Trọng tâm của các sự cố bảo mật trong lĩnh vực tiền mã hóa đang chuyển dịch nhanh chóng từ các lỗ hổng ở cấp độ mã nguồn sang tầng con người – yếu tố niềm tin.
Ngày 1 tháng 4 năm 2026, Drift Protocol—một nền tảng phái sinh phi tập trung hàng đầu trong hệ sinh thái Solana—đã trở thành nạn nhân của một cuộc tấn công gây thiệt hại khoảng 285 triệu đô la Mỹ. Tổng giá trị bị khóa (TVL) trên nền tảng này đã lao dốc từ khoảng 550 triệu đô la Mỹ trước sự cố xuống còn xấp xỉ 230 triệu đô la Mỹ sau đó. Cuộc điều tra sơ bộ của Drift xác nhận rằng chiến dịch này do UNC4736—một nhóm hacker có liên hệ với chính phủ Triều Tiên—tổ chức, mô tả đây là một "chiến dịch tình báo có cấu trúc kéo dài suốt sáu tháng".
Kết luận này cho thấy một sự chuyển mình vượt xa khuôn khổ của một vụ vi phạm bảo mật đơn lẻ. Khi các hacker do quốc gia hậu thuẫn chuyển từ khai thác lỗ hổng mã nguồn sang thâm nhập tầng quan hệ con người trong nhiều tháng, toàn bộ mô hình bảo mật của ngành DeFi đang bị viết lại một cách có hệ thống. Những cuộc tấn công này không còn cần đến các thủ thuật khai thác hợp đồng thông minh phức tạp hay đánh cắp khóa riêng nữa—chỉ cần xây dựng một mối quan hệ kiên nhẫn, một danh tính được dựng lên tinh vi và đủ thời gian.
Cuộc tấn công đã diễn ra như thế nào?
Chiến dịch của UNC4736 thể hiện mức độ tổ chức và nguồn lực vượt xa các nhóm hacker thông thường. Bắt đầu từ mùa thu năm 2025, những cá nhân giả danh đại diện cho một công ty giao dịch định lượng đã chủ động tiếp cận các thành viên đóng góp cho Drift tại nhiều hội nghị tiền mã hóa quốc tế. Những người này có trình độ kỹ thuật cao, sở hữu hồ sơ nghề nghiệp xác thực và hiểu rõ hoạt động của Drift. Đáng chú ý, các cá nhân tiếp xúc trực tiếp không phải là công dân Triều Tiên mà là các bên trung gian được các tác nhân đe dọa từ Triều Tiên cử đi.
Sau khi xây dựng được niềm tin, nhóm này đã tham gia vào kho bạc của hệ sinh thái Drift trong khoảng thời gian từ tháng 12 năm 2025 đến tháng 1 năm 2026, tự nạp hơn 1 triệu đô la Mỹ để tạo dựng uy tín. Trong giai đoạn này, họ đã tham gia thảo luận chuyên sâu, chuyên nghiệp về các vấn đề sản phẩm cùng nhiều thành viên khác.
Lỗ hổng kỹ thuật bị khai thác qua hai hướng. Một thành viên đóng góp đã bị xâm nhập sau khi sao chép một kho mã độc, khai thác các lỗ hổng đã được cộng đồng bảo mật nhiều lần cảnh báo trong các trình soạn thảo VSCode và Cursor. Chỉ cần mở một tệp, thư mục hoặc kho mã trong trình soạn thảo là mã độc có thể được thực thi âm thầm mà không cần bất kỳ thao tác xác nhận nào từ người dùng. Một thành viên khác bị dụ tải về một ứng dụng ví giả mạo thông qua nền tảng TestFlight của Apple. Sau khi có quyền truy cập nội bộ, kẻ tấn công đã sử dụng tính năng Durable Nonce gốc của Solana để ký trước các giao dịch, rồi lập tức rút sạch tiền sau khi nhận được phê duyệt multisig.
Chi phí của mô hình tấn công này là gì?
Sự cố Drift đã phơi bày nhiều loại chi phí, vượt xa con số thiệt hại trực tiếp 285 triệu đô la Mỹ.
Tác động tức thì nhất là tổn thất tài chính và cú sốc thị trường. Đây là vụ tấn công bảo mật DeFi lớn nhất tính đến năm 2026 và là vụ lớn thứ hai trong lịch sử Solana. Sau sự cố, giá token DRIFT đã giảm hơn 90% so với đỉnh lịch sử.
Đáng lo ngại hơn là hiệu ứng lây lan. Số lượng giao thức bị ảnh hưởng bởi vụ khai thác Drift đã tăng từ 11 lên hơn 20, bao gồm các nạn nhân mới như PiggyBank, Perena, Vectis và Prime Numbers Fi. Một số giao thức đã tạm ngừng chức năng phát hành, quy đổi hoặc nạp/rút tài sản. Giao thức cho vay phi tập trung Project 0 đã dừng hoạt động và bắt đầu quá trình giảm đòn bẩy, khiến các bên cho vay chịu mức ghi giảm trung bình 2,61%.
