Vào ngày 01 tháng 04 năm 2026, lúc 16:00 (UTC), tổng tài sản trong kho bạc của Drift Protocol đạt mức 309 triệu USD. Chỉ một giờ sau, con số này chỉ còn lại 41 triệu USD. Đây không phải là một trò đùa ngày Cá tháng Tư—nhóm Drift đã phải lên tiếng xác nhận trên X rằng "đây không phải là trò đùa ngày Cá tháng Tư". Kẻ tấn công đã rút khoảng 285 triệu USD tài sản số khỏi giao thức, biến đây thành vụ tấn công DeFi lớn nhất năm 2026 cho đến nay, đồng thời là sự cố an ninh nghiêm trọng nhất trong hệ sinh thái Solana kể từ vụ hack cầu nối Wormhole trị giá 325 triệu USD năm 2022.
Đây không phải là một cuộc tấn công vay nhanh (flash loan) hay khai thác lỗ hổng mã hợp đồng thông minh. Thay vào đó, kẻ tấn công đã kết hợp một phương thức tấn công ít được nhắc tới—chữ ký trước với durable nonce—cùng với lỗ hổng quản trị multisig, chỉ cần 500 USD để mở khóa 285 triệu USD tài sản. Bài viết này sẽ phân tích toàn diện sự kiện, bao gồm dòng thời gian, phân tích kỹ thuật, dữ liệu chi tiết, các tranh cãi và tác động đến ngành.
Từ 309 Triệu USD Còn Lại 41 Triệu USD Trong Một Giờ
Vào ngày 01 tháng 04 năm 2026, các công ty giám sát blockchain Lookonchain và PeckShield đồng thời phát hiện hoạt động bất thường: một ví có địa chỉ "HkGz4K", được tạo chỉ tám ngày trước đó, bắt đầu chuyển tài sản với tốc độ cao từ nhiều kho bạc cốt lõi của Drift. Giao dịch đầu tiên liên quan đến 41,7 triệu token JLP, trị giá khoảng 155,6 triệu USD. Trong vòng khoảng 12 phút và 31 giao dịch, kẻ tấn công đã rút sạch tài sản, bao gồm USDC, SOL, cbBTC, wBTC, WETH, token thanh khoản và cả meme coin Fartcoin.
Chỉ trong vòng một giờ sau khi bị tấn công, tài sản kho bạc của Drift giảm mạnh từ khoảng 309 triệu USD xuống còn 41 triệu USD. PeckShield và Arkham Intelligence xác nhận độc lập khoản thiệt hại khoảng 285 triệu USD. Nhà sáng lập SlowMist, Cosine, ước tính thiệt hại vượt 200 triệu USD. Trong số tài sản bị đánh cắp, token JLP chiếm khoảng 155,6 triệu USD, USDC khoảng 60 triệu USD, còn lại là SOL, cbBTC, wBTC và nhiều token thanh khoản khác.
