Câu chuyện về cách các hacker nhà nước Triều Tiên đã rút $285 triệu từ Drift Protocol vào Ngày Cá tháng Tư 2026 không bắt đầu bằng một dòng mã độc hại. Nó bắt đầu tại một hội nghị tiền điện tử nào đó vào mùa thu năm 2025, với một cái bắt tay.
Đó là chi tiết khiến đây trở thành vụ hack DeFi gây lo ngại nhất trong năm và có thể là hoạt động kỹ thuật xã hội tinh vi nhất trong lịch sử tiền điện tử. Những kẻ tấn công, được cho là có độ tin cậy trung bình-cao thuộc về một nhóm nhà nước Triều Tiên được biết đến với tên gọi UNC4736 (còn gọi là AppleJeus hoặc Citrine Sleet), đã không sử dụng sức mạnh brute-force để xâm nhập. Họ đã dành sáu tháng để xây dựng mối quan hệ chân thật giữa các thành viên trong nhóm Drift.
Kịch bản rất tỉ mỉ. Giả vờ là một công ty giao dịch định lượng hợp pháp, họ đã tiếp cận các nhà đóng góp của Drift tại nhiều hội nghị ngành công nghiệp lớn ở các quốc gia khác nhau vào cuối năm 2025 và đầu năm 2026. Họ rất thông thạo về kỹ thuật. Họ đã đặt ra những câu hỏi thông minh về chiến lược giao dịch và kiến trúc giao thức. Họ đã gửi hơn 1 triệu đô la tiền của chính họ để thiết lập uy tín. Một nhóm Telegram đã được thành lập, các cuộc họp diễn ra trực tiếp, và sau nhiều tháng trò chuyện sâu sắc, họ đã trở thành những đối tác làm việc đáng tin cậy từ quan điểm của Drift.
Sau đó, bệnh nhiễm trùng yên lặng đã đến. Các nhà điều tra đã xác định hai vector tấn công có khả năng: một trong những người đóng góp có thể đã sao chép một kho mã độc mà nhóm đã chia sẻ, được ngụy trang như một công cụ giao diện cho kho của họ. Một người khác đã bị lừa tải xuống một ứng dụng ví thông qua TestFlight của Apple, một công cụ mà, một cách mỉa mai, cũng đã được dùng để gỡ bỏ Bitchat khỏi Trung Quốc trong tuần này. Chỉ cần mở một tệp trong thư mục VS Code là đủ để thực thi mã một cách lén lút và cho phép kẻ tấn công truy cập từ xa. Không có cảnh báo. Không có thông báo. Chỉ một thiết bị bị xâm phạm.
Vào ngày 1 tháng 4, sử dụng các giao dịch multisig đã được ký trước mà đã nằm im lìm trong hơn một tuần, các kẻ tấn công đã thực hiện việc rút tiền trong khoảng 12 phút. 285 triệu đô la đã biến mất. Hầu hết trong số đó đã được chuyển sang Ethereum trong vài giờ. Token DRIFT đã sụp đổ hơn 40%. Nhóm Telegram và tất cả phần mềm độc hại liên quan đã ngay lập tức bị xóa sạch. "Công ty giao dịch" đã biến mất.
Các chuyên gia bảo mật rất thẳng thắn về điều này có nghĩa là: Sự phụ thuộc của DeFi vào quản trị multisig, lâu nay được coi là tiêu chuẩn vàng của sự an toàn, có thể không đủ khi kẻ thù sẵn sàng chi sáu tháng và một triệu đô la để trở thành đồng nghiệp của bạn trước. "Các nhóm crypto hiện đang đối mặt với những kẻ thù hoạt động giống như các đơn vị tình báo hơn là hacker," một công ty bảo mật blockchain đã lưu ý. Đây là một thực tế khó chịu nhưng là điều mà ngành công nghiệp cần phải đối mặt.