Điều Gì Đã Xảy Ra, Ai Mất Tiền và Điều Gì Tiếp Theo – Tin Tức Bitcoin Nổi Bật

Nhóm Lazarus của DPRK bị nghi ngờ trong vụ trộm 286 triệu USD từ Drift Protocol trên Solana

Drift Protocol, sàn giao dịch tương lai vĩnh cửu phi tập trung lớn nhất trên mạng Solana, đã xác nhận vụ tấn công sau khi chứng kiến tổng giá trị bị khóa (TVL) sụp đổ từ khoảng 550 triệu USD xuống dưới 250 triệu USD chỉ trong một buổi sáng, hiện đang ở mức 232 triệu USD. Bitcoin.com News là người đầu tiên đưa tin về vấn đề này. Token DRIFT đã giảm tới 37%–42% trong những giờ tiếp theo, chạm đáy gần mức 0,04 USD đến 0,05 USD.

Các báo cáo lưu ý rằng cuộc tấn công bắt đầu không phải từ lỗi mã mà từ một giao dịch rút tiền Tornado Cash. Vào ngày 11 tháng 3, kẻ tấn công đã rút ETH từ giao thức bảo mật dựa trên Ethereum blockchain và sử dụng số tiền đó để triển khai token carbonvote, hay CVT, vào ngày 12 tháng 3. Các nhà phân tích blockchain lưu ý rằng dấu thời gian triển khai tương ứng với khoảng 09:00 giờ Bình Nhưỡng, một chi tiết đã ngay lập tức gây chú ý.

Một số báo cáo chi tiết rằng trong ba tuần tiếp theo, kẻ tấn công đã tạo thanh khoản tối thiểu cho CVT trên sàn giao dịch phi tập trung Raydium và sử dụng giao dịch rửa tiền để duy trì giá gần 1,00 USD. Các oracle của Drift đã đọc mức giá đó là hợp pháp. Kẻ tấn công đã xây dựng tài sản thế chấp giả trông có vẻ thật đối với mọi hệ thống tự động theo dõi nó.

"Sáng nay, một kẻ độc hại đã có được quyền truy cập trái phép vào Drift Protocol thông qua một cuộc tấn công mới liên quan đến durable nonces, dẫn đến việc chiếm quyền quản trị của Hội đồng Bảo mật Drift một cách nhanh chóng," nhóm Drift viết.

Tài khoản X của dự án cho biết thêm:

Rõ ràng, giữa ngày 23 tháng 3 và ngày 30 tháng 3, kẻ tấn công Drift đã chuyển sang tầng con người. Sử dụng một tính năng hợp pháp của Solana có tên là durable nonces, kẻ tấn công được cho là đã thuyết phục các thành viên của multisig Hội đồng Bảo mật Drift ký trước các giao dịch có vẻ thông thường. Những chữ ký đó đã trở thành khóa truy cập được phê duyệt trước, được giữ dự phòng cho đến khi kẻ tấn công sẵn sàng.

Lỗ hổng đã đóng lại vào ngày 27 tháng 3, khi Drift di chuyển Hội đồng Bảo mật của mình sang ngưỡng chữ ký 2/5 và loại bỏ hoàn toàn timelock của nó. Một timelock thường buộc phải trì hoãn 24 đến 72 giờ đối với các hành động quản trị, cho cộng đồng thời gian để phát hiện và đảo ngược bất cứ điều gì đáng ngờ. Không có nó, kẻ tấn công đã có quyền thực thi không cần trì hoãn. Các giao dịch được ký trước đã hoạt động ngay khi timelock biến mất.

Vào ngày 1 tháng 4, kẻ tấn công đã kích hoạt các giao dịch đó, liệt kê CVT là tài sản thế chấp hợp lệ, tăng giới hạn rút tiền và nạp hàng trăm triệu token CVT mà hệ thống kiểm soát rủi ro theo thời gian thực của Drift đã phát hành tài sản thực. Giao thức đã bàn giao hàng triệu token JLP, hàng triệu USDC, hàng triệu SOL và số lượng nhỏ hơn của wrapped bitcoin và ethereum. Ba mươi mốt giao dịch rút tiền đã được xử lý trong khoảng 12 phút.

