Hồ sơ vụ án tin tặc Drift: tin tặc Bắc Triều Tiên đã xâm nhập suốt 6 tháng, họ đã tạo ra vụ cướp DeFi lớn nhất vào mùa xuân 2026 như thế nào

Drift 遭 Bắc Triều Tiên thâm nhập hơn nửa năm, sử dụng kỹ thuật xã hội (social engineering) và Durable Nonce để chiếm đoạt khoảng 280 triệu USD tài sản, gây tổn hại nghiêm trọng niềm tin an toàn của DeFi.

Bố cục công phu kéo dài nửa năm: Từ xã giao trong cuộc họp thành vụ cướp 280 triệu

Ngày 1 tháng 4, đáng lẽ là một ngày đầy trò đùa nghịch, nhưng sàn giao dịch hợp đồng vĩnh viễn (perpetual) bền vững hàng đầu trong hệ sinh thái Solana là Drift Protocol lại hứng chịu một đòn giáng thực sự thảm khốc. Chỉ trong vòng 10 giây, cuộc tấn công này khiến khoảng 280 triệu đến 286 triệu USD tài sản người dùng biến mất, lập kỷ lục về mức độ lớn nhất trong lịch sử các vụ hack của ngành DeFi kể từ năm 2026.

• Tin liên quan: Nền tảng DeFi Drift bị hack trong ngày Cá tháng Tư! Kẻ tấn công tẩu tán 270 triệu USD tài sản, khóa bí mật của quản trị viên trở thành lỗ hổng

Theo báo cáo điều tra được nhóm Drift công bố sau sự việc, vụ việc này bắt nguồn từ một “chiến dịch tình báo mang tính cấu trúc” được ấp ủ hơn 6 tháng, có bối cảnh tổ chức cấp quốc gia. Khảo sát ban đầu cho thấy chiến dịch này có mối liên hệ chặt chẽ với tổ chức mối đe dọa Bắc Triều Tiên UNC4736 (còn được gọi là AppleJeus hoặc Citrine Sleet), tổ chức từng tiến hành một cuộc tấn công trị giá 50 triệu USD nhắm vào Radiant Capital vào tháng 10 năm 2024. Đợt thâm nhập nhắm vào Drift lần này đã bỏ qua cách dò tìm lỗ hổng phần mềm thông thường; thay vào đó là thao tác tinh vi có độ chính xác rất cao của con người, vượt qua nhiều lớp bảo vệ như kiểm toán mã và ví phần cứng.

Nguồn ảnh: X/@DriftProtocol Báo cáo điều tra được nhóm Drift công bố sau sự việc cho biết, sự kiện này bắt nguồn từ một “chiến dịch tình báo mang tính cấu trúc” được ấp ủ hơn 6 tháng, có bối cảnh tổ chức cấp quốc gia

Chiến lược “bóng đại lý” của hacker Bắc Triều Tiên

Cái bẫy đường dài này bắt đầu từ một hội nghị lớn về tiền mã hóa vào tháng 10 năm 2025. Khi đó, một số người tự xưng là đại diện của các công ty giao dịch định lượng đã chủ động tiếp cận các thành viên cốt lõi của Drift, bày tỏ sự quan tâm đến việc hợp tác nhằm tích hợp giao thức và cung cấp thanh khoản.

Trong suốt nửa năm tiếp theo, nhóm hacker này thể hiện tinh thần nghề nghiệp và năng lực kỹ thuật cực cao. Họ thường xuyên thảo luận chiến lược giao dịch với đội phát triển thông qua các kênh Telegram, thậm chí trong giai đoạn từ tháng 12 năm 2025 đến tháng 1 năm 2026, đã thực tế triển khai trên Drift một “hệ sinh thái kho dự trữ (Ecosystem Vault)” hoàn chỉnh về chức năng, đồng thời nạp hơn 1 triệu USD vốn tự có để xây dựng uy tín (credit).

Điểm đáng chú ý là những người xuất hiện tại hiện trường cuộc họp và được xác nhận là có mặt trực tiếp tại chỗ không phải là người Bắc Triều Tiên. Điều này cho thấy hacker Bắc Triều Tiên đang thường xuyên thuê các tổ chức trung gian bên thứ ba hoặc những đại diện có danh tính hoàn hảo để thực hiện kỹ thuật xã hội ngoài đời thực. Mô hình “cắm rễ” này giúp đội ngũ Drift hạ cảnh giác, coi mối đe dọa tiềm ẩn kia như một đối tác hợp tác dài hạn đáng tin cậy.