Một Kế Hoạch Được Chuẩn Bị Kỹ Lưỡng Trong Ba Tuần
Cuộc tấn công này không phải là hành động bộc phát mà là một chiến dịch nhiều giai đoạn được lên kế hoạch tỉ mỉ. Kẻ tấn công bắt đầu chuẩn bị từ giữa tháng 03, với dòng thời gian cụ thể như sau:
| Giai đoạn | Ngày | Hành động chính |
|---|---|---|
| Chuẩn bị ban đầu | ~11 tháng 03 | Tạo token CVT, tổng cung ~750 triệu, kẻ tấn công kiểm soát trên 80% |
| Chuẩn bị ban đầu | ~11 tháng 03 | Khởi tạo pool thanh khoản 500 USD trên Raydium, làm giả tín hiệu giá qua giao dịch wash trading |
| Di chuyển multisig | ~23 tháng 03 | Drift chuyển multisig sang mô hình 2/5, thêm 4 signer mới, không thiết lập timelock |
| Giai đoạn pre-signature | Từ 23 tháng 03 | Kẻ tấn công tạo tài khoản durable nonce cho hai signer multisig, lấy trước chữ ký phê duyệt |
| Di chuyển multisig hợp lệ | 27 tháng 03 | Drift thực hiện di chuyển multisig hợp lệ, nhưng kẻ tấn công lấy lại quyền truy cập signer mới |
| Thực thi tấn công | 01 tháng 04, 16:05 (UTC) | Kẻ tấn công dùng durable nonce để thực thi hàng loạt giao dịch đã ký trước, chiếm quyền admin |
| Rút tài sản | 01 tháng 04, 16:05–17:05 (UTC) | Mở thị trường giao ngay CVT → vô hiệu hóa bảo vệ rút tiền → rút tài sản thật bằng tài sản thế chấp giả |
| Chuyển tài sản | Vài giờ sau tấn công | Hoán đổi tài sản sang USDC, chuyển sang Ethereum qua CCTP, mua ETH |
Thông cáo chính thức của Drift mô tả đây là vụ tấn công "cực kỳ tinh vi, được chuẩn bị trong nhiều tuần và thực hiện theo từng giai đoạn". Kẻ tấn công đã triển khai các giao dịch ký trước liên tục từ ngày 23 tháng 03 đến 01 tháng 04, thể hiện mức độ tổ chức rất cao.
Chuỗi Tấn Công Từ 500 USD Lên 285 Triệu USD
Bước 1: Chữ Ký Trước với Durable Nonce—Quả Bom Hẹn Giờ Vượt Qua Timelock
Tính năng durable nonce của Solana cho phép người dùng ký trước giao dịch và lưu trữ trên chuỗi để thực thi sau. Ban đầu, cơ chế này nhằm cải thiện trải nghiệm—cho phép ký offline rồi gửi sau—nhưng đã trở thành vũ khí trong vụ tấn công Drift.
Kẻ tấn công sử dụng tài khoản durable nonce để lấy các chữ ký phê duyệt trước từ hai signer multisig. Các giao dịch này được ký từ ngày 23 đến 27 tháng 03 nhưng chỉ được thực thi hàng loạt vào ngày 01 tháng 04.
Khoảng ngày 23 tháng 03, Drift chuyển multisig sang mô hình "2/5" (bất kỳ 2 trong 5 signer có thể phê duyệt thao tác đặc quyền cao), thêm 4 signer mới và, quan trọng nhất, không có timelock.
Timelock là biện pháp bảo mật then chốt cho multisig. Nếu thiếu timelock, khi kẻ tấn công có đủ chữ ký, họ có thể thực hiện ngay các thao tác quản trị mà không có khoảng đệm. Nhà sáng lập SlowMist, Cosine, nhấn mạnh đây là điều kiện tiên quyết giúp vụ tấn công thành công.
Vụ khai thác Resolv (khoảng 10 ngày trước Drift) cũng xuất phát từ thiếu multisig—Resolv hoàn toàn không có. Hai sự cố chỉ cách nhau 10 ngày này phơi bày điểm yếu hệ thống trong cấu trúc quản trị giao thức DeFi.
Bước 2: Token Giả CVT 500 USD—Đòn Bẩy Cho 285 Triệu USD
Kẻ tấn công tạo ra token CarbonVote Token (CVT) với tổng cung khoảng 750 triệu, kiểm soát hơn 80% trong ví của mình. Họ khởi tạo pool thanh khoản chỉ 500 USD trên Raydium và thực hiện wash trading để tạo cảm giác thị trường sôi động.
Hàm initializeSpotMarket của Drift cho phép admin chỉ định trực tiếp địa chỉ oracle và nguồn giá. Sau khi chiếm quyền admin, kẻ tấn công niêm yết CVT làm thị trường giao ngay và thao túng dữ liệu giá oracle, khiến hệ thống nhận CVT là tài sản có giá trị.
