Sàn giao dịch phi tập trung (DEX) Drift Protocol dựa trên Solana cho biết vào Chủ nhật rằng cuộc tấn công đã rút khoảng 285 triệu USD từ nền tảng này là một chiến dịch tình báo có cấu trúc kéo dài sáu tháng do một nhóm đe dọa có liên kết với nhà nước Triều Tiên thực hiện.
Những kẻ tấn công đã sử dụng danh tính chuyên nghiệp giả mạo, các cuộc họp hội nghị trực tiếp và các công cụ phát triển độc hại để xâm nhập vào các cộng tác viên trước khi thực hiện hành vi rút tiền, giao thức cho biết trong một bản cập nhật sự cố chi tiết.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
“Các nhóm crypto hiện đang đối mặt với những kẻ thù hoạt động giống như các đơn vị tình báo hơn là hacker, và hầu hết các tổ chức không được chuẩn bị về mặt cấu trúc cho mức độ đe dọa đó,” Michael Pearl, Phó Chủ tịch Chiến lược tại công ty bảo mật blockchain Cyvers, nói với Decrypt.
Drift cho biết nhóm này lần đầu tiên tiếp cận các cộng tác viên tại một hội nghị tiền điện tử lớn vào mùa thu năm ngoái, tự giới thiệu là một công ty giao dịch định lượng đang tìm cách tích hợp với giao thức.
Trong nhiều tháng, nhóm này đã xây dựng lòng tin thông qua các cuộc họp trực tiếp, phối hợp qua Telegram, đưa một Kho tiền Hệ sinh thái (Ecosystem Vault) lên Drift và gửi 1 triệu USD vốn tự có vào kho tiền đó, chỉ để biến mất, cùng với các cuộc trò chuyện và phần mềm độc hại “bị xóa sạch hoàn toàn” khi lỗ hổng bị khai thác.
DEX cho biết sự xâm nhập có thể liên quan đến một kho mã độc hại, một ứng dụng TestFlight giả mạo và một lỗ hổng VSCode/Cursor cho phép thực thi mã một cách âm thầm mà không cần tương tác của người dùng.
Drift đã quy kết cuộc tấn công với mức độ “tin cậy trung bình cao” cho UNC4736, còn được biết đến với tên AppleJeus hoặc Citrine Sleet—cùng một nhóm có liên kết với nhà nước Triều Tiên mà công ty an ninh mạng Mandiant đã liên kết với vụ hack Radiant Capital năm 2024.
Drift cho biết những cá nhân đã gặp gỡ các cộng tác viên trực tiếp không phải là công dân Triều Tiên, lưu ý rằng các tác nhân liên quan đến CHDCND Triều Tiên thường dựa vào các bên trung gian thứ ba để “tiếp xúc trực tiếp.”
Dòng tiền trên chuỗi và các nhân vật trùng lặp chỉ ra các tác nhân liên quan đến CHDCND Triều Tiên, theo các nhà ứng phó sự cố SEAL 911, mặc dù Mandiant vẫn chưa xác nhận việc quy kết chờ đợi kết quả điều tra pháp y, nền tảng này lưu ý.
Nhà nghiên cứu bảo mật @tayvano_, một trong những chuyên gia mà Drift đã ghi nhận hỗ trợ trong việc xác định các tác nhân độc hại, gợi ý rằng sự phơi bày này có thể vượt xa sự cố này.
Trong một tweet, chuyên gia này đã liệt kê hàng tá giao thức DeFi, cáo buộc rằng "các nhân viên IT của Triều Tiên đã xây dựng các giao thức mà bạn biết và yêu thích, từ thời defi summer."
“Drift và Bybit làm nổi bật cùng một mô hình — những người ký không bị xâm phạm trực tiếp ở cấp độ giao thức, họ bị lừa để phê duyệt các giao dịch độc hại,” Pearl lưu ý. “Vấn đề cốt lõi không phải là số lượng người ký, mà là việc thiếu hiểu biết về mục đích giao dịch.”
Ông nói rằng ví đa chữ ký, mặc dù là một cải tiến so với kiểm soát bằng một khóa duy nhất, giờ đây lại tạo ra một cảm giác an toàn giả tạo, giới thiệu “một nghịch lý” nơi trách nhiệm chung làm giảm sự giám sát của những người ký.
“Bảo mật phải chuyển sang xác thực trước giao dịch ở cấp độ blockchain, nơi các giao dịch được mô phỏng và xác minh độc lập trước khi thực hiện,” Pearl nói, thêm rằng một khi những kẻ tấn công kiểm soát những gì người dùng thấy, biện pháp phòng thủ hiệu quả duy nhất là xác thực những gì một giao dịch thực sự làm, bất kể giao diện là gì.
Về các công cụ phát triển như một bề mặt tấn công, Lavid nói rằng giả định phải thay đổi từ gốc rễ.
“Bạn phải giả định rằng điểm cuối đã bị xâm nhập,” ông nói với Decrypt, chỉ ra các IDE, kho mã, ứng dụng di động và môi trường ký là những điểm vào ngày càng phổ biến.
“Nếu những công cụ cơ bản này dễ bị tấn công, bất cứ thứ gì hiển thị cho người dùng—bao gồm cả giao dịch—đều có thể bị thao túng,” chuyên gia này nói, lưu ý rằng điều này “về cơ bản phá vỡ các giả định bảo mật truyền thống,” khiến các nhóm không thể tin tưởng vào “giao diện, thiết bị, hoặc thậm chí là quy trình ký.”
