETH. Theo dõi trên chuỗi đã xác nhận kẻ tấn công cuối cùng đã tích lũy được 129,066 ETH, trị giá khoảng 273 triệu đô la vào thời điểm đó.

Kẻ tấn công cũng đã gửi SOL vào cả HyperLiquid và Binance, phân tán hoạt động trên nhiều nền tảng để làm phức tạp thêm nỗ lực truy tìm.

Liệu Circle đã phản hồi đủ nhanh chưa?

Chuyên gia điều tra trên chuỗi ZachXBT đã công khai chỉ trích Circle sau vụ tấn công, chỉ ra rằng một lượng lớn USDC bị đánh cắp đã được chuyển từ Solana sang Ethereum trong giờ làm việc của Mỹ mà không bị đóng băng. ZachXBT so sánh điều này với quyết định gần đây của Circle về việc đóng băng 16 ví nóng của các công ty không liên quan trong một vụ kiện dân sự kín tại Mỹ, lập luận rằng Circle có cả khả năng kỹ thuật và tiền lệ rõ ràng để can thiệp nhưng đã không hành động đủ nhanh để hạn chế thiệt hại.

Ai là người đứng sau vụ tấn công?

Với độ tin cậy trung bình đến cao, và được hỗ trợ bởi các cuộc điều tra do nhóm SEALS 911 thực hiện, cuộc điều tra của Drift cho rằng vụ tấn công này do cùng một nhóm tội phạm gây ra, tương tự như vụ tấn công mạng vào Radiant Capital hồi tháng 10 năm 2024. Vụ tấn công đó đã được Mandiant chính thức quy cho UNC4736, một nhóm có liên hệ với nhà nước Triều Tiên.

Cơ sở cho mối liên hệ này nằm cả trên chuỗi khối và trong hoạt động. Các dòng tiền được sử dụng để dàn dựng và thử nghiệm chiến dịch Drift có thể truy ngược lại các ví được liên kết với những kẻ tấn công Radiant. Ngoài ra, các danh tính được triển khai trong suốt chiến dịch Drift có sự trùng lặp rõ ràng với các mô hình hoạt động được biết là có liên quan đến CHDC Triều Tiên.

Một điểm cần làm rõ quan trọng từ nhóm của Drift: những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Ở cấp độ hoạt động này, các tác nhân đe dọa có liên hệ với CHDC Triều Tiên thường sử dụng các bên trung gian thứ ba để xử lý việc xây dựng mối quan hệ trực tiếp, giữ khoảng cách với các đặc vụ thực sự.

Mandiant đã chính thức được ủy nhiệm điều tra nhưng vẫn chưa đưa ra kết luận chính thức nào về nguồn gốc của lỗ hổng Drift. Việc xác định này cần hoàn tất quá trình phân tích pháp y thiết bị, và hiện tại quá trình này vẫn đang tiếp diễn.

Các biện pháp ứng phó hiện tại

Tính đến thời điểm bài viết này được đăng tải, Drift đã thực hiện các bước sau:

• Tất cả các chức năng giao thức còn lại đã bị đóng băng.
• Các ví bị xâm phạm đã được xóa khỏi hệ thống đa chữ ký.
• Các ví của kẻ tấn công đã bị gắn cờ trên nhiều sàn giao dịch và các nhà điều hành cầu nối.
• Mandiant đã được chỉ định làm đối tác pháp y chính.

Drift cho biết họ công khai những chi tiết này để các nhóm khác trong hệ sinh thái có thể hiểu rõ loại tấn công này trông như thế nào và có biện pháp tự bảo vệ phù hợp.

Kết luận

Vụ tấn công Drift Protocol không phải là câu chuyện về một lỗ hổng mã nguồn lọt qua khâu kiểm toán. Đó là câu chuyện về sự lừa dối tinh vi của con người. Những kẻ tấn công đã dành sáu tháng để xây dựng uy tín thông qua các cuộc gặp mặt trực tiếp, tích hợp hệ thống kho tiền hoạt động tốt và hơn 1 triệu đô la vốn tự có trước khi thực hiện vụ rút sạch 285 triệu đô la chỉ trong 12 phút.

 Các phương thức tấn công kỹ thuật, bao gồm kho mã độc và ứng dụng TestFlight giả mạo, đã phát huy hiệu quả chính xác là vì sự tin tưởng cần thiết để mở chúng đã được xây dựng một cách cẩn thận từ trước. 

Đối với các giao thức DeFi, bài học rất rõ ràng: bề mặt tấn công không chỉ giới hạn ở các hợp đồng thông minh. Nó bao gồm mọi thiết bị của người đóng góp, mọi kho lưu trữ của bên thứ ba và mọi mối quan hệ được xây dựng tại các hội nghị trong ngành. UNC4736 đã chứng minh điều này hai lần, lần đầu tại Radiant Capital vào tháng 10 năm 2024 và lần thứ hai tại Drift vào tháng 4 năm 2026, với cùng một phương pháp kiên nhẫn và được hỗ trợ bởi nguồn lực trong mỗi lần.

Trung Tâm Tài Liệu

1. Giao thức trôi dạt trên XBài đăng ngày 5 tháng 3

2. PeckShield trên X: Bài đăng (1-2 tháng 4)

3. Lookonchain trên X: Bài đăng (1-2 tháng 4)