Nền tảng DeFi Drift bị tin tặc tấn công vào ngày Cá tháng Tư! Tin tặc đã rút sạch 270 triệu USD tài sản, khóa quản trị là lỗ hổng

Drift 遭駭流失逾 2.7 億美元，TVL 12 分鐘內蒸發逾 2.6 億，管理員密鑰疑遭入侵成致命漏洞。

Ngày 1 tháng 4 bùng phát một thảm họa thực sự, Drift bất ngờ rò rỉ thất thoát 270 triệu USD tài sản khổng lồ

Ngày 1 tháng 4, nền tảng giao dịch các sản phẩm tài chính phái sinh phi tập trung nổi tiếng trong hệ sinh thái Solana, Drift Protocol, đã gặp sự cố an ninh nghiêm trọng. Vào rạng sáng cùng ngày, nhiều tổ chức giám sát on-chain, bao gồm Lookonchain và CEO của Helius là Mert Mumtaz, lần lượt đưa ra cảnh báo, cho biết giao thức Drift xuất hiện luồng dòng vốn bất thường với các khoản tiền lớn.

Ban đầu, một số thành viên cộng đồng cho rằng đây là trò đùa ác ý ngày Cá tháng Tư, tuy nhiên sau đó Drift chính thức đã đăng một tuyên bố khẩn trên nền tảng X, nhấn mạnh đây là một cuộc tấn công thực sự đang diễn ra, tuyệt đối không phải trò đùa. Ngay sau đó, phía chính thức tuyên bố tạm dừng toàn diện chức năng gửi tiền và rút tiền trên nền tảng, đồng thời kêu gọi người dùng đừng tiếp tục nạp tiền. Dựa trên cuộc điều tra ban đầu và dữ liệu theo dõi on-chain, tổng tài sản bị đánh cắp trong vụ việc này được ước tính vượt quá 2.7 億美元.

圖源：X/@DriftProtocol Drift 官方發佈緊急聲明，強調攻擊事件是真實存在，並非愚人節笑話

Thảm họa này khiến tổng giá trị khóa trong nền tảng (TVL) trong đúng 12 phút ngã từ 3.09 億美元 xuống chỉ còn 41 triệu USD. Hiện tại, đội ngũ Drift đang phối hợp chặt chẽ với nhiều công ty điều tra an ninh mạng, nhà cung cấp dịch vụ cầu nối liên chuỗi và sàn giao dịch tập trung, nhằm truy vết và phong tỏa số tiền phi pháp bị tuồn ra, ngăn không cho tin tặc rửa tiền thêm.

Bẫy lừa đảo tiền giả được triển khai tỉ mỉ, quyền quản trị bị phá vỡ thành lỗ hổng then chốt

Theo phân tích từ các chuyên gia an ninh mạng và dữ liệu on-chain, cuộc tấn công có mức độ lên kế hoạch cao và độ phức tạp kỹ thuật. Từ ba tuần trước khi cuộc tấn công xảy ra, tin tặc đã bắt đầu dàn dựng. Kẻ tấn công đầu tiên tạo trên mạng Solana một loại token giả có tên “CarbonVote Token（$CVT）”, rồi bơm vào pool vốn của Raydium khoảng 500 美元 thanh khoản nhỏ, sau đó thông qua nhiều tuần giao dịch “quét sàn” đã thao túng nhân tạo lịch sử giá token, giả mạo giá của một oracles ổn định.

Đến ngày diễn ra cuộc tấn công, tin tặc nghi ngờ đã giành quyền kiểm soát khóa quản trị của giao thức Drift và ở giai đoạn then chốt đã trực tiếp đưa token $CVT vốn hoàn toàn vô giá trị này vào thị trường giao ngay của Drift. Để có thể dỡ sạch két, kẻ tấn công đồng thời nâng hạn mức rút tiền của nhiều thị trường như $USDC lên mức cực đoan tương đương 500 兆美元, tức là khiến cơ chế phòng vệ an toàn của nền tảng hoàn toàn mất hiệu lực.

