Chỉ cần đọc qua báo cáo sự cố của Drift về vụ khai thác $270 triệu đô la từ tháng Tư, và thành thật mà nói, mức độ tinh vi ở đây thật là điên rồ. Đây không phải là một vụ hack ngẫu nhiên—chúng ta đang nói về một chiến dịch tình báo kéo dài sáu tháng của một nhóm liên kết với nhà nước Triều Tiên, đã cấy ghép bản thân vào trong giao thức trước khi thực hiện cuộc tấn công.

Vậy quá trình diễn ra như thế nào. Khoảng mùa thu 2025, các tác nhân này xuất hiện tại một hội nghị tiền điện tử lớn, giả dạng như một công ty giao dịch định lượng. Họ có kỹ năng kỹ thuật, lý lịch hợp pháp, và thực sự hiểu về giao thức của Drift. Trong vài tháng tiếp theo, họ trải qua quá trình onboarding hoàn toàn bình thường—tạo nhóm Telegram, thảo luận thật sự về chiến lược giao dịch và tích hợp vault, gửi hơn $1 triệu đô la của chính họ, thậm chí gặp gỡ các cộng tác viên của Drift trực tiếp tại nhiều hội nghị ở các quốc gia khác nhau vào tháng 2 và tháng 3.

Đến khi họ thực hiện khai thác vào ngày 1 tháng 4, họ đã xây dựng mối quan hệ này gần sáu tháng. Đó là kiểu kiên nhẫn mà hầu hết các kẻ tấn công không có.

Việc xâm nhập thực sự diễn ra qua hai phương thức tinh vi. Thứ nhất, họ khiến người dùng tải xuống một ứng dụng ví giả qua TestFlight, giúp vượt qua quy trình kiểm duyệt bảo mật của Apple. Thứ hai, họ khai thác một lỗ hổng đã biết trong VSCode và Cursor mà cộng đồng an ninh đã cảnh báo từ cuối 2025—cơ bản, chỉ cần mở một tệp trong trình chỉnh sửa là có thể thực thi mã tùy ý một cách âm thầm mà không có cảnh báo nào.

Khi các thiết bị bị xâm phạm, họ có thể lấy được các phê duyệt multisig cần thiết. Các giao dịch đã được ký sẵn nằm im trong hơn một tuần trước khi thực thi vào ngày 1 tháng 4, rút sạch hơn $270 triệu đô la trong chưa đầy một phút.

Các điều tra viên đã truy nguồn về nhóm UNC4736, còn gọi là AppleJeus hoặc Citrine Sleet—cùng nhóm đứng sau vụ tấn công Radiant Capital. Thật thú vị, những người thực sự xuất hiện tại các hội nghị không phải là công dân Triều Tiên. Các tác nhân này triển khai các danh tính bên thứ ba hoàn chỉnh, với lịch sử làm việc và mạng lưới chuyên nghiệp được xây dựng để vượt qua các kiểm tra thẩm định.

Điều khiến người ta thực sự lo ngại về điều này là câu hỏi lớn hơn mà nó đặt ra cho DeFi. Nếu các kẻ tấn công sẵn sàng bỏ ra sáu tháng và một triệu đô la để xây dựng sự hiện diện hợp pháp, gặp gỡ các nhóm trực tiếp, đóng góp vốn thật, và chờ đợi đúng thời điểm—thì mô hình bảo mật nào thực sự bắt được điều đó? Drift cảnh báo các giao thức khác nên kiểm tra quyền truy cập và xem mọi thiết bị tiếp xúc với multisig như một mục tiêu tiềm năng. Nhưng sự thật không thoải mái là, quản trị multisig, thứ mà phần lớn ngành công nghiệp dựa vào như mô hình bảo mật chính, có thể có những điểm yếu sâu sắc về cấu trúc khi đối mặt với mức độ tinh vi này.

Đây là loại sự cố khiến bạn phải suy nghĩ lại về ý nghĩa của "bảo mật" ở quy mô lớn.