Vụ hack Drift Protocol khiến mất 285 triệu đô la: Điều gì đã xảy ra và chuyện gì sẽ xảy ra tiếp theo

Vào ngày 1 tháng 4 năm 2026, giao thức Drift Protocol dựa trên Solana đã bị tấn công và mất khoảng 285 triệu đô la, trở thành vụ hack DeFi lớn nhất năm tính đến thời điểm đó. Kẻ tấn công đã sử dụng một kế hoạch kéo dài nhiều tuần bao gồm token giả mạo, thao túng nguồn cấp dữ liệu giá và các giao dịch được ký trước để chiếm quyền kiểm soát quản trị của giao thức, sau đó rút sạch tiền thật của người dùng chỉ trong vòng chưa đầy 12 phút.

Điều gì đã xảy ra với giao thức Drift vào ngày 1 tháng 4?

Cuộc tấn công không phải là bất ngờ. Theo nhóm Drift Protocol, đó là kết quả của nhiều ngày chuẩn bị mà chỉ được phát hiện khi thiệt hại đã xảy ra.

Tổng giá trị bị khóa (TVL) của Drift đã giảm từ khoảng 550 triệu đô la xuống còn dưới mức đó. $ 300 triệu Chỉ trong chưa đầy một giờ. Token DRIFT đã giảm hơn 40% trong sự cố này. Theo công ty bảo mật PeckShield. xác nhận Khoản lỗ vượt quá 285 triệu đô la, chiếm hơn 50% tổng giá trị tổn thất (TVL) của giao thức vào thời điểm đó.

Thời điểm đăng tải thông tin gây ra sự nhầm lẫn ngay lập tức. Nhóm của Drift đã đăng bài trên X để làm rõ rằng tình huống này là có thật, viết: "Đây không phải là trò đùa Cá tháng Tư. Hãy thận trọng cho đến khi có thông báo tiếp theo."

Quy trình đã tạm ngừng tất cả các giao dịch gửi và rút tiền khi cuộc điều tra bắt đầu.

Kẻ tấn công đã chuẩn bị lỗ hổng bảo mật như thế nào trước đó vài ngày?

Theo các báo cáo, kẻ tấn công đã dành ít nhất 9 ngày để chuẩn bị các điều kiện trước khi thực hiện vụ trộm.

Mã thông báo giả và bẫy Oracle

Kẻ tấn công đã tạo ra một mã thông báo có tên là Mã thông báo CarbonVote (CVT)Họ đã tạo ra khoảng 750 triệu đơn vị. Họ đã bơm 500 đô la vào một bể thanh khoản trên Raydium và sử dụng giao dịch giả mạo (mua và bán token giữa các ví của chính họ) để tạo ra lịch sử giá giả gần 1 đô la. Theo thời gian, các oracle giá trên chuỗi đã nắm bắt được mức giá giả tạo này và coi CVT là một tài sản hợp pháp có giá trị khoảng 1 đô la mỗi token.

Oracle là một dịch vụ cung cấp dữ liệu giá từ bên ngoài cho hợp đồng thông minh. Khi oracle nhận được dữ liệu đã bị thao túng, hợp đồng thông minh không có cách nào biết được giá đó là giả.

Cuộc tấn công Nonce bền bỉ

Ngoài ra, kẻ tấn công đã sử dụng một tính năng của Solana gọi là nonce bền vững để ký trước các giao dịch và trì hoãn việc thực thi chúng. Nonce bền vững thay thế cơ chế hết hạn giao dịch thông thường, cho phép một giao dịch đã ký được giữ lại và gửi đi vào bất kỳ thời điểm nào trong tương lai.

Khám phá những dự án đầy hứa hẹn...

Các dự án đầy hứa hẹn...

(Quảng cáo)

Bài viết còn tiếp tục...

Dòng thời gian:

• Tháng 23: Bốn tài khoản nonce bền vững đã được tạo. Hai tài khoản được liên kết với các thành viên multisig thực sự của Drift Security Council. Hai tài khoản còn lại do kẻ tấn công kiểm soát.
• Tháng 27: Drift đã chuyển đổi Hội đồng An ninh của mình do thay đổi thành viên theo kế hoạch. Kẻ tấn công cũng đã có được quyền truy cập vào hai người ký trong chữ ký đa chữ ký được cập nhật.
• Tháng 30: Một tài khoản nonce bền vững mới đã được tạo cho một thành viên của nhóm chữ ký đa chữ ký đã được cập nhật.
• Tháng Tư 1: Kẻ tấn công đã thực hiện hai giao dịch nonce bền vững được ký trước, cách nhau bốn vị trí, hoàn tất một giao dịch chuyển quyền quản trị giúp chúng giành được quyền kiểm soát ở cấp độ giao thức.

Sau khi giành được quyền truy cập quản trị, kẻ tấn công đã niêm yết CVT như một thị trường hợp lệ trên Drift, loại bỏ tất cả các giới hạn rút tiền, gửi hàng trăm triệu token CVT làm tài sản thế chấp, và sau đó thực hiện 31 lần rút tiền nhanh chóng, rút ​​cạn các tài sản thực, bao gồm USDC, JLP, SOL, BTC được đóng gói, Jito (JTO) và memecoin Fartcoin (FRT), trong khoảng 12 phút.