Chi phí sâu sắc nhất và khó đo lường nhất là sự xói mòn niềm tin—nền tảng của bảo mật DeFi. Drift nhấn mạnh rằng tất cả thành viên multisig đều sử dụng ví lạnh, nhưng cuộc tấn công vẫn thành công. Điều này cho thấy, khi kẻ tấn công nhắm vào tầng con người, ngay cả các biện pháp kiểm soát phần cứng nghiêm ngặt cũng có thể bị vượt qua. Nếu kẻ tấn công hoạt động như một tổ chức hợp pháp trong nhiều tháng—đầu tư vốn và tham gia hệ sinh thái—các hệ thống bảo mật hiện tại gần như bất lực trong việc phát hiện.
Ý nghĩa của sự cố này đối với DeFi là gì?
Sự kiện Drift đang buộc toàn ngành phải nhìn lại một câu hỏi căn bản: Liệu những giả định cốt lõi về bảo mật của tài chính phi tập trung còn đứng vững?
Một trọng tâm phản tư của ngành là các lỗ hổng cấu trúc trong hệ thống tin cậy bên thứ ba. Đường đi của UNC4736 cho thấy hệ sinh thái DeFi hiện nay thiếu quy trình kiểm định bảo mật có hệ thống và thiếu giám sát liên tục đối với đối tác mới. Những hoạt động vốn được xem là thông lệ kinh doanh—giao lưu tại hội nghị, nhắn tin nhanh, tham gia kho bạc hệ sinh thái—lại chính là vỏ bọc lý tưởng cho các hacker do quốc gia hậu thuẫn thâm nhập.
Một tranh luận quan trọng khác liên quan đến lỗ hổng tuân thủ trong quá trình thu hồi tài sản. Các nhà điều tra on-chain ghi nhận kẻ tấn công đã chuyển khoảng 232 triệu USDC từ Solana sang Ethereum thông qua các giao thức cross-chain. Các nhà phát hành stablecoin có khoảng thời gian sáu giờ để đóng băng số tiền này nhưng đã không hành động. Điều này đặt ra một vấn đề hệ thống sâu xa hơn: Khi phòng tuyến của giao thức DeFi thất bại, liệu có bền vững không nếu phải dựa vào các nhà phát hành stablecoin tập trung để can thiệp dựa trên tuân thủ? Ranh giới hành động của các đơn vị tuân thủ sẽ nằm ở đâu khi đối mặt với dòng tiền quy mô lớn?
Xu hướng tiếp theo là gì?
Dựa trên kết quả điều tra hiện tại và phản ứng của ngành, một số xu hướng đang dần hình thành.
Ngân sách bảo mật sẽ được đánh giá lại một cách hệ thống. Năm 2025, tổng thiệt hại bảo mật tiền mã hóa toàn cầu vượt 3,4 tỷ đô la Mỹ, với 89 sự cố bảo mật được xác nhận trong lĩnh vực Web3, tổng thiệt hại đạt 2,54 tỷ đô la Mỹ. Khi các cuộc tấn công do quốc gia hậu thuẫn trở nên thường xuyên, chỉ dựa vào kiểm toán mã nguồn và kiểm thử bảo mật là không đủ. Dự kiến sẽ có nhiều giao thức đầu tư hơn vào đào tạo bảo mật vận hành, diễn tập phòng chống kỹ nghệ xã hội và kiểm tra lý lịch nâng cao.
Rủi ro lây lan giữa các giao thức sẽ trở thành trọng tâm mới. Hiệu ứng domino của sự cố Drift trên hơn 20 giao thức cho thấy tính kết hợp (composability) của DeFi là con dao hai lưỡi đối với bảo mật. Các phản ứng trong tương lai có thể bao gồm: (1) cô lập phụ thuộc ở cấp độ giao thức và phân tầng bảo mật, (2) xây dựng cơ chế ứng phó sự kiện và chia sẻ thông tin trên toàn ngành.
Ranh giới pháp lý và tuân thủ sẽ tiếp tục được đàm phán. Tiêu chuẩn hành động của các nhà phát hành stablecoin trong các sự cố như vậy sẽ trở thành tâm điểm tranh luận pháp lý, có thể dẫn đến khung ứng phó khẩn cấp cho dòng tài sản tiền mã hóa xuyên biên giới.
Những rủi ro nào vẫn cần theo dõi?
Mặc dù Drift đã đóng băng toàn bộ chức năng giao thức và loại bỏ các ví bị xâm nhập khỏi multisig, vẫn còn một số khía cạnh rủi ro cần tiếp tục giám sát.
