#DriftProtocolHacked

Sự khai thác DeFi lớn nhất năm 2026 vừa xảy ra và nó đã chấn động cốt lõi của Solana:

Vào ngày 1 tháng 4 năm 2026, trong một sự kiện mà chính nhóm phát triển buộc phải làm rõ là "KHÔNG phải trò đùa ngày Cá tháng Tư," Drift Protocol, một trong những sàn giao dịch hợp đồng vĩnh viễn phi tập trung nổi bật xây dựng trên Solana, đã bị tấn công bởi một lỗ hổng thảm khốc khiến toàn bộ hệ sinh thái DeFi rung chuyển đến tận gốc rễ. Thiệt hại ước tính dao động từ $200 triệu đô la theo cách thận trọng, với công ty an ninh blockchain CertiK báo cáo khoảng $136 triệu đô la, Arkham Intelligence ước tính gần hơn $285 triệu đô la, và phân tích on-chain ban đầu của PeckShield xác nhận độc lập các con số trong phạm vi $285 triệu đô la.

Dù con số cuối cùng được các điều tra viên xác nhận là bao nhiêu, thì sự đồng thuận rõ ràng: đây là vụ khai thác tiền điện tử lớn nhất năm 2026 tính đến thời điểm này, vượt qua cả vụ hack $60 triệu đô của Cetus Protocol vào mùa hè năm 2025, và đã một mình viết lại câu chuyện rủi ro cho DeFi dựa trên Solana.
Hãy phân tích chính xác những gì đã xảy ra, cách kẻ tấn công thực hiện và tại sao điều này lại quan trọng đối với từng người tham gia vào tài chính phi tập trung ngày nay.

Cách Thực Hiện Cuộc Tấn Công Một Bài Học Về Việc Khai Thác Chìa Khóa Quản Trị:

Theo các nhà nghiên cứu on-chain, nhà phân tích an ninh và dữ liệu blockchain, phương thức tấn công dường như bắt nguồn từ việc xâm phạm khóa riêng hoặc multisig quản trị. Dưới đây là trình tự các sự kiện được tái tạo từ dữ liệu blockchain: Địa chỉ ví của kẻ tấn công bắt đầu bằng "HkGz4K" lần đầu được nạp 1 SOL khoảng một tuần trước khi xảy ra lỗ hổng. Điều này cho thấy kẻ tấn công đã dành nhiều ngày để chuẩn bị lặng lẽ, có khả năng dò xét kiến trúc của giao thức và chờ đợi thời điểm thích hợp để tấn công. Khi đã sẵn sàng, kẻ tấn công đã xâm phạm khóa quản trị hoặc multisig kiểm soát tài khoản trạng thái cốt lõi của Drift Protocol. Với quyền truy cập đó, chúng có thể cập nhật trực tiếp tài khoản trạng thái của Drift, từ đó kiểm soát toàn bộ logic nội bộ của giao thức. Sử dụng quyền này, kẻ tấn công đã tạo ra các token thế synthetic hoặc giả mạo, đăng chúng làm tài sản thế chấp hợp lệ trong hệ thống, rồi vay các tài sản thật dựa trên đó — một cuộc tấn công "rút sạch collateral giả" điển hình đã từng được sử dụng trong các vụ khai thác DeFi khác, nhưng hiếm khi quy mô hoặc tinh vi như vậy.
Sau đó, kẻ tấn công nhanh chóng rút lui, theo quy trình tiêu chuẩn của các vụ khai thác DeFi quy mô lớn: ngay lập tức chuyển tiền từ Solana sang Ethereum để tận dụng độ sâu thanh khoản lớn hơn và các tuyến thoát khỏi DEX nhiều hơn. Dữ liệu on-chain xác nhận rằng ít nhất $42 triệu đô la tiền bị đánh cắp đã được dùng để mua ETH ngay sau các giao dịch chuyển cầu, nhằm nhanh chóng chuyển đổi các tài sản có thể theo dõi thành dạng thanh khoản cao hơn và khó bị phong tỏa hơn.
Các báo cáo về hoạt động đáng ngờ bắt đầu xuất hiện khoảng hai giờ trước khi toàn bộ quy mô của vụ khai thác trở nên rõ ràng, khi người dùng nhận thấy các chuyển khoản lớn bất thường rời khỏi vault của Drift Protocol sang địa chỉ đó. Lúc đó, các cuộc điều tra bắt đầu, nhưng khi nhóm xác nhận vụ tấn công và phát hành tuyên bố công khai, thiệt hại đã xảy ra.

Phản ứng của Drift Protocol và Tình trạng hiện tại:

Nhóm của Drift Protocol đã phản ứng nhanh chóng khi xác nhận vụ vi phạm. Các khoản gửi và rút tiền đã bị tạm ngưng ngay lập tức, giao thức hiện đang trong trạng thái tạm dừng hoạt động hoàn toàn. Nhóm đã phát hành một tuyên bố chính thức xác nhận sự cố an ninh và rõ ràng nhấn mạnh, theo lời của họ, rằng "đây KHÔNG phải trò đùa ngày Cá tháng Tư," một câu nói tự nó đã nói lên điều gì đó về thời điểm kỳ quặc của thảm họa này.
Hiện tại, nhóm đang tích cực phối hợp với các công ty an ninh blockchain, nhà vận hành cầu nối chuỗi chéo và các sàn giao dịch tập trung để cố gắng phong tỏa hoặc truy tìm các khoản tiền bị đánh cắp. Việc có thể thu hồi bất kỳ phần nào của số tiền này vẫn còn rất mơ hồ. Phương thức tấn công xâm phạm khóa quản trị kết hợp với việc tạo collateral giả mạo không để lại con đường rõ ràng để đảo ngược hoặc phong tỏa trên chuỗi như các lỗi hợp đồng thông minh đôi khi làm, vì kẻ tấn công hoạt động với quyền hạn hợp lệ của giao thức đã được cấp thông qua việc xâm phạm khóa.

