Vừa xem xong phân tích toàn diện chuỗi sự kiện của Drift Protocol, tôi phải nói rằng đây có thể là một trong những trường hợp an toàn DeFi gây sốc nhất tôi từng thấy trong năm nay.

Sự việc xảy ra vào ngày 1 tháng 4. Sàn giao dịch hợp đồng vĩnh viễn lớn nhất trong hệ sinh thái Solana, Drift, trong vòng chưa đầy nửa giờ đã bị rút sạch 285 triệu USD. Nhưng đây không phải là một lỗ hổng phức tạp của hợp đồng thông minh, ngược lại, nó đã phơi bày một điểm yếu chí tử mà chúng ta luôn bỏ qua: con người.

Điều tôi quan tâm nhất là phương pháp tấn công của hacker. Họ đã mất trọn sáu tháng để chuẩn bị. Đầu tiên giả danh thành một tổ chức giao dịch định lượng lớn, mang theo tiền thật vào hệ sinh thái của Drift, tham gia các hội nghị tiền mã hóa, xây dựng mối quan hệ với đội ngũ cốt lõi. Chiếc mặt nạ hacker này rất chuyên nghiệp — không đơn thuần là lừa đảo qua email, mà thông qua việc cung cấp các đề xuất kiểm thử sản phẩm chất lượng cao và ý kiến chiến lược, dần dần họ đã có được quyền truy cập vào nhóm liên lạc nội bộ.

Bước thứ hai còn tinh vi hơn. Họ lợi dụng cơ chế "Durable Nonces" đặc biệt của Solana — thiết kế ban đầu để thuận tiện cho việc ký giao dịch ngoại tuyến, nhưng lại bị họ biến thành bom hẹn giờ. Thông qua một số yêu cầu kiểm thử giả mạo, họ đã dụ dỗ các thành viên Ủy ban An toàn của Drift thực hiện "ký mù" (Blind Signing). Những giao dịch tưởng chừng bình thường, payload thực chất là chuyển quyền quản trị cao nhất của giao thức.

Sau đó, mọi thứ trở nên tồi tệ hơn. Ngày 27 tháng 3, Drift thực hiện một cập nhật quản trị có vẻ tiến bộ: thay đổi Ủy ban An toàn thành cấu trúc đa chữ ký 2/5. Nhưng vấn đề là — họ đã loại bỏ khóa thời gian (time lock). Điều này có nghĩa là chỉ cần hai chữ ký, bất kỳ lệnh nào thay đổi logic cốt lõi của giao thức đều sẽ được thực thi ngay lập tức. Không có thời gian phản ứng.

Đến ngày 1 tháng 4, mọi chuẩn bị đã hoàn tất. Hacker cùng lúc kích hoạt các lệnh đa chữ ký đã bị đánh cắp trước đó, ngay lập tức chiếm quyền Admin. Các thao tác tiếp theo giống như rút tiền trong ví của chính mình — họ thêm một token giả tên CVT vào danh sách trắng, nâng giới hạn vay lên mức cao nhất, thao túng giá qua oracle, dùng các token vô giá trị này làm tài sản thế chấp, hợp pháp "vay" ra 285 triệu USD USDC, SOL và ETH.

Điều mỉa mai nhất là: từ góc độ chuỗi khối, mọi bước đi của hacker đều hoàn toàn hợp pháp. Họ không tận dụng lỗi tràn số hay tấn công reentrancy, chỉ đơn giản là lấy được khóa quản trị thực sự, rồi theo quy trình bình thường để rút tiền ra.

Điều này đã phơi bày vấn đề cốt lõi của quản trị DeFi hiện tại: chúng ta dùng công cụ đa chữ ký cấp bán lẻ để quản lý hàng chục tỷ USD giá trị. Hầu hết các giao thức DeFi chính thống vẫn dựa vào hợp đồng thông minh đa chữ ký truyền thống (như Safe), kiến trúc này có hai điểm thiếu sót căn bản. Thứ nhất, không thể phòng chống tấn công xã hội — chỉ cần hacker nắm được các nhân vật chủ chốt giữ khóa riêng, hàng phòng thủ sẽ sụp đổ. Thứ hai, không có xác thực ý định — đa chữ ký chỉ xác nhận "đây có phải là chữ ký của những người này không", chứ không thể xác minh "họ ký cái gì, ý định là gì".

Tôi nghĩ sự kiện này đánh dấu một bước ngoặt trong an toàn DeFi. Từ một dự án đam mê kỹ thuật chuyển sang hạ tầng tài chính thực thụ, tiêu chuẩn an toàn phải được nâng cấp. Nhận thức trong ngành dần hình thành, các hướng bảo vệ DeFi thế hệ tiếp theo nên bao gồm một số điểm chính:

Trước tiên là nâng cấp phần cứng. Sử dụng HSM (thiết bị an toàn phần cứng) thay thế đa chữ ký phần mềm — khóa riêng được lưu trữ trong chip mã hóa cấp quân sự, không thể xuất ra ngoài. Sự cách ly vật lý này và kiểm soát cấp phần cứng có thể hoàn toàn loại bỏ rủi ro xã hội và xâm phạm thiết bị nội bộ.

Thứ hai là giới thiệu bộ máy chiến lược dựa trên ý định. Trong tương lai, quyền cấp phép DeFi không thể chỉ dừng lại ở "xác thực chữ ký". Hệ thống cần tích hợp logic quản lý rủi ro — ví dụ, khi một giao dịch cố gắng thay đổi giới hạn vay của token chưa xác định thành vô hạn, bộ máy chiến lược nên tự động nhận diện các ý định bất thường, kích hoạt cơ chế gián đoạn, bắt buộc xác thực cấp cao hơn (như kiểm duyệt nhiều lớp, xác minh video hoặc khóa thời gian bắt buộc).

Cuối cùng là giới thiệu dịch vụ lưu ký độc lập của bên thứ ba. Khi TVL tiếp tục tăng trưởng, các nhà phát triển giao thức nên tập trung vào logic mã và đổi mới kinh doanh, giao quyền kiểm soát và bảo vệ hàng tỷ USD cho các tổ chức lưu ký chuyên nghiệp có khả năng tuân thủ quy định. Giống như trong tài chính truyền thống, sàn giao dịch không để tài sản của người dùng trong két sắt cá nhân của chủ sở hữu. Việc đưa vào các quy trình kiểm soát rủi ro có kiểm toán, có khả năng phòng thủ trước các cuộc tấn công mạnh mẽ là con đường tất yếu để DeFi mở rộng quy mô.

Khoản 285 triệu USD của Drift có thể là bài học an toàn đắt giá nhất. Nhưng theo một góc độ khác, sự kiện này có thể chính là điểm chuyển đổi trong mô hình an toàn của DeFi — từ quản trị lỏng lẻo sang kiến trúc phần cứng, xác thực ý định và lưu ký chuyên nghiệp. Chỉ khi tăng cường các biện pháp phòng thủ này, Web3 mới có thể thực sự đảm nhận giá trị hàng nghìn tỷ trong tương lai.