Thao túng oracle là một trong những phương thức tấn công phá hoại nhất trong DeFi. Khi kẻ tấn công kiểm soát cả quyền admin và nguồn giá oracle, bất kỳ tài sản nào cũng có thể bị "định giá lại"—cho phép dùng CVT vô giá trị làm tài sản thế chấp để rút USDC, SOL, JLP thật.
Bước 3: Vô Hiệu Hóa Cơ Chế Bảo Vệ—Biến Tính Năng An Ninh Thành Công Cụ Tấn Công
Giao thức Drift tích hợp các biện pháp kiểm soát rủi ro như kiểm tra tính hợp lệ oracle, cắt tỉa TWAP, kiểm tra biên độ lệch giá và các circuit breaker nhiều lớp. Khi đã chiếm quyền admin, kẻ tấn công vô hiệu hóa các cơ chế bảo vệ này.
Trình tự của kẻ tấn công: đúc CVT giả → thao túng oracle → vô hiệu hóa cơ chế an ninh → gỡ bỏ hạn chế rút tiền → rút tài sản giá trị cao.
Thời điểm thực hiện tấn công là 16:05 (UTC) ngày 01 tháng 04, có thể vì hai lý do: tất cả giao dịch ký trước đã sẵn sàng và cuối tuần sắp đến, khiến phản ứng an ninh bị chậm lại.
Bước 4: Thoát Chuỗi Chéo—Chuyển Tài Sản Từ Solana Sang Ethereum
Sau khi khai thác, kẻ tấn công nhanh chóng hoán đổi tài sản lấy USDC qua Jupiter Aggregator, rồi chuyển từ Solana sang Ethereum bằng giao thức Cross-Chain Transfer Protocol (CCTP) của Circle.
Chỉ trong vài giờ, kẻ tấn công đã mua 13.000 ETH trên Ethereum. Theo theo dõi của SlowMist, số tiền bị đánh cắp được gom về các địa chỉ Ethereum, tổng cộng khoảng 105.969 ETH (trị giá ~226 triệu USD). Sau đó, con số này tăng lên khoảng 130.262 ETH, tương đương ~267 triệu USD.
Đáng chú ý, kẻ tấn công cố ý không sử dụng USDT, mà chỉ dùng USDC trong quá trình chuyển chuỗi. Nhà nghiên cứu an ninh on-chain Specter nhận định điều này thể hiện sự tự tin rằng Circle sẽ không đóng băng số tiền này—và thực tế đúng như vậy.
Phân Tích Các Tranh Cãi Trong Cộng Đồng
Sự kiện này đã làm bùng nổ nhiều tranh luận và luồng ý kiến trái chiều trong thị trường.
Tranh Cãi 1: Circle "Không Hành Động"—Từ Chỉ Trích Của ZachXBT Đến Bàn Luận Chính Sách Ngành
Ngày 02 tháng 04, điều tra viên on-chain ZachXBT công khai chỉ trích Circle, cho rằng hàng chục triệu USDC đã được chuyển từ Solana sang Ethereum qua CCTP "trong nhiều giờ mà không có bất kỳ can thiệp nào" trong giờ giao dịch tại Mỹ sau vụ Drift. ZachXBT cho rằng Circle có khoảng sáu giờ để phản ứng nhưng không đóng băng tài sản.
Chỉ vài ngày trước (23 tháng 03), Circle đã đóng băng ít nhất 16 ví nóng doanh nghiệp trong một vụ kiện dân sự kín, ảnh hưởng đến các sàn giao dịch, đơn vị thanh toán và nhiều doanh nghiệp hợp pháp khác. ZachXBT gọi đây là "một trong những lần đóng băng thiếu chuyên nghiệp nhất tôi từng thấy trong năm năm qua". Circle sau đó đã mở khóa một ví liên quan Goated.com vào ngày 26 tháng 03, nhưng phần lớn ví vẫn bị đóng băng.