Kẻ tấn công đã chuyển đổi các token bị đánh cắp sang USDC bằng Jupiter, chuyển sang Ethereum blockchain và hoán đổi thành hàng chục nghìn ETH. Một số tiền đã được chuyển qua Hyperliquid, và một phần chuyển trực tiếp đến Binance. Vào ngày 3 tháng 4, Drift đã gửi một tin nhắn trên chuỗi từ một địa chỉ Ethereum tới bốn ví do hacker kiểm soát. Ấn phẩm cryptonomist.ch báo cáo rằng tin nhắn như sau:

Các công ty bảo mật Elliptic và TRM Labs đã quy kết cuộc tấn công cho các tác nhân đe dọa liên kết với DPRK, trích dẫn nguồn gốc Tornado Cash, chữ ký triển khai theo giờ Bình Nhưỡng, trọng tâm kỹ thuật xã hội và tốc độ rửa tiền sau hack. Lazarus Group đã sử dụng cùng một phương pháp kiên nhẫn và nhắm mục tiêu con người trong vụ hack cầu Ronin năm 2022. Chính phủ Hoa Kỳ đã liên kết những vụ trộm này với việc tài trợ chương trình vũ khí của Triều Tiên, và Elliptic đã theo dõi hơn 300 triệu USD bị đánh cắp chỉ trong quý đầu tiên của năm 2026.

Sự lây lan đã lan sang hơn 20 giao thức. Prime Numbers Fi báo cáo thiệt hại hàng triệu. Carrot Protocol đã tạm dừng các chức năng mint và redeem sau khi 50% TVL của nó bị ảnh hưởng. Pyra Protocol đã vô hiệu hóa hoàn toàn việc rút tiền, khiến tất cả tiền của người dùng không thể truy cập được. Piggybank mất 106,000 USD và đã hoàn trả cho người dùng từ kho bạc của nhóm mình.

DeFi Development Corp., một công ty niêm yết trên Nasdaq với chiến lược kho bạc Solana, đã xác nhận vào ngày 1 tháng 4 rằng họ không có rủi ro với Drift. Khung kiểm soát rủi ro theo thời gian thực của nó đã loại trừ hoàn toàn giao thức. Sự thật đó đã thu hút nhiều sự chú ý hơn những gì công ty có thể dự định.

Sự cố Drift đã tạo ra một bài học rõ ràng mà hầu hết ngành đã biết nhưng chưa áp dụng đầy đủ: timelock không phải là tùy chọn. Việc loại bỏ biện pháp bảo vệ duy nhất đó vào ngày 27 tháng 3 đã chuyển một cuộc tấn công phức tạp kéo dài nhiều tuần thành một vụ rút tiền 12 phút. Quản trị giao thức không có cơ chế trì hoãn là quản trị với cánh cửa mở.

48 giờ tiếp theo sau cuộc tấn công DeFi được mô tả là rất quan trọng đối với khả năng giữ lại lòng tin của người dùng và lập kế hoạch phục hồi của Drift. Tính đến ngày 3 tháng 4, chưa có kế hoạch hoàn trả toàn diện nào được công bố.

FAQ 🔎

• Điều gì đã xảy ra với Drift Protocol? Kẻ tấn công đã rút cạn 286 triệu USD từ Drift Protocol vào ngày 1 tháng 4 năm 2026, sử dụng tài sản thế chấp giả và các giao dịch quản trị được ký trước để làm trống các kho chính của giao thức trong 12 phút.
• Ai chịu trách nhiệm cho vụ hack Drift Protocol? Các công ty bảo mật, bao gồm Elliptic và TRM Labs, đã quy kết cuộc tấn công cho các tác nhân đe dọa liên kết với DPRK, trích dẫn các mẫu rửa tiền và dấu thời gian trên chuỗi phù hợp với kỹ thuật của Lazarus Group.
• Tiền của tôi có an toàn trên Drift Protocol không? Drift đã tạm ngưng tất cả nạp và rút tiền sau cuộc tấn công; người dùng trong các giao thức bị ảnh hưởng như Pyra và Carrot vẫn không thể truy cập tiền tính đến ngày 3 tháng 4 năm 2026.
• Cuộc tấn công durable nonce trong Solana DeFi là gì? Cuộc tấn công durable nonce sử dụng một tính năng hợp pháp của Solana để ký trước các giao dịch trông thông thường, giữ chúng như khóa ủy quyền trực tiếp cho đến khi kẻ tấn công chọn thực thi chúng.