Tác động Thị trường Token DRIFT và Hệ sinh thái Solana:

Phản ứng của thị trường diễn ra ngay lập tức và dữ dội. Giá token DRIFT giảm từ 25% đến 35% sau tin tức về vụ khai thác, rơi xuống khoảng $0.064 theo dữ liệu giá theo thời gian thực. Trong bối cảnh DRIFT đã chịu áp lực trong một môi trường thị trường rộng lớn có biến động đáng kể, vụ hack này đã đặt ra một dấu hỏi về khả năng phục hồi trong ngắn hạn của token. Nhưng tác động còn vượt xa hơn cả token DRIFT. Drift Protocol không phải là một dự án nhỏ lẻ, nó được xem là một phần nền tảng của hệ sinh thái DeFi trên Solana, đặc biệt trong lĩnh vực giao dịch perpetual, với Tổng Giá Trị Khóa (TVL) trước vụ tấn công là trên ( triệu đô la. Số tiền bị đánh cắp, ngay cả theo ước tính thận trọng là ) triệu đô la, chiếm hơn một phần ba tổng TVL đó, bị rút trong một vụ tấn công duy nhất. Đó là một sự kiện phá hủy ở cấp độ giao thức, không chỉ là một gián đoạn thanh khoản nhỏ.

Vụ hack đã ngay lập tức thổi bùng các cuộc tranh luận nghiêm trọng trong cộng đồng Solana và không gian DeFi rộng lớn hơn về độ an toàn của các cấu trúc khóa quản trị, rủi ro của quyền nâng cấp tập trung trong các giao thức tự xưng là "phi tập trung," và mức độ rủi ro custodial mà người dùng vô hình chấp nhận khi gửi tiền vào các giao thức DeFi, kể cả những dự án đã được kiểm tra kỹ lưỡng. Hệ sinh thái DeFi của Solana đã có đà tăng trưởng mạnh mẽ trong chu kỳ này, nhưng vụ khai thác này chắc chắn sẽ dẫn đến làn sóng thận trọng, rà soát lại các mã nguồn, và có thể rút tiền khỏi các giao thức tương tự khi người dùng xem xét lại mức độ rủi ro của họ.
Bức tranh lớn hơn về An ninh DeFi năm 2026:

Vụ hack này không xảy ra trong một môi trường cô lập. Nó theo sau một mô hình các vụ khai thác DeFi ngày càng lớn và tinh vi mà các nhà nghiên cứu an ninh đã cảnh báo trong nhiều năm: rủi ro từ khóa quản trị, thất bại trong quản lý multisig, và khoảng cách giữa kiến trúc "kỹ thuật phi tập trung" và các điểm thất bại tập trung trong thế giới thực, ngay cả trong các giao thức được tôn trọng nhất. Các tác nhân đe dọa cực kỳ tinh vi đã thể hiện rõ hành vi tấn công kiên nhẫn, có phương pháp: âm thầm nạp tiền vào ví, quan sát trong nhiều ngày hoặc tuần, chờ đợi thời điểm thích hợp, tấn công nhanh, cầu nối ngay lập tức, rồi chuyển đổi sang ETH hoặc stablecoin trước khi ai đó kịp phản ứng. Chưa rõ liệu các tác nhân nhà nước có đứng sau vụ khai thác Drift hay không, nhưng phương pháp tấn công này có nhiều điểm tương đồng rõ ràng với các mẫu hình đã từng được gán cho các nhóm đe dọa tiên tiến trước đây.

Đối với người dùng thường xuyên đã tương tác với Drift Protocol, hành động khuyến nghị ngay lập tức từ cộng đồng an ninh là thu hồi tất cả các quyền phê duyệt hợp đồng thông minh liên kết với Drift bằng các công cụ đáng tin cậy, theo dõi ví của bạn để phát hiện hoạt động đáng ngờ, và tránh kết nối ví của bạn với bất kỳ trang web nào tuyên bố cung cấp "hoàn tiền Drift Protocol" — những khả năng này gần như chắc chắn là các hoạt động lừa đảo nhằm tận dụng sự hỗn loạn của vụ hack.

Những điều cần thay đổi:

Vụ khai thác Drift Protocol là một bài học lớn do chính người dùng trả giá, về tầm quan trọng không thể thương lượng của quản lý khóa phi tập trung trong các giao thức DeFi. Không có giao thức nào nên có một khóa quản trị duy nhất hoặc một nhóm multisig nhỏ có quyền cập nhật các tài khoản trạng thái cốt lõi một cách đơn phương, hoàn toàn không thể chấp nhận. Các cơ chế khóa thời gian, quản trị trên chuỗi cho các hành động quản trị, tính toán đa bên cho quản lý khóa, và các cuộc kiểm tra an ninh độc lập định kỳ không chỉ về mã nguồn mà còn về thực hành quản lý khóa vận hành của nhóm phát triển phải trở thành tiêu chuẩn cơ bản, chứ không phải là các nâng cấp tùy chọn. Cho đến khi các giao thức DeFi tự đặt ra và duy trì tiêu chuẩn này một cách nhất quán, các sự kiện như $550 sẽ còn tiếp tục xảy ra và số tiền bị mất sẽ ngày càng lớn hơn.

Hãy giữ an toàn. Thu hồi quyền phê duyệt. Kiểm tra mọi thứ. Và đừng bao giờ nghĩ rằng TVL cao hoặc danh tiếng mạnh mẽ có nghĩa là một giao thức không thể thất bại thảm khốc.