Thảm họa Solana trị giá 285 triệu USD – Đây là những gì thực sự đã xảy ra

Vào ngày 1 tháng 4 năm 2026, mọi thứ đã sụp đổ trên Solana (SOL). Drift Protocol đã bị tấn công với một vụ khai thác trị giá 285 triệu đô la, và trong vòng vài giờ, token của nó đã lao dốc mạnh. Tác động không dừng lại ở đó; nó nhanh chóng lan sang các giao thức được liên kết khác.

Sự cố này dựa trên các báo cáo và phân tích từ Coin Bureau với 2,73 triệu người đăng ký, đã bao quát toàn bộ dòng thời gian của vụ khai thác và cách nó diễn ra phía sau hậu trường.

Ban đầu, mọi người cho rằng nguyên nhân quen thuộc, một lỗi smart contract hoặc một khiếm khuyết kỹ thuật nào đó. Nhưng không phải vậy. Không có đoạn mã nào bị hỏng. Không có lỗ hổng nào bị khai thác.

Cuộc tấn công này được xây dựng dựa trên con người, không phải dựa trên mã.

Hoạt động bắt đầu sớm hơn nhiều tháng, vào khoảng cuối năm 2025. Nó khởi động lặng lẽ, với một nhóm đóng vai một công ty giao dịch chuyên nghiệp tiếp cận các cộng tác viên của Drift tại các hội nghị. Họ tỏ ra đáng tin, am hiểu và cực kỳ quen thuộc với cả giao dịch lẫn hạ tầng.

Theo thời gian, họ xây dựng các mối quan hệ. Họ tham gia các cuộc thảo luận riêng tư, chia sẻ ý tưởng và phối hợp triển khai chiến lược. Để củng cố hình ảnh của mình, họ thậm chí đã nạp hơn 1 triệu đô la vào nền tảng. Chỉ một nước đi đó đã khiến họ trông nghiêm túc và đáng tin cậy.

Từng bước một, họ giành được quyền truy cập nội bộ mà không bao giờ ép buộc bằng cách xâm nhập.

• Kẻ tấn công đã lọt vào như thế nào
• Sai lầm then chốt khiến mọi thứ trở nên có thể
• $285M đã bị rút cạn trong vài phút như thế nào
• Điều này thay đổi gì đối với Crypto

Kẻ tấn công đã lọt vào như thế nào

Khi đã có được niềm tin, kẻ tấn công đã đưa vào các công cụ độc hại được ngụy trang như các quy trình thông thường. Họ chia sẻ một kho lưu trữ GitHub trông như một tích hợp tiêu chuẩn. Nhưng ẩn bên trong là mã được thiết kế để âm thầm xâm phạm hệ thống của một nhà phát triển ngay khi nó được mở ra.

Không có cảnh báo hay dấu hiệu bất thường nào. Mọi thứ đều có vẻ bình thường.

Tuy nhiên, một cộng tác viên đã bị thuyết phục tải xuống một ứng dụng giả với suy nghĩ rằng đó là để kiểm thử một ví mới. Điều đó đã giúp kẻ tấn công có quyền truy cập sâu hơn vào các hệ thống nội bộ.

Giờ đây họ không chỉ quan sát, mà đã ở trong hạ tầng quan trọng, bao gồm cả các hệ thống được dùng để phê duyệt giao dịch.

_****Đây là Giá Bittensor (TAO) Nếu Nó Chiếm Được Thị Trường AI 60B**

Sai lầm then chốt khiến mọi thứ trở nên có thể

Dù đã có mức độ truy cập đó, kẻ tấn công vẫn cần một cách để giành quyền kiểm soát hoàn toàn mà không bị ngăn chặn. Cơ hội đó đến từ một sai lầm đơn giản nhưng nghiêm trọng.

Drift đã loại bỏ cơ chế khóa thời gian hành chính (administrative timelock) trong một bản cập nhật thường quy. Thông thường, tính năng này tạo ra độ trễ trước khi các hành động quan trọng được thực thi, cho các đội thời gian để phát hiện bất cứ điều gì đáng ngờ.

Không có nó, các giao dịch có thể được thông qua ngay lập tức.

Vào khoảng cùng thời gian đó, kẻ tấn công đã thuyết phục các thành viên trong đội ký các giao dịch hành chính trông như thường lệ. Trên thực tế, những chữ ký đó đã chuyển giao toàn quyền kiểm soát cho giao thức.

Không có cảnh báo nào được kích hoạt.

$285M đã bị rút cạn trong vài phút như thế nào

Khi mọi thứ đã được sắp xếp, cuộc tấn công diễn ra nhanh chóng. Kẻ tấn công tạo ra một token giả và thao túng giá của nó để trông như thể nó có giá trị 1 đô la. Sau đó, họ niêm yết nó như một tài sản thế chấp hợp lệ trong giao thức.

Trên giấy tờ, có vẻ như họ nắm giữ hàng trăm triệu đô la tài sản.

Với tài sản thế chấp giả đó, họ bắt đầu vay các tài sản thực từ hệ thống. Khối lượng thanh khoản lớn đã bị rút ra trên nhiều pool khác nhau, bao gồm cả các token lớn như Solana (SOL) và Bitcoin được bọc (wrapped Bitcoin).

Chỉ trong vài phút, hơn 150 triệu đô la đã bị rút cạn. Phần còn lại diễn ra ngay sau đó.

Các quỹ bị đánh cắp được chuyển đổi thành stablecoin và chuyển ra khỏi mạng. Sau đó, chúng được chuyển cầu (bridge) sang Ethereum và phân phối qua nhiều ví, khiến việc khôi phục cực kỳ khó khăn.

Các công ty an ninh sau đó liên kết vụ tấn công với một nhóm ở Bắc Triều Tiên, nổi tiếng với việc thực hiện các hoạt động tương tự. Đây không phải là ngẫu nhiên hay vội vàng. Nó đã được lên kế hoạch trong nhiều tháng và được thực thi một cách chính xác.

Nhóm tương tự cũng đã được gắn với các vụ khai thác trước đây, nhưng vụ này cho thấy mức độ phối hợp và quy mô cao hơn.

Điều này thay đổi gì đối với Crypto

Sự cố này chuyển trọng tâm của bảo mật trong crypto. Trong nhiều năm, mối lo ngại chính là các lỗ hổng smart contract. Các dự án đã đầu tư rất nhiều vào audit và review mã, và Drift cũng không phải ngoại lệ.

Nhưng cuộc tấn công này không nhắm vào mã. Nó nhắm vào niềm tin.

Các nhà phát triển, cộng tác viên và quy trình nội bộ trở thành điểm mở đầu. Kẻ tấn công không phá vỡ hệ thống; họ đi vòng qua hệ thống bằng cách khai thác sự tương tác của con người.

Điều đó sẽ thay đổi cách cần tiếp cận bảo mật trong tương lai.

Mất mát 285 triệu đô la không chỉ là một vụ khai thác khác. Nó cho thấy ngay cả các hệ thống đã được audit kỹ lưỡng vẫn có thể thất bại nếu lớp con người bị phơi bày.

DeFi không còn chỉ là mã an toàn nữa. Nó còn là bảo đảm an ninh cho những con người và quy trình đứng phía sau. Và như trường hợp này cho thấy, đó có thể là phần khó nhất để bảo vệ.