Làn sóng tấn công DeFi bùng nổ: Hơn 280 triệu USD bị đánh cắp sau vụ Drift Protocol, lộ khoảng trống an ninh hệ sinh thái

Theo Cointelegraph đưa tin ngày 10 (giờ địa phương), sau vụ tấn công vào Drift Protocol đầu tháng 4, thị trường *tiền mã hóa* và *DeFi* đang đối mặt làn sóng *hacker* quay trở lại. Chỉ trong khoảng hơn hai tuần, ít nhất 12 giao thức *DeFi* và doanh nghiệp *tiền mã hóa* lần lượt bị tấn công, làm dấy lên lo ngại về “khoảng trống an ninh” trong hạ tầng tài chính phi tập trung.

Theo Cointelegraph, từ đầu tháng 4 đến nay, các nạn nhân bị tấn công gồm CoW Swap, Hyperbridge, sàn giao dịch Bybit, giao thức Dango, Silo Finance, BSC TMM, Aethir, MONA, Zerion và một số nền tảng khác. Trong đó, thiệt hại lớn nhất đến từ vụ *hack* ngày 1 tháng 4 trên Drift Protocol, với khoảng 280 triệu đô la Mỹ bị đánh cắp. Các chuyên gia cho rằng đây là kết quả của một chiến dịch *tấn công xã hội* kéo dài, với nghi vấn có liên hệ đến các nhóm *hacker* Triều Tiên.

*bình luận* Làn sóng tấn công dày đặc trong thời gian ngắn cho thấy hệ sinh thái *DeFi* vẫn là mục tiêu ưa thích của tội phạm mạng do lượng tài sản khóa lớn, cấu trúc hợp đồng thông minh phức tạp và quy trình kiểm soát nội bộ tại nhiều dự án còn lỏng lẻo.

Theo báo cáo của công ty bảo mật blockchain CertiK, nền tảng Rhea Finance mới đây là nạn nhân tiếp theo khi bị khai thác lỗ hổng “giao dịch ký quỹ”, dẫn đến thiệt hại khoảng 7,6 triệu đô la Mỹ. CertiK nhận định, kẻ tấn công đã tạo hợp đồng *token* giả, rồi bơm thanh khoản vào một *pool* mới nhằm đánh lừa *oracle* giá và lớp xác thực, từ đó thao túng cơ chế định giá để rút vốn khỏi nền tảng.

Cùng ngày, sàn giao dịch Grinex, bị nghi có liên hệ với Nga, cũng thông báo dừng hoạt động sau vụ *hack* khiến khoảng 13,7 triệu đô la Mỹ thất thoát. Phía sàn cáo buộc “các quốc gia không thân thiện” đứng sau vụ việc, song chưa đưa ra bằng chứng chi tiết.

Trên hệ sinh thái Binance Smart Chain(BNB), *pool* thanh khoản TMM/USDT ghi nhận một cuộc tấn công “thao túng dự trữ” vào đầu tháng 4, với tổng thiệt hại ước tính gần 1,67 triệu đô la Mỹ. Trong khi đó, giao thức Dango mất khoảng 410.000 đô la Mỹ hôm 13 tháng 4 do lỗi trong mã nguồn hợp đồng thông minh, cho thấy rủi ro đến từ chính tầng cơ sở kỹ thuật nếu quy trình kiểm thử không đủ chặt chẽ.

*bình luận* Điểm chung của các vụ việc này là kẻ tấn công đều tận dụng được “khe hở” trong thiết kế cơ chế thanh khoản, *oracle* hoặc logic hợp đồng, thay vì chỉ dựa vào việc đánh cắp khóa riêng. Điều đó nhấn mạnh rằng kiểm toán mã nguồn một lần là chưa đủ, các dự án cần cơ chế giám sát liên tục và kịch bản ứng phó khi bị khai thác.

Các chuyên gia an ninh mạng cũng cảnh báo việc phát triển nhanh của *AI* có thể khiến chiến thuật *tấn công xã hội* trở nên nguy hiểm hơn. Khi các mô hình *AI* tiên tiến như Claude, hay các công cụ tương tự, được sử dụng với mục đích xấu, tin nhắn lừa đảo, email giả mạo và kịch bản thao túng tâm lý có thể được cá nhân hóa và tối ưu hóa độ tin cậy gần như theo thời gian thực, khiến nhân sự nội bộ và đội ngũ phát triển dễ bị đánh lừa để lộ thông tin truy cập quan trọng.

Dữ liệu từ DefiLlama cho thấy bức tranh đáng lo: trong quý 1 năm nay, các nhóm bị cho là liên quan đến chính quyền Triều Tiên đã đánh cắp hơn 168,6 triệu đô la Mỹ từ 34 giao thức *DeFi*. Con số này cho thấy hoạt động tấn công có tổ chức, nhắm vào nhiều mục tiêu khác nhau nhưng sử dụng chung một “bộ công cụ” gồm kỹ thuật xã hội, khai thác lỗ hổng hợp đồng và thao túng hạ tầng thanh khoản.

*bình luận* Khi nguồn lực tấn công mang tính nhà nước đứng sau, các nhóm *hacker* có đủ thời gian và kinh phí để nghiên cứu từng dự án, xây dựng hồ sơ chi tiết về đội ngũ, hệ thống và quy trình bảo mật, rồi chờ thời điểm phù hợp để ra tay. Điều này khiến “an toàn tuyệt đối” gần như bất khả thi, thay vào đó là yêu cầu về khả năng phát hiện sớm, cô lập thiệt hại và phục hồi nhanh.

Chuỗi sự kiện kể trên đang được giới phân tích xem như lời cảnh báo về điểm yếu mang tính hệ thống của hạ tầng *DeFi*. Mỗi vụ *hack* có thể khác nhau về kỹ thuật, nhưng đều chỉ ra rằng các lớp bảo vệ cốt lõi như *oracle* giá, cơ chế kiểm soát quyền truy cập, quy trình quản lý thanh khoản và chuẩn an ninh cho hợp đồng thông minh vẫn chưa theo kịp tốc độ phát triển sản phẩm.

Trong bối cảnh lượng tài sản khóa trong các giao thức *DeFi* tiếp tục tăng, các chuyên gia cho rằng việc củng cố “*an ninh cơ bản*” phải trở thành ưu tiên chiến lược. Đó là yêu cầu bắt buộc đối với cả giao thức lẫn sàn giao dịch: từ kiểm toán độc lập nhiều vòng, cơ chế đa chữ ký, phân quyền truy cập, đến việc mô phỏng tấn công thường xuyên để phát hiện lỗ hổng trước khi bị khai thác ngoài đời thực.

*bình luận* Niềm tin thị trường *tiền mã hóa* vốn rất nhạy cảm với rủi ro bảo mật. Nếu những điểm yếu ở tầng hạ tầng không được khắc phục, mỗi vụ tấn công lớn có thể kéo theo hiệu ứng dây chuyền, ảnh hưởng thanh khoản, tâm lý nhà đầu tư và tốc độ chấp nhận *DeFi* trong tài chính truyền thống.

Từ vụ Drift Protocol cho đến Rhea Finance, Grinex hay BSC TMM, làn sóng tấn công trong tháng 4 đang nhắc lại thông điệp quen thuộc với toàn thị trường *tiền mã hóa*: bảo mật không chỉ là lớp “phụ gia” kỹ thuật, mà là yếu tố sống còn quyết định sự bền vững của các dự án *DeFi* và niềm tin của người dùng.