Solana Drift Protocol đã rút 285 triệu USD thông qua token giả và chiếm quyền quản trị

Những kẻ tấn công đã rút 285 triệu USD từ Drift Protocol, sàn giao dịch hợp đồng tương lai vĩnh viễn lớn nhất của Solana, vào ngày 1 tháng 4 năm 2026. TRM Labs ước tính việc rút tiền này mất khoảng 12 phút. Việc khai thác nhắm mục tiêu quản trị chứ không phải mã hợp đồng thông minh.

TRM Labs đánh giá vụ hack "có thể do tin tặc Triều Tiên thực hiện" dựa trên mô hình dàn dựng trên chuỗi. Elliptic đã đánh giá độc lập hành vi này là nhất quán với các hoạt động trước đây do DPRK hậu thuẫn.

Một tác nhân độc hại đã có được quyền truy cập trái phép vào Drift Protocol thông qua một cuộc tấn công mới liên quan đến nonces lâu dài, dẫn đến việc nhanh chóng chiếm đoạt quyền hành chính của Hội đồng Bảo an Drift.

— Giao thức trôi dạt, thông qua X

Quá trình chuẩn bị bắt đầu vào ngày 11 tháng 3 với việc rút 10 ETH từ Tornado Cash. Số tiền này được sử dụng để triển khai Mã thông báo CarbonVote (CVT), một tài sản hoàn toàn hư cấu với khoảng 750 triệu đơn vị được đúc. Kẻ tấn công đã tạo ra một nhóm thanh khoản nhỏ trên Raydium với số tiền vài nghìn đô la. Giao dịch rửa đã tạo nên lịch sử giá giả tạo gần $1.

Lời tiên tri của Drift đã tăng giá sản xuất. CVT bắt đầu giống như tài sản thế chấp hợp pháp.

Từ ngày 23 tháng 3 đến ngày 30 tháng 3, kẻ tấn công đã tạo nhiều tài khoản "dài hạn". Nonces bền vững là một tính năng hợp pháp của Solana cho phép các giao dịch được ký trước và thực hiện sau đó mà không hết hạn. Kẻ tấn công đã sử dụng kỹ thuật xã hội để lôi kéo những người ký nhiều chữ ký của Hội đồng Bảo mật Drift vào các giao dịch ký trước có vẻ như thông thường nhưng lại mang theo các ủy quyền ẩn.

Drift đã di chuyển Hội đồng Bảo an của mình vào ngày 27 tháng 3 sang ngưỡng 2 trên 5 mới mà không có khóa thời gian. Điều đó đã loại bỏ sự chậm trễ có thể cho phép phát hiện trước khi hành động của quản trị viên có hiệu lực.

Ngày 1 tháng 4 là ngày hành quyết. Kẻ tấn công đã liệt kê CVT là thị trường hợp lệ trên Drift, tăng giới hạn rút tiền lên mức cực cao và rút tiền từ gần 20 kho tiền.

Đây không phải là trò đùa Cá tháng Tư.

— Giao thức trôi dạt, thông qua X

Tài sản bị đánh cắp đã được chuyển đổi thành USDC và SOL. Kẻ tấn công đã kết nối chúng từ Solana sang Ethereum bằng Giao thức chuyển chuỗi chéo (CCTP) của Circle, chuyển đổi thành ETH và tích lũy được khoảng 129.066 ETH. Tiền gửi SOL đã được chuyển vào HyperLiquid và Binance.

ZachXBT đã công khai chỉ trích Circle vì đã không đóng băng USDC bị đánh cắp trong quá trình bridge. Tiền được di chuyển trong giờ làm việc của Hoa Kỳ trong nhiều giờ mà không cần can thiệp.

Khai thác đã xóa sạch hơn một nửa tổng giá trị bị khóa của Drift. TVL giảm từ khoảng 550 triệu USD xuống còn 252 triệu USD. Mã thông báo DRIFT giảm khoảng 40%.

