Giao thức Drift vào thứ Bảy đã công bố báo cáo chi tiết nhất cho đến nay về vụ tấn công ngày 1 tháng 4 đã rút khoảng 280 triệu đô la từ sàn giao dịch hợp đồng vĩnh cửu trên Solana, mô tả đây là "chiến dịch tình báo có cấu trúc" mà đội ngũ này cho biết đã mất khoảng sáu tháng để dàn dựng.
Theo bản cập nhật, liên hệ ban đầu đến vào khoảng mùa thu năm 2025, khi các cá nhân tự nhận là một công ty giao dịch định lượng tiếp cận các thành viên đóng góp của Drift tại một hội nghị tiền mã hóa lớn và bày tỏ sự quan tâm đến việc tích hợp trên giao thức. Một nhóm Telegram đã được thiết lập tại cuộc họp đầu tiên đó, và những cá nhân tương tự tiếp tục gặp mặt trực tiếp các thành viên đóng góp của Drift tại các sự kiện trong ngành ở nhiều quốc gia trong những tháng tiếp theo.
Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm này đã tích hợp một Ecosystem Vault trên Drift, điền vào biểu mẫu chiến lược tiêu chuẩn, tham gia nhiều buổi làm việc với các thành viên đóng góp và gửi hơn 1 triệu đô la vốn của họ. Drift cho biết hành vi này phù hợp với cách các công ty giao dịch hợp pháp thường tích hợp với giao thức.
Đánh giá pháp y các thiết bị bị ảnh hưởng và lịch sử liên lạc sau vụ tấn công đã chỉ ra mối quan hệ đó là con đường xâm nhập có thể xảy ra. Drift cho biết các cuộc trò chuyện Telegram của nhóm và phần mềm độc hại liên quan đã bị xóa sạch vào những thời điểm cuộc tấn công bắt đầu.
Đánh giá sơ bộ của Drift xác định hai phương pháp xâm phạm tiềm năng. Một thành viên đóng góp có thể đã bị nhiễm độc sau khi sao chép một kho mã mà nhóm chia sẻ dưới vỏ bọc triển khai giao diện người dùng (frontend) cho vault của họ. Một thành viên đóng góp thứ hai bị lôi kéo cài đặt phiên bản beta của một ứng dụng thông qua bản dựng TestFlight của Apple mà nhóm mô tả là sản phẩm ví của họ.
Đối với con đường kho mã, Drift đã đánh dấu một lỗ hổng bảo mật của VS Code và Cursor mà các nhà nghiên cứu bảo mật đã công khai cảnh báo từ tháng 12 năm 2025 đến tháng 2 năm 2026, trong đó việc chỉ cần mở một tệp, thư mục hoặc kho lưu trữ trong trình chỉnh sửa có thể âm thầm thực thi mã tùy ý mà không cần nhắc nhở người dùng.
Bản thân vụ tấn công, như The Block đã báo cáo trước đây, không liên quan đến lỗi hợp đồng thông minh. Drift đã mô tả nó là một "cuộc tấn công mới lạ liên quan đến các nonces bền vững", một yếu tố nguyên thủy (primitive) hợp pháp của Solana cho phép các giao dịch được ký trước và thực hiện sau. Kẻ tấn công đã có được các phê duyệt đa chữ ký (multisig) trước, có thể thông qua kỹ thuật xã hội hoặc xuyên tạc giao dịch, sau đó sử dụng các ủy quyền đã ký trước đó để chiếm đoạt quyền quản trị của Hội đồng Bảo mật và rút cạn giao thức trong vài phút.
Drift cho biết với sự hỗ trợ của nhóm SEAL 911, họ đánh giá với "mức độ tin cậy trung bình đến cao" rằng hoạt động này được thực hiện bởi cùng các tác nhân do nhà nước Triều Tiên bảo trợ chịu trách nhiệm cho vụ tấn công 50 triệu đô la Radiant Capital vào tháng 10 năm 2024, mà Mandiant đã gán cho UNC4736, còn được gọi là AppleJeus hoặc Citrine Sleet, một nhóm hacker có liên hệ với Cục Trinh sát Tổng hợp của nước này.