Drift xác nhận cuộc tấn công không phải do lỗi trong hợp đồng thông minh hay bất kỳ cụm từ hạt giống nào bị xâm phạm. Thay vào đó, nó liên quan đến "các phê duyệt giao dịch trái phép hoặc sai lệch được thực hiện trước khi thi hành".

Các cuộc kiểm toán bảo mật của Trail of Bits năm 2022 và ClawSecure vào tháng 2 năm 2026 đã xác nhận Drift không gặp vấn đề gì, nhưng cả hai cuộc kiểm tra đều không phát hiện ra việc giới thiệu CVT ra thị trường hoặc những thay đổi về quản trị đã tạo điều kiện cho cuộc tấn công này xảy ra.

Số tiền bị đánh cắp đã đi đâu?

Sau khi khai thác lỗ hổng, kẻ tấn công nhanh chóng xóa dấu vết.

Tài sản bị đánh cắp đã được chuyển đổi thành USDC và SOL, sau đó được chuyển từ Solana sang Ethereum bằng Giao thức chuyển giao chuỗi chéo (CCTP) của Circle. Trên Ethereum, kẻ tấn công đã chuyển đổi số tiền này thành ETH. Theo dõi trên chuỗi, kẻ tấn công cuối cùng đã tích lũy được 129,066 ETH, trị giá khoảng... $ 273 triệu tại thời điểm.

Kẻ tấn công cũng đã gửi SOL vào cả HyperLiquid và Binance, làm phức tạp thêm nỗ lực truy tìm nguồn gốc trên nhiều nền tảng và ví khác nhau.

Liệu Circle đã làm đủ để ngăn chặn vụ trộm?

Điều tra viên trực tuyến ZachXBT bị chỉ trích công khai Circle đã tập trung phân tích vụ việc sau khi phát hiện lỗ hổng, chỉ ra rằng một lượng lớn USDC bị đánh cắp đã được chuyển từ Solana sang Ethereum trong giờ làm việc của Mỹ mà không bị đóng băng.

ZachXBT đã so sánh phản hồi này với quyết định gần đây của Circle về việc đóng băng 16 ví nóng doanh nghiệp không liên quan trong một vụ kiện dân sự kín tại Mỹ, lập luận rằng Circle có cả khả năng và tiền lệ để can thiệp nhưng đã không hành động đủ nhanh để hạn chế thiệt hại.

Những giao thức nào khác bị ảnh hưởng ngoài hiện tượng trôi dạt?

Hậu quả lan rộng khắp hệ sinh thái DeFi của Solana. Một số nền tảng kết nối với thanh khoản Drift đã tạm ngừng hoạt động hoặc báo cáo thua lỗ:

• PiggyBank_fi báo cáo mức độ rủi ro khoảng 106,000 đô la thông qua các chiến lược trung lập về delta và trực tiếp chi trả cho người dùng bằng quỹ của nhóm.
• Reflect Money đã tạm ngừng phát hành và quy đổi USDC+ và USDT+.
• Công ty Ranger Finance đã tạm ngừng các giao dịch gửi và rút RGUSD, với ước tính mức độ rủi ro vượt quá 900,000 đô la.
• Project0 đã ngừng vay mượn dựa trên các vị thế của Drift như một biện pháp phòng ngừa.
• TradeNeutral, GetPyra, xPlace, Uselulo và Elemental DeFi đều tạm ngừng các tính năng chính hoặc báo cáo mức độ tiếp xúc hạn chế.
• Sàn giao dịch Jupiter Exchange xác nhận rằng nhóm JLP của họ vẫn được hỗ trợ đầy đủ.

Điều gì sẽ xảy ra tiếp theo với Drift?

Drift đang phối hợp với nhiều công ty bảo mật, sàn giao dịch, cầu nối và cơ quan thực thi pháp luật để truy tìm và thu hồi tài sản bị đánh cắp. Hệ thống đa chữ ký đã được cập nhật để loại bỏ ví bị xâm phạm. Tất cả các chức năng giao thức còn lại vẫn bị đóng băng.

Theo Immunefi Giám đốc điều hành Mitchell AmadorTác động đến giá token thường kéo dài hơn cả thời gian diễn ra vụ tấn công. Dữ liệu của Immunefi cho thấy 83% token gốc từ các giao thức bị tấn công không bao giờ phục hồi về mức giá trước khi bị tấn công.

Dự kiến ​​Drift sẽ công bố bản báo cáo phân tích chi tiết trong những ngày tới.

Trung Tâm Tài Liệu

1. PeckShield trên X: Bài đăng (1-2 tháng 4)

2. Lookonchain trên X: Bài đăng (1-2 tháng 4)

3. Giao thức trôi dạt trên X: Bài đăng (1-2 tháng 4)

4. Mitchell Amador trên XBài đăng ngày 25 tháng 3