Vào khoảng ngày 2 tháng 4 năm 2026, nhiều tài khoản giám sát trên chuỗi và các phương tiện truyền thông đã báo cáo về việc rút vốn bất thường từ Drift Protocol, một giao thức cho vay và phái sinh tích hợp dựa trên Solana. Dự án sau đó xác nhận rằng nó đang bị tấn công. Tổng cộng, khoảng 280 triệu đô la đã được rút ra từ giao thức. Drift đã tạm dừng việc gửi và rút tiền và đang phối hợp với các công ty bảo mật, cầu nối chuỗi chéo và các nền tảng giao dịch để ứng phó.
Drift Protocol là gì?
Drift là một giao thức DeFi tổng hợp “cấp trao đổi”. Ra mắt vào năm 2021, nó bắt đầu như một trong những giao thức vĩnh viễn hàng đầu trên Solana và sau đó mở rộng sang giao dịch giao ngay, cho vay và một câu chuyện “siêu giao thức” rộng lớn hơn. Vào năm 2024, Drift cho biết giao thức đã vượt qua 350 triệu đô la trong TVL, phục vụ hơn 175.000 nhà giao dịch và tạo ra hơn 20 tỷ đô la trong khối lượng giao dịch tích lũy. Vào tháng 9 của cùng năm, nó cũng hoàn thành một Series B trị giá 25 triệu đô la, đưa tổng số vốn huy động lên 52,5 triệu đô la.
Ở cấp độ cơ chế, tài liệu của Drift rõ ràng thừa nhận sự phụ thuộc của nó vào các tài khoản oracle bên ngoài và mô tả một tập hợp các biện pháp bảo vệ bao gồm kiểm tra tính hợp lệ của oracle, cắt giảm TWAP, xác thực băng giá lệch, và, khi cần thiết, cập nhật trạng thái thị trường để hạn chế các hành động cụ thể. Lịch sử, câu chuyện công khai của Drift cũng nhấn mạnh rằng nếu giá oracle trở nên “không hợp lệ hoặc bị thao túng,” tài sản trao đổi có thể bị rút trong một khoảng thời gian ngắn, đó là lý do tại sao giao thức dựa vào xác thực nhiều bước và “các bộ ngắt mạch đa băng” để mua thời gian cho phản ứng.
Tuy nhiên, cuộc tấn công này cho thấy rằng ngay cả khi một giao thức có các rào cản bảo vệ rủi ro thị trường tương đối toàn diện, một khi kẻ tấn công có thể truy cập hoặc ảnh hưởng đến lớp quyền phép — chẳng hạn như các khóa quản trị, multisigs, hoặc các kênh quản trị cho các thông số rủi ro — các rào cản đó có thể trở thành công cụ cho lạm dụng. Ví dụ, một số ngưỡng có thể bị bóp méo, hoặc trọng số thế chấp của một tài sản nhất định có thể bị nâng lên mức phi lý, cho phép hệ thống thực hiện chuyển nhượng tài sản “hợp pháp” sau khi các quy tắc cơ bản đã bị viết lại.
Drift Protocol Phản hồi với Mất Mát 280 Triệu Đô La: Kỹ Thuật Xã Hội và Cuộc Tấn Công Dựa trên Nonce Bền Vững
Drift Protocol đã phát hành một thông cáo về sự cố bảo mật hôm nay, cho biết một tác nhân độc hại đã truy cập trái phép vào giao thức thông qua một cuộc tấn công mới liên quan đến các nonce bền vững, và nhanh chóng chiếm quyền kiểm soát quyền hành chính của Hội đồng Bảo mật Drift. Drift cho biết hoạt động này rất tinh vi, dường như đã được chuẩn bị trong vài tuần, và được thực hiện theo từng giai đoạn, bao gồm việc sử dụng các tài khoản nonce bền vững để ký trước các giao dịch và trì hoãn việc thực hiện của chúng.
