Sự kiện giao thức Drift

Vào đúng ngày 1 tháng 4 năm 2026 (Ngày Cá tháng Tư), một trong những giao thức giao dịch phái sinh lớn nhất trong hệ sinh thái Solana Drift Protocol đã hứng chịu một cuộc tấn công hack mang tính hủy diệt.

Do sự việc diễn ra vào Ngày Cá tháng Tư, ban đầu nhiều người dùng tưởng rằng chỉ là trò đùa, nhưng sau đó phía chính thức xác nhận đây là một vụ việc khai thác lỗ hổng thực sự và nghiêm trọng cực độ.

Dưới đây là phần tái hiện chi tiết về sự việc và các diễn biến hiện tại:

1. Dữ liệu cốt lõi của sự kiện

• Số tiền thiệt hại： khoảng 285 triệu USD（đây là vụ hack DeFi lớn nhất từ năm 2026 đến nay）。
• Mức giảm giá của token： token của giao thức $DRIFT đã giảm hơn 40% chỉ trong vài giờ sau khi thông tin được xác nhận, giá từng chạm khoảng $0.048.
• TVL bị rút đi： giá trị tổng bị khóa (TVL) của giao thức trong vòng chỉ 12 phút đã giảm từ khoảng 550 triệu USD xuống dưới 300 triệu USD.

2. Phân tích phương thức tấn công

Theo thông tin theo dõi ban đầu từ các tổ chức an ninh (như PeckShield và ZachXBT), đây không phải là một lỗ hổng mã nguồn đơn giản mà là một vụ việc cực kỳ phức tạp của chiếm quyền quản trị và manipulation oracle：

1. Rò rỉ quyền hạn： kẻ tấn công nghi ngờ đã lấy được khóa riêng của quản trị (Admin Key) của giao thức bằng các thủ đoạn kỹ thuật xã hội (social engineering).
2. Tạo tài sản giả： kẻ tấn công sử dụng quyền quản trị để niêm yết một token mới không có giá trị, đồng thời thủ công tắt chức năng “bảo vệ chống rút tiền” trong phần kiểm soát rủi ro.
3. Manipulate tài sản thế chấp： kẻ tấn công thao túng oracle để phóng đại vô hạn giá trị thế chấp của token giả đó.
4. Rút sạch kho quỹ： sử dụng các tài sản thế chấp giả này, kẻ tấn công đã tiến hành 31 lần rút số tiền lớn trong 12 phút, khiến kho quỹ bị rút cạn hoàn toàn các tài sản “tiền thật” như USDC, SOL, JLP, WBTC, v.v.

3. Dòng tiền

Sau khi đạt được mục tiêu, kẻ tấn công thể hiện năng lực chống bị truy ngược (anti-forensics) rất cao:

• Rửa tiền xuyên chuỗi： tiền nhanh chóng được chuyển qua giao thức CCTP của Circle và qua cầu liên chuỗi ChainFlip sang chuỗi Ethereum.
• Tài sản cuối cùng： hiện tại, kẻ tấn công đã đổi toàn bộ khoảng 285 triệu USD tiền gian lận thành 129,066 ETH (khoảng 278 triệu USD) và lưu trữ trong nhiều địa chỉ mới.

4. Phản ứng chính thức và các diễn biến tiếp theo

• Ngừng hoạt động： Drift chính thức đã khẩn cấp tạm dừng toàn bộ các chức năng giao dịch và gửi tiền, đồng thời kêu gọi người dùng** không tiếp tục nạp bất kỳ khoản tiền nào vào giao thức**.
• Nỗ lực thu hồi： đội ngũ đang phối hợp với các cơ quan thực thi pháp luật và các chuyên gia an ninh, đồng thời đã đưa ra “thưởng bạch mũ” (white-hat bounty) cho kẻ tấn công với hy vọng có thể đổi lấy việc hoàn trả một phần tài sản của người dùng thông qua tiền thưởng, nhưng hiện kẻ tấn công vẫn chưa có phản hồi.
• Phản ứng dây chuyền của thị trường： sự kiện này gây tổn hại nặng nề niềm tin của thị trường vào hệ sinh thái Solana DeFi, khiến SOL trong tuần này giảm hơn 11%, trở thành một trong những tài sản chính có hiệu suất kém nhất.

Khuyến nghị dành cho bạn

1. Kiểm tra ủy quyền： nếu bạn từng sử dụng Drift, hãy ngay lập tức vào mục “security settings” trong ví Solflare hoặc Phantom để thu hồi (Revoke) tất cả các ủy quyền đối với các hợp đồng liên quan đến Drift.
2. Cẩn trọng với lừa đảo： sau một cuộc tấn công lớn như vậy, trên các nền tảng mạng xã hội sẽ xuất hiện rất nhiều liên kết “nhận bồi thường” giả mạo danh nghĩa chính thức, tuyệt đối không bấm, hãy chỉ dựa vào tài khoản X (trước đây là Twitter) đã được xác thực chính thức.
3. Tránh rủi ro： do kẻ tấn công đang nắm giữ một lượng lớn ETH, trong ngắn hạn có thể tạo áp lực bán mạnh lên giá ETH; vì vậy, bạn nên theo dõi diễn biến của các địa chỉ liên quan.