Sự kiện này thổi bùng tranh luận về trách nhiệm chủ động can thiệp của các tổ chức phát hành stablecoin trong các sự cố bảo mật DeFi. Phía chỉ trích cho rằng Circle hành động rất nhanh trong các vụ kiện dân sự nhưng lại không làm gì khi xảy ra vụ trộm cắp hàng trăm triệu USD, cho thấy tiêu chuẩn can thiệp không nhất quán. Phía ủng hộ phản biện rằng tổ chức phát hành stablecoin không nên chịu trách nhiệm thu hồi tài sản on-chain—quyền can thiệp chỉ nên phục vụ quy trình pháp lý, không phải giám sát on-chain.
Nếu Circle đóng băng USDC liên quan trong khoảng thời gian tấn công, kẻ tấn công có thể đã không chuyển được tài sản sang Ethereum và khả năng thu hồi tài sản có thể cao hơn. Tuy nhiên, điều này giả định rằng Circle có thể xác minh tính bất hợp pháp của dòng tiền và hành động trong vài giờ—điều này vừa khó về mặt pháp lý, vừa khó về quy trình.
Tranh Cãi 2: Dấu Hiệu Nhóm Lazarus của Triều Tiên
Công ty phân tích blockchain Elliptic công bố báo cáo ngày 02 tháng 04 cho biết "nhiều chỉ báo" cho thấy vụ tấn công có thể liên quan đến nhóm hacker nhà nước Triều Tiên. Elliptic dẫn chứng hành vi on-chain, phương pháp rửa tiền và các chỉ số mạng phù hợp cao với các chiến dịch trước đó của Triều Tiên. Nếu được xác nhận, đây sẽ là vụ tấn công thứ 18 liên quan Triều Tiên mà Elliptic ghi nhận trong năm 2026.
CTO của Ledger, Charles Guillemet, so sánh vụ này với vụ hack Bybit trị giá 1,5 tỷ USD năm 2025, nhận xét cả hai đều theo kịch bản gần như giống hệt: signer multisig bị xâm nhập, kỹ nghệ xã hội và giao dịch độc hại được ngụy trang thành thao tác thường lệ.
Việc hacker Triều Tiên thâm nhập ngành tiền mã hóa đã chuyển từ "tấn công lẻ tẻ" sang "hành động có hệ thống, kéo dài". Năm 2025, các hacker liên quan Triều Tiên đã đánh cắp hơn 2 tỷ USD tiền mã hóa. Nếu nhóm Lazarus đứng sau vụ Drift, điều đó cho thấy họ đã làm chủ kỹ thuật tấn công nâng cao nhắm vào quản trị multisig trên Solana.
Tranh Cãi 3: Khiếm Khuyết Cấu Trúc Trong Quản Trị Multisig
Nhà sáng lập SlowMist, Cosine, chỉ ra rằng mô hình multisig 2/5 nghĩa là chỉ cần xâm nhập hai người là kiểm soát toàn bộ giao thức. "Phải tốn bao nhiêu để xâm nhập hai người? Không phải 285 triệu USD—chỉ cần vài tháng kỹ nghệ xã hội và phishing có chủ đích là đủ."
Thông lệ tốt nhất trong ngành thường khuyến nghị multisig 4/7 kèm timelock 24–48 giờ. Timelock bắt buộc phải chờ trước khi thực thi thay đổi rủi ro cao, cho cộng đồng và đội ngũ an ninh thời gian phát hiện và can thiệp. Sau khi Drift di chuyển multisig, timelock = 0.
Sự cố này không phải là lỗ hổng hợp đồng thông minh, mà là "lỗ hổng quản trị". Dù mã được audit ở mức cao nhất, nếu cấu trúc quản trị yếu, rủi ro của giao thức là không giới hạn.
Phân Tích Tác Động Đến Ngành
Cú Sốc Niềm Tin Đối Với Hệ Sinh Thái Solana
Drift là sàn giao dịch perpetual phi tập trung lớn nhất trên Solana, với tổng khối lượng giao dịch vượt 55 tỷ USD, TVL trên 1 tỷ USD và hơn 200.000 nhà giao dịch hoạt động trước vụ tấn công. Đây là sự cố an ninh nghiêm trọng nhất trên Solana kể từ vụ hack Wormhole 325 triệu USD năm 2022.