Theo cuộc điều tra hiện tại của Drift, sự cố này không phải do lỗi trong các chương trình hoặc hợp đồng thông minh của Drift, cũng không có bằng chứng nào cho thấy các cụm từ hạt giống liên quan đã bị xâm phạm. Drift tin rằng kẻ tấn công đã có được sự chấp thuận giao dịch trái phép hoặc bị ngụy trang trước khi thực hiện, với cơ chế nonce bền vững và các chiến thuật kỹ thuật xã hội tinh vi đóng vai trò quan trọng. Tổng cộng, khoảng 280 triệu đô la tài sản đã bị rút khỏi giao thức.
Drift cho biết kẻ tấn công đã có thể thực hiện cuộc tấn công thông qua một số bước quan trọng. Đầu tiên, kẻ tấn công đã chuẩn bị trước một lộ trình truy cập bằng cách sử dụng các tài khoản nonce bền vững. Họ sau đó đã có đủ sự chấp thuận từ multisig — cụ thể là 2 trong số 5 chữ ký cần thiết. Chỉ trong vài phút, họ đã thực hiện một chuyển nhượng độc hại của quyền hành chính, giành quyền kiểm soát ở cấp độ giao thức. Cuối cùng, họ đã sử dụng quyền đó để giới thiệu một tài sản độc hại và loại bỏ tất cả các giới hạn rút tiền trước đó, cho phép cuộc tấn công vào quỹ của người dùng.
Hiện tại, tất cả tài sản đã gửi vào mô-đun cho vay, kho, và tài khoản giao dịch đều đã bị ảnh hưởng. Các tài sản không bị ảnh hưởng bao gồm DSOL chưa được gửi vào Drift, bao gồm cả các tài sản được đặt cược cho Drift Validator, cũng như tài sản quỹ bảo hiểm. Những tài sản này sẽ được rút khỏi giao thức và chuyển đến một môi trường an toàn hơn để bảo vệ.
Như một biện pháp phòng ngừa, Drift đã đóng băng tất cả chức năng còn lại của giao thức và cập nhật cấu hình multisig để loại bỏ các ví bị ảnh hưởng.
Phân tích Kỹ thuật: Token CVT Giả và Thao Túng Oracle
Theo phân tích trước đó của nhà phát triển Helius Ichigo, sự cố Drift Protocol có thể liên quan đến việc kẻ tấn công tạo ra một token CVT giả và thao túng oracle Switchboard, từ đó thiết lập lộ trình tấn công. Anh ta cho biết kẻ tấn công sau đó đã sử dụng các chiến thuật kỹ thuật xã hội để tham gia vào quy trình quản trị của Hội đồng Bảo mật và, trong bối cảnh quyền kiểm soát multisig có thể đã bị xâm phạm, đã thúc đẩy để token được niêm yết như một tài sản thế chấp với trọng số cao. Kẻ tấn công được cho là đã đúc “token giả” nhiều tuần trước, tạo ra một neo giá trên Raydium với thanh khoản cực thấp (khoảng 500 đô la), và sau đó liên tục thực hiện giao dịch wash để tạo ra hành động giá giả và lịch sử giao dịch, mở đường cho hồ sơ giá sau này của oracle.
Phản ứng Thị Trường Ngay Lập Tức
Sau cuộc tấn công vào Drift Protocol, token quản trị DRIFT đã giảm hơn 40% trong 24 giờ qua. Tại các sàn giao dịch lớn như Binance, tỷ lệ tài trợ hàng năm trên DRIFT USDT-margined perpetuals đã tăng lên mức tối đa, vượt quá 6,000%, với các lệnh short phải trả khoản trợ cấp khổng lồ cho longs.
Thời gian xảy ra sự cố
Ngày 23 tháng 3: Kẻ tấn công đã hoàn tất thiết lập nonce ban đầu. Tổng cộng bốn tài khoản nonce bền vững đã được tạo ra trong ngày hôm đó: hai tài khoản liên quan đến các thành viên của multisig Hội đồng Bảo mật Drift, trong khi hai tài khoản còn lại được kiểm soát bởi kẻ tấn công. Drift tin rằng điều này cho thấy ít nhất 2 trong số 5 người ký multisig đã ký trước các giao dịch liên quan đến các tài khoản nonce bền vững, từ đó làm cho việc trì hoãn thực hiện trở nên khả thi.