Theo Drift, mối liên hệ dựa trên cả sự trùng lặp onchain và hoạt động. Dòng tiền được sử dụng để dàn dựng và thử nghiệm hoạt động của Drift có nguồn gốc từ những kẻ tấn công Radiant, và các nhân vật được triển khai trong chiến dịch có sự trùng lặp có thể nhận dạng với các hoạt động được biết có liên quan đến Triều Tiên (DPRK), Drift cho biết.
Đáng chú ý, Drift nhấn mạnh rằng các cá nhân xuất hiện tại các hội nghị trực tiếp không phải là công dân Triều Tiên. Giao thức này cho biết các tác nhân đe dọa của Triều Tiên hoạt động ở cấp độ này được biết đến là sử dụng các trung gian bên thứ ba để xử lý công việc xây dựng mối quan hệ, và các hồ sơ được sử dụng trong hoạt động này có lịch sử làm việc đầy đủ, thông tin xác thực công khai và mạng lưới chuyên nghiệp được thiết kế để chịu được sự thẩm định của đối tác.
Mandiant, công ty mà Drift đã thuê để dẫn đầu cuộc điều tra pháp y, chưa chính thức gán vụ tấn công Drift. Quyết định đó đang chờ hoàn tất pháp y thiết bị.
Drift cho biết tất cả các chức năng còn lại của giao thức đã bị đóng băng, các ví bị xâm phạm đã bị xóa khỏi multisig, và các địa chỉ của kẻ tấn công đã được gắn cờ với các sàn giao dịch và nhà điều hành cầu nối. Thám tử onchain ZachXBT đã riêng rẽ chỉ trích nhà phát hành stablecoin Circle vì điều mà anh ấy gọi là phản ứng chậm, cáo buộc kẻ tấn công đã chuyển khoảng 232 triệu USDC từ Solana sang Ethereum qua CCTP trong hơn sáu giờ mà không có bất kỳ khoản tiền nào bị đóng băng.
Vụ tấn công Drift là vụ tấn công DeFi lớn nhất năm 2026 tính đến thời điểm hiện tại và xếp thứ hai trong các sự cố bảo mật lớn nhất trong lịch sử Solana, sau vụ tấn công cầu nối Wormhole trị giá 325 triệu đô la vào năm 2022.
Drift đã ghi nhận công lao của các nhà nghiên cứu độc lập và thành viên SEAL 911 Taylor Monahan, tanuki42_, pcaversaccio và Nick Bax vì công việc của họ trong việc xác định các tác nhân, và kêu gọi bất kỳ nhóm nào tin rằng họ có thể đã bị nhắm mục tiêu bởi cùng nhóm đó liên hệ trực tiếp với SEAL 911.
"Thật ra mà nói - đây là cuộc tấn công tinh vi và có mục tiêu nhất mà tôi nghĩ mình từng thấy do Triều Tiên (DPRK) thực hiện trong không gian tiền mã hóa," tanuki42_ viết trên X, ngoài việc cảnh báo rằng các giao thức khác cũng có thể đã bị nhắm mục tiêu. "Tuyển dụng nhiều người hỗ trợ và sau đó khiến họ nhắm mục tiêu vào những người cụ thể ngoài đời thực tại các sự kiện tiền mã hóa lớn là một chiến thuật điên rồ."
Tuyên bố từ chối trách nhiệm: The Block là một cơ quan truyền thông độc lập chuyên cung cấp tin tức, nghiên cứu và dữ liệu. Tính đến tháng 11 năm 2023, Foresight Ventures là nhà đầu tư chính của The Block. Foresight Ventures đầu tư vào các công ty khác trong không gian tiền mã hóa. Sàn giao dịch tiền mã hóa Bitget là một đối tác LP chủ chốt của Foresight Ventures. The Block tiếp tục hoạt động độc lập để cung cấp thông tin khách quan, có tác động và kịp thời về ngành công nghiệp tiền mã hóa. Dưới đây là các công bố tài chính hiện tại của chúng tôi.
© 2026 The Block. Mọi quyền được bảo lưu. Bài viết này được cung cấp chỉ với mục đích thông tin. Nó không được cung cấp hoặc dự định sử dụng như lời khuyên pháp lý, thuế, đầu tư, tài chính hoặc bất kỳ lời khuyên nào khác.