Giá SOL giảm khoảng 9% sau khi tin tức lan truyền, có lúc chạm khoảng 78,60 USD, trong khi khối lượng giao dịch 24 giờ tăng vọt lên 5,2 tỷ USD. Tổng TVL của Solana giảm xuống còn 6,544 tỷ USD, dòng tiền rút khỏi các giao thức lớn như Jito, Raydium và Sanctum.
Sự sụt giảm TVL và hoạt động DEX không chỉ phản ánh điều chỉnh giá, mà còn là sự suy giảm niềm tin vào hệ sinh thái. Khi nhà cung cấp thanh khoản rút vốn, độ sâu thị trường giảm, biến động càng tăng. Chủ tịch Solana Foundation, Lily Liu, nhận định đây là "đòn giáng mạnh", nhưng nhấn mạnh lỗ hổng thực sự hiện nay nhắm vào "con người: kỹ nghệ xã hội và yếu kém vận hành an ninh, không phải lỗi mã."
Đánh Giá Lại Quy Trình Audit An Ninh DeFi
Cả Trail of Bits và ClawSecure đều đã audit mã của Drift. Tuy nhiên, vụ tấn công này không động đến bất kỳ dòng mã nào.
Audit truyền thống tập trung vào "lớp thực thi"—kiểm tra lỗi trong mã khi chạy. Vụ tấn công này xảy ra ở "lớp ủy quyền"—kẻ tấn công có được chữ ký hợp lệ, khiến mọi thao tác đều trông hợp pháp. Điều này cho thấy một điểm mù hệ thống trong audit an ninh DeFi: audit có thể phát hiện lỗi mã, nhưng không kiểm tra quyền hạn được cấp đúng hay không.
Giới hạn giá trị của audit an ninh đang được tái định nghĩa. An ninh mã chỉ là điều kiện tối thiểu để DeFi an toàn. Quản trị multisig, bảo mật chữ ký, phòng chống kỹ nghệ xã hội, cấu hình timelock và dự phòng oracle—các yếu tố "an ninh quy trình" này còn quan trọng hơn audit mã, nhưng thường bị bỏ qua.
Thế Tiến Thoái Lưỡng Nan Về Vai Trò Nhà Phát Hành Stablecoin
Sự kiện này buộc ngành phải suy nghĩ lại: vai trò của nhà phát hành stablecoin nên như thế nào? USDC và USDT đều cho phép nhà phát hành quyền đơn phương đóng băng địa chỉ, nhằm phục vụ cơ quan thực thi pháp luật và lệnh tòa. Nhưng khi xảy ra vụ trộm cắp hàng trăm triệu USD, liệu nhà phát hành nên chủ động sử dụng quyền này? Nếu có, tiêu chuẩn là gì? Nếu không, quyền này có thực sự giá trị?
Vấn đề nan giải hơn là can thiệp có chọn lọc. Circle đóng băng 16 ví doanh nghiệp trong vụ kiện dân sự nhưng không hành động gì khi xảy ra vụ trộm cắp đã xác thực. Sự thiếu nhất quán này có thể làm tổn hại niềm tin ngành hơn cả việc "không bao giờ can thiệp".
Dự Báo Nhiều Kịch Bản
Dựa trên thông tin hiện tại, một số diễn biến tương lai có thể xảy ra:
Kịch Bản 1: Khó Thu Hồi Tài Sản, Quỹ Bảo Hiểm Hỗ Trợ Bồi Thường Một Phần
Cơ sở: Kẻ tấn công đã chuyển đổi khoảng 267 triệu USD sang ETH và rửa tiền qua cầu nối chuỗi chéo và mixer. Lịch sử cho thấy tỷ lệ thu hồi tài sản trong các vụ DeFi lớn rất thấp. Quỹ bảo hiểm của Drift chưa bị ảnh hưởng và có thể dùng để bồi thường một phần cho người dùng.