Gần 20 giao thức DeFi được kết nối với nhau đã báo cáo hiệu ứng kích thích. PiggyBank_fi đã báo cáo mức tiếp xúc khoảng 106.000 đô la và bảo hiểm cho người dùng từ quỹ của nhóm. Ranger Finance đã tạm dừng tiền gửi với mức rủi ro ước tính trên 900.000 USD. Jupiter Exchange xác nhận nhóm JLP của họ vẫn được hỗ trợ đầy đủ.

Drift đã gửi tin nhắn trên chuỗi vào ngày 3 tháng 4 tới bốn ví chứa ETH bị đánh cắp. Giao thức kêu gọi những người nắm giữ mở một cuộc đối thoại.

Với giá trị 285 triệu USD, đây là vụ hack DeFi lớn nhất năm 2026. Đây là vụ khai thác lớn thứ hai trong lịch sử Solana, chỉ sau vụ hack cầu Wormhole trị giá 326 triệu USD vào năm 2022. TRM Labs lưu ý rằng hoạt động rửa tiền sau vụ hack đã vượt quá tốc độ khai thác Bybit vào năm 2025 cả về tốc độ và quy mô giao dịch. Các hoạt động tiền điện tử của Triều Tiên đã tuân theo các chiến lược tương tự kể từ ít nhất là vụ hack Ronin Bridge năm 2022.

Giai đoạn trên chuỗi bắt đầu vào ngày 11 tháng 3 với việc rút Tornado Cash. Các khoản tiền bắt đầu di chuyển vào ngày hôm sau vào khoảng 12:00 sáng GMT, khoảng 9:00 sáng giờ Bình Nhưỡng. CTO sổ cái Charles Guillemet đã đưa ra những điểm tương đồng với vụ hack Bybit trị giá 1,4 tỷ USD, cũng do các tác nhân Triều Tiên thực hiện. Ông đánh giá rằng những kẻ tấn công có thể đã xâm phạm các máy ký nhiều chữ ký thông qua quá trình xâm nhập lâu dài.

Hợp đồng thông minh bị trì hoãn. Mục tiêu thực sự hiện nay là con người: các điểm yếu của kỹ thuật xã hội và opsec nhiều hơn là khai thác mã.

— Lily Liu, Chủ tịch, Quỹ Solana

Triều Tiên đã đánh cắp khoảng 2 tỷ USD tiền điện tử vào năm 2025, theo Chainalysis. Đó là khoảng 60% tổng số tài sản kỹ thuật số bị đánh cắp trong năm đó. Vụ hack Bybit đã sử dụng mô hình tương tự. Kiên nhẫn, chuẩn bị kéo dài nhiều tuần nhắm mục tiêu quản trị và người ký chứ không phải mã.

Trail of Bits đã kiểm tra Drift vào năm 2022. ClawSecure đã kiểm tra nó vào tháng 2 năm 2026. Cả hai cuộc đánh giá đều không xác định được điểm yếu trong quản trị khiến cuộc tấn công có thể xảy ra. Việc giới thiệu thị trường CVT và việc di chuyển Hội đồng Bảo an không khóa thời gian nằm ngoài phạm vi kiểm tra tập trung vào mã.

Một vài nghìn đô la thanh khoản giả đã biến thành tài sản bị đánh cắp trị giá 285 triệu đô la. Kẻ tấn công không tìm thấy lỗi. Họ đã tạo mã thông báo, tạo ra mức giá, lừa người ký phê duyệt trước các giao dịch, xóa khóa thời gian và thực hiện. Mỗi bước đều nhắm đến con người và quản trị, không phải mã. Kiểm tra DeFi chỉ xem xét các hợp đồng thông minh, bỏ chọn bề mặt có thể khai thác nhiều nhất.

— Artem Safonov, Nhà phân tích mối đe dọa tại AnonHaven

Cindy Leow và David Lu đã thành lập Drift Protocol vào năm 2021. Sàn giao dịch này nắm giữ tổng số tiền gửi hơn 400 triệu USD trước cuộc tấn công. Drift cam kết tiết lộ thêm thông tin sau khi quá trình xem xét điều tra hoàn tất.