Sau đó, kẻ tấn công nạp khoảng 7.85 億枚 token $CVT làm tài sản thế chấp, và lợi dụng “giá” giả bị thao túng để vay mượn số lượng lớn tài sản thật từ két của nền tảng. Cách làm này cho thấy kẻ tấn công am hiểu sâu cơ chế nền tảng của giao thức, đồng thời thực hiện đòn tấn công nhắm mục tiêu cực kỳ chính xác.

Dữ liệu on-chain vạch lộ đường chuyển tiền, ví HkGz4K đánh úp 20 két

Vụ hack chủ yếu được thực hiện thông qua địa chỉ ví được gắn nhãn là HkGz4K; trong thời gian cực ngắn đã thực hiện 31 giao dịch rút tiền quy mô lớn, gần như dọn sạch gần 20 két tài sản trong nền tảng. Thành phần tài sản bị rút ra rất đa dạng, bao gồm 64.640.000枚 $USDC, 42.700.000枚 $JLP, 23.300.000枚 $MOODENG, và hàng triệu枚 $USDT, $USDS, $JUP, $RAY cùng 477.000枚 $WETH.

Theo quá trình theo dõi, sau đó kẻ tấn công đã dùng bộ tổng hợp DEX trên Solana là Jupiter để chuyển đổi phần lớn số tiền gian lận thành $USDC, rồi chuyển sang mạng Ethereum thông qua cầu nối liên chuỗi. Trên chuỗi Ethereum, kẻ tấn công tiếp tục đổi số tiền thành khoảng 19,913 đồng Ether ( $ETH ).

Sự kiện này đã gây cú sốc mạnh về niềm tin thị trường. Token gốc của giao thức Drift là $DRIFT sau khi tin tức được công bố trong thời gian ngắn đã giảm sâu hơn 20%, giá từ mốc 0.071 美元 rơi xuống khoảng 0.05 美元. Mặc dù giá token gốc của Solana là $SOL đã bật lên sau khi chạm đáy 83.82 美元, nhưng nhà đầu tư trong toàn bộ hệ sinh thái vẫn trong trạng thái cảnh giác cao độ.

Niềm tin thị trường bị tổn hại, hệ thống phòng thủ an ninh của hệ sinh thái Solana đứng trước bài toán nghiêm trọng

Vụ việc an ninh quy mô thua lỗ lớn này một lần nữa gióng lên hồi chuông cảnh báo cho tài chính phi tập trung (DeFi), đặc biệt khi các vụ tấn công của tin tặc diễn ra dồn dập trong nửa đầu năm 2026. Chỉ trong vài giờ trước khi Drift xảy ra sự cố, giao thức staking LML trên Binance Smart Chain cũng bị tấn công khiến giá token gần như về 0; và tháng trước, sự kiện thao túng oracle của Venus Protocol cũng gây ra khoản lỗ 3.7 triệu 美元.

Người điều tra an ninh mạng Vladimir S cho biết, thảm họa của Drift lần này rất có khả năng liên quan đến việc rò rỉ khóa quản trị, khiến phía dự án hoàn toàn không có phương án ứng phó khi đối mặt với tin tặc. Đối với vụ việc này, Drift chính thức cho biết sẽ theo đuổi các hướng đi pháp lý và nỗ lực hết sức để thu hồi tiền.

Tuy nhiên dữ liệu lịch sử cho thấy, giá token của các dự án bị hack thường khó có thể phục hồi về mức cao trước sự kiện, và việc khôi phục niềm tin của người dùng thường cần rất nhiều thời gian. Hiện Drift vẫn đang trong trạng thái tạm dừng hoạt động, và thảm họa 270 triệu USD này không nghi ngờ gì nữa đã trở thành vụ tai nạn an ninh lớn thứ hai trong lịch sử hệ sinh thái Solana, chỉ sau vụ hack Wormhole. Sự kiện này cũng làm nổi bật rằng, song song với việc theo đuổi giao dịch hiệu năng cao, cách tăng cường tính an toàn của quyền quản trị và cơ chế oracle đã trở thành vấn đề cốt lõi mà các nhà phát triển buộc phải ưu tiên giải quyết.