Durable Nonce và lỗ hổng công cụ phát triển

Sau khi xây dựng được lòng tin sâu dày, kẻ tấn công bắt đầu triển khai kế hoạch xâm nhập cuối cùng: họ làm lây nhiễm máy làm việc của nhà phát triển bằng cách chia sẻ kho mã độc (Repo) hoặc mời cài đặt phiên bản thử nghiệm của ứng dụng (TestFlight). Kết quả điều tra cho biết kẻ tấn công đã tận dụng các lỗ hổng bảo mật nghiêm trọng tồn tại trong các công cụ phát triển khi đó như VSCode và Cursor; chỉ cần nhà phát triển mở một thư mục nhất định trong trình chỉnh sửa, mã độc sẽ tự động chạy mà không cần cảnh báo.

Khi đã kiểm soát được thiết bị của hai thành viên trong Hội đồng Bảo mật (Security Council), hacker đã dụ họ ký các lệnh ủy quyền có quyền quản trị. Sau đó, họ tận dụng tính năng hợp pháp trên mạng Solana có tên “Durable Nonces” để lưu trữ các lệnh giao dịch đã được ký sẵn trên blockchain trong suốt một tuần nhằm né tránh phát hiện.

Cho đến ngày 1 tháng 4, cái bẫy hoàn toàn được thu lưới: hacker đã thực hiện 31 giao dịch rút tiền chỉ trong 10 giây. Tài sản bị ảnh hưởng cực kỳ rộng, bao gồm token $JLP trị giá 155 triệu USD, cùng hơn 66,4 triệu $USDC, 477k $WETH và nhiều tài sản chủ lực khác, khiến giá trị tổng vốn bị khóa của Drift (TVL) giảm từ 550 triệu USD xuống dưới 250 triệu USD, và giá token gốc DRIFT cũng lao dốc hơn 98%.

Tranh cãi về sơ suất dân sự và mối đe dọa từ AI, buộc chuyển đổi theo “chuẩn mực an toàn” của DeFi

Sự việc này đã vấp phải làn sóng chỉ trích mạnh mẽ từ giới luật lẫn giới kỹ thuật. Luật sư tiền mã hóa Ariel Givner chỉ ra rằng hành vi của nhóm Drift có thể cấu thành “sơ suất dân sự”, vì đội phát triển đã không tuân thủ các quy trình an toàn vận hành cơ bản, chẳng hạn như lưu trữ khóa ký trong thiết bị vật lý hoàn toàn cách ly (Air-gapped systems) và mở các tệp bên ngoài không rõ nguồn gốc trên các thiết bị được gắn với việc quản lý quyền hạn.

Nguồn ảnh: X/@GivnerAriel Luật sư tiền mã hóa Ariel Givner cho biết hành vi của nhóm Drift có thể cấu thành “sơ suất dân sự”

Đồng thời, Giám đốc công nghệ của Ledger là Charles Guillemet cảnh báo rằng, cùng với sự phát triển và phổ biến của công nghệ AI, chi phí của loại kỹ thuật xã hội tinh vi này đang tiến về gần như bằng 0. AI có thể tạo ra các danh tính giả và tài liệu kỹ thuật có sức thuyết phục cao, khiến hàng rào phòng vệ của con người ngày càng mong manh. Hiện tại, Drift đã đóng băng tất cả các chức năng của giao thức và đang cố gắng đàm phán on-chain với ví của hacker, nhưng nhiều nơi tỏ ra bi quan về khả năng thu hồi tiền.

Vụ cướp này gửi đến toàn ngành một lời cảnh báo nặng nề: khi hacker đã chuyển sang tấn công tâm lý con người thay vì logic của mã, chỉ dựa vào quản trị ví đa chữ ký (multisig) sẽ không thể đảm bảo an toàn tài sản; tăng cường kỷ luật vận hành và cách ly phần cứng mới là lối thoát duy nhất để phòng ngừa các mối đe dọa cấp quốc gia.

Đọc thêm
Drift bị hack là lỗi của ai? Hacker xuyên chuỗi tài sản nhưng không đóng băng, ZachXBT chỉ trích Circle vì thất trách