Biến số chính: Sự tham gia của cơ quan thực thi pháp luật, hiệu quả theo dõi on-chain, mức độ hợp tác của các cầu nối chuỗi chéo và sàn tập trung.
Kịch Bản 2: Nâng Cấp Hệ Thống An Ninh Toàn Diện Cho Solana
Cơ sở: Sự kiện này phơi bày điểm yếu hệ thống trong quản trị multisig, cấu hình timelock và phòng chống kỹ nghệ xã hội trên Solana. Ngành có thể sẽ thúc đẩy tiêu chuẩn nghiêm ngặt hơn, như bắt buộc timelock, nâng ngưỡng multisig, audit điểm cuối chữ ký và oracle đa nguồn.
Biến số chính: Mức độ sẵn sàng đầu tư vào an ninh của các giao thức lớn, phạm vi mở rộng dịch vụ của các đơn vị audit, phản ứng của cộng đồng quản trị.
Kịch Bản 3: Đẩy Nhanh Khung Pháp Lý Cho Stablecoin
Cơ sở: Vai trò gây tranh cãi của Circle có thể khiến nhà lập pháp làm rõ quy định về nghĩa vụ can thiệp của nhà phát hành stablecoin. Vấn đề cốt lõi gồm: Nhà phát hành phải giám sát dòng tiền on-chain đến mức nào? Khi nào địa chỉ được phép hoặc bắt buộc đóng băng? Cần thẩm quyền pháp lý gì để can thiệp?
Biến số chính: Tiến độ lập pháp tại Mỹ và các thị trường lớn khác, sự hình thành các tổ chức tự quản ngành, thay đổi cạnh tranh trên thị trường stablecoin.
Kịch Bản 4: Kỹ Thuật Tấn Công Bị Nhân Bản, Nhiều Giao Thức Gặp Nguy
Cơ sở: Kỹ thuật cốt lõi—chữ ký trước với durable nonce kết hợp cửa sổ di chuyển multisig—gần như chưa từng được công khai trước vụ này. Các giao thức Solana khác có cấu hình multisig tương tự và không có timelock có thể đối mặt rủi ro tương tự.
Biến số chính: Tốc độ phản ứng của các đơn vị audit an ninh, động cơ và giới hạn đạo đức của hacker (nếu liên quan Triều Tiên, nguy cơ nhân bản tăng mạnh).
Kết Luận
Vụ khai thác Drift Protocol trị giá 285 triệu USD là tấm gương phản chiếu không phải sự mong manh của mã hợp đồng thông minh, mà là những vết nứt lâu nay bị bỏ qua trong quản trị DeFi: ngưỡng multisig 2/5, thiếu timelock, đánh giá thấp bảo mật điểm cuối chữ ký và sự bất định về quyền can thiệp của nhà phát hành stablecoin.
Trong khi ngành vẫn dồn phần lớn ngân sách bảo mật cho audit mã, kẻ tấn công lại chọn con đường rẻ hơn, lợi nhuận cao hơn—tấn công con người. Đây chính là thách thức cốt lõi của an ninh DeFi năm 2026: bảo mật mã không còn đủ. Quản trị, vận hành an ninh và phòng chống kỹ nghệ xã hội phải được đặt ngang hàng với audit hợp đồng thông minh.
Cú sốc niềm tin đối với hệ sinh thái Solana có thể kéo dài nhiều tháng, thậm chí lâu hơn. Nhưng với ngành DeFi rộng lớn, đây có thể là bài kiểm tra sức chịu đựng hệ thống—nhắc nhở rằng trong một hệ thống tài chính phi tập trung, mỗi lớp bảo mật đều là một mắt xích không thể thiếu. Và sức mạnh của chuỗi đó được quyết định bởi mắt xích yếu nhất.