Ngày 27 tháng 3: Như đã kế hoạch, Drift đã thực hiện một cuộc di cư multisig của Hội đồng Bảo mật sau khi thay đổi thành viên Hội đồng Bảo mật.
Ngày 30 tháng 3: Hoạt động nonce bền vững mới lại xuất hiện. Một tài khoản nonce bền vững mới đã được tạo ra cho một thành viên của multisig đã được cập nhật. Drift tin rằng điều này gợi ý rằng kẻ tấn công một lần nữa đã có được quyền truy cập có hiệu quả sử dụng vào 2 trong số 5 người ký trong multisig đã được cập nhật.
Vào ngày 1 tháng 4, cuộc tấn công đã bước vào giai đoạn thực hiện. Drift trước tiên đã thực hiện một giao dịch rút tiền thử nghiệm từ quỹ bảo hiểm. Khoảng một phút sau, kẻ tấn công nhanh chóng thực hiện hai giao dịch nonce bền vững đã ký trước, với chỉ bốn khe giữa chúng. Giao dịch đầu tiên được sử dụng để tạo ra và phê duyệt một chuyển nhượng quản trị độc hại, trong khi giao dịch thứ hai phê duyệt và thực hiện chuyển nhượng độc hại đó. Tại thời điểm đó, kẻ tấn công chính thức kiểm soát quyền truy cập quan trọng của giao thức.
Drift cho biết sự thành công của cuộc tấn công phụ thuộc vào sự kết hợp của hai yếu tố: đầu tiên, việc sử dụng các giao dịch nonce bền vững đã ký trước, cho phép kẻ tấn công trì hoãn việc thực hiện cho đến một thời điểm trong tương lai; thứ hai, việc xâm phạm sự chấp thuận từ nhiều người ký multisig, rất có thể thông qua các cuộc tấn công kỹ thuật xã hội có chủ đích hoặc dữ liệu giao dịch bị ngụy trang.
Drift hiện đang làm việc với nhiều công ty an ninh để điều tra nguyên nhân gốc rễ của sự cố. Đồng thời, họ đang phối hợp với các cầu nối liên chuỗi, các sàn giao dịch và các cơ quan thực thi pháp luật để truy vết và đóng băng các tài sản bị đánh cắp. Drift cho biết họ sẽ phát hành một báo cáo chi tiết hơn trong những ngày tới và hoan nghênh mọi thông tin có thể hỗ trợ điều tra.
Quan điểm Chuyên gia và Phản ánh Quản trị
CTO của Ledger, Charles Guillemet cho biết sự cố này không phải là lỗi hợp đồng thông minh, mà là sự xâm phạm kéo dài của quy trình multisig. Kẻ tấn công có thể đã kiểm soát thiết bị hoặc khóa riêng của những người nắm giữ multisig và dẫn dắt các nhà điều hành phê duyệt các giao dịch độc hại. Ông cho biết phương pháp này giống hệt sự cố Bybit năm ngoái, mà được cho là có liên quan đến tin tặc DPRK. Ông kêu gọi ngành công nghiệp cải thiện phát hiện điểm cuối và áp dụng ký rõ ràng dựa trên phần cứng để giảm thiểu rủi ro ở lớp vận hành.
Người sáng lập Uniswap, Hayden Adams đã nói thẳng rằng các dự án tập trung phải ngừng tự gọi mình là DeFi; nếu các khóa quản trị có thể rút toàn bộ quỹ, thì thực chất đó là CeFi. Người sáng lập Chaos Labs, Omer Goldberg, đã thêm rằng các khóa ký của Drift có quyền kiểm soát hoàn toàn việc tạo thị trường, phân bổ oracle và giới hạn rút tiền, và không có khóa thời gian. Theo ông, kẻ tấn công chỉ cần khoảng 10 giây để đánh cắp quỹ.\u003ct-23/\u003e\u003cc-24/\u003e