Khó có thể đảo ngược việc thu hồi tài sản. Kẻ tấn công đã nhanh chóng xóa các bản ghi nhắn tin và mã độc sau khi đánh cắp tài sản, đồng thời số tiền bị đánh cắp đã được chuyển qua cầu sang Ethereum. Các nhóm hacker Triều Tiên sở hữu mạng lưới rửa tiền và trộn tài sản cross-chain tinh vi, khiến phần lớn tài sản bị đánh cắp gần như không thể thu hồi.
Năng lực bảo mật bất đối xứng. Các tổ chức hacker do quốc gia hậu thuẫn có nguồn lực tổ chức, tài trợ liên tục và phân chia vai trò chuyên biệt, trong khi hầu hết giao thức DeFi vận hành với đội ngũ nhỏ và nguồn lực bảo mật hạn chế. Kẻ tấn công đang khai thác có hệ thống sự bất cân xứng này. Danh tính mà họ sử dụng đều có hồ sơ nghề nghiệp đầy đủ, chứng chỉ công khai và mạng lưới xã hội chuyên nghiệp, giúp họ vượt qua các quy trình thẩm định kinh doanh tiêu chuẩn.
Sự mệt mỏi về niềm tin cản trở đổi mới ngành. Nếu mỗi đối tác mới đều cần kiểm tra bảo mật nghiêm ngặt và giám sát liên tục, các thế mạnh cốt lõi của DeFi—tính mở và khả năng kết hợp—sẽ bị xói mòn. Cân bằng giữa phòng thủ bảo mật và hiệu quả vận hành sẽ là thách thức sống còn cho ngành.
Kết luận
Vụ hack Drift đã phơi bày một thực tế lâu nay bị bỏ qua: Các mối đe dọa bảo mật trong DeFi đã có bước nhảy vọt về thế hệ. Từ lỗi hợp đồng thông minh, đến đánh cắp khóa riêng, và giờ là các chiến dịch kỹ nghệ xã hội kéo dài sáu tháng do quốc gia hậu thuẫn, kẻ tấn công đang tiến hóa nhanh hơn nhiều so với hệ thống phòng thủ. Khi kẻ tấn công không còn cần phá mã nguồn mà chỉ cần phá vỡ niềm tin của ai đó, hiệu quả của multisig, ví lạnh và cô lập phần cứng cần được đánh giá lại.
Ngành cần nhiều hơn các cuộc kiểm toán mã nguồn và kiểm soát truy cập nghiêm ngặt—cần một tư duy bảo mật mới: coi "niềm tin con người" là một bề mặt tấn công ngang hàng với "mã hợp đồng thông minh". Mỗi mắt xích trong chuỗi—từ kiểm tra lý lịch, xây dựng văn hóa bảo mật vận hành, đến giám sát liên tục đối tác hệ sinh thái và cơ chế ứng phó khẩn cấp liên giao thức—đều cần được định nghĩa lại. Trong bối cảnh các tác nhân quốc gia tham gia bảo mật tiền mã hóa trở thành bình thường mới, không giao thức nào có thể đứng một mình—chuỗi bảo mật chỉ mạnh bằng mắt xích yếu nhất.
Câu hỏi thường gặp
Hỏi: UNC4736 có phải là Lazarus không?
UNC4736 là tên mã do các công ty bảo mật sử dụng để theo dõi các tác nhân đe dọa liên quan đến Triều Tiên. Dù có sự giao thoa với nhóm Lazarus nổi tiếng hơn, hai nhóm này không hoàn toàn giống nhau. UNC4736 được cho là tập trung vào các chiến dịch tạo thu nhập ổn định trong lĩnh vực tiền mã hóa, nhắm đến các tổ chức nhỏ và vừa với chiến thuật thâm nhập dai dẳng.
Hỏi: Vì sao multisig không bảo vệ Drift khỏi cuộc tấn công này?
Kẻ tấn công không trực tiếp đánh cắp khóa riêng multisig. Thay vào đó, họ giành được quyền phê duyệt multisig thông qua kỹ nghệ xã hội, rồi sử dụng tính năng Durable Nonce của Solana để ký trước các giao dịch và thực hiện ngay khi có đủ quyền. Điều này cho thấy bảo mật của multisig phụ thuộc vào việc các thành viên ký không bị xâm nhập qua kỹ nghệ xã hội.
Hỏi: Cuộc tấn công này có liên quan đến lỗ hổng hợp đồng thông minh không?
Không. Drift xác nhận trọng tâm của cuộc tấn công là kỹ nghệ xã hội và lạm dụng tính năng Durable Nonce—không phải lỗ hổng mã hợp đồng thông minh truyền thống.
Hỏi: Drift đã thực hiện những biện pháp gì sau sự cố?
Drift đã đóng băng toàn bộ chức năng giao thức, loại bỏ các ví bị xâm nhập khỏi multisig và mời các công ty bảo mật tiến hành điều tra pháp y toàn diện. Đội ngũ phát triển giao thức cho biết họ đang hợp tác với các cơ quan thực thi pháp luật để truy vết số tài sản bị đánh cắp.
