Drift Protocol trên Solana bị tấn công 270 triệu USD: Lỗ hổng từ durable nonce và multisig hay lỗi vận hành?

Giao thức tài chính phi tập trung *Drift Protocol* hoạt động trên nền tảng **từ Solana** vừa ghi nhận vụ tấn công gây thiệt hại khoảng 270 triệu USD (ước tính gần 4.750 tỷ đồng). Theo phân tích ban đầu, đây không phải là một vụ hack kỹ thuật thông thường, mà là sự kết hợp giữa tấn công **từ social engineering** (kỹ nghệ xã hội) và việc lợi dụng tính năng **từ durable nonce** đặc thù của **từ Solana**, khiến mức độ nghiêm trọng và tác động tới toàn hệ sinh thái DeFi tăng cao.

Theo tổng hợp từ nhiều nguồn on-chain và báo cáo kỹ thuật được công bố ngày 2 tháng 4 (giờ địa phương), kẻ tấn công đã tận dụng cơ chế phê duyệt giao dịch từ trước của hội đồng bảo mật Drift, sau đó chờ nhiều ngày mới kích hoạt giao dịch, mà không cần khai thác lỗ hổng hợp đồng thông minh hay đánh cắp khóa riêng.

Trong vụ việc này, các giao dịch độc hại chỉ mất chưa tới một phút để thực thi, nhưng quá trình chuẩn bị, “dàn dựng” và lấy được chữ ký hợp lệ kéo dài hơn một tuần. *bình luận: Đây là kiểu tấn công khó phát hiện theo các mô hình giám sát on-chain truyền thống, vốn thường tập trung vào lỗ hổng mã nguồn hoặc hành vi bất thường tức thời.*

Drift hiện đã tạm dừng giao thức, loại bỏ ví liên quan khỏi cơ chế đa chữ ký (multisig), trong khi phần lớn tài sản ký gửi và thanh khoản giao dịch đều bị ảnh hưởng. Vụ việc đang làm dấy lên nhiều tranh luận trong cộng đồng về mức độ an toàn của **từ Solana**, cách sử dụng **từ durable nonce**, cũng như thiết kế cơ chế **từ multisig** trong các dự án DeFi.

---

Trong kiến trúc giao dịch của **từ Solana**, mỗi giao dịch thông thường phải đính kèm “recent blockhash” – mã băm của một block gần nhất – và mã này chỉ có hiệu lực khoảng 60–90 giây. Đây là cơ chế bảo mật nhằm ngăn việc tái sử dụng các giao dịch cũ (replay attack): nếu giao dịch không được đưa lên mạng trong khoảng thời gian ngắn đó, nó sẽ tự động hết hiệu lực.

Tuy nhiên, tính năng **từ durable nonce** cho phép “bỏ qua” giới hạn thời gian này. Thay vì phụ thuộc vào recent blockhash, giao dịch sử dụng **từ durable nonce** sẽ tham chiếu tới một tài khoản nonce chuyên biệt trên chuỗi, trong đó lưu trữ một mã “một lần dùng” có thể được tái cập nhật theo ý muốn. Điều này giúp giao dịch:

- Có thể được ký trước và gửi đi sau, trong khoảng thời gian dài hơn rất nhiều;

- Hữu ích cho môi trường lưu ký tổ chức, giao dịch ngoại tuyến (offline signing) hoặc các tình huống cần phê duyệt nhiều bước.

Vấn đề nảy sinh khi chính đặc điểm “tách rời thời điểm ký và thời điểm thực thi” này lại tạo ra khoảng trống cho tấn công **từ social engineering**. Một khi người dùng hoặc bên có thẩm quyền đã ký vào một giao dịch dùng **từ durable nonce**, họ rất khó hủy bỏ hay sửa đổi nếu bối cảnh sử dụng sau đó thay đổi.

Trong vụ Drift, kẻ tấn công đã xây dựng giao dịch dưới dạng “giao dịch quản trị hợp lệ”, xin chữ ký như một yêu cầu kỹ thuật bình thường, nhưng lại chờ tới thời điểm hệ thống thay đổi cấu trúc multisig và các điều kiện xung quanh, rồi mới kích hoạt. *bình luận: Về bản chất, đây là một “time-bomb transaction” – giao dịch hẹn giờ – được ngụy trang dưới vỏ bọc hoàn toàn hợp lệ tại thời điểm phê duyệt.*

---

Drift Protocol được vận hành dưới cơ chế **từ multisig** yêu cầu ít nhất 2/5 chữ ký từ hội đồng bảo mật để thông qua các thay đổi quan trọng, ví dụ thay đổi quyền quản trị, nâng cấp contract, hay điều chỉnh cấu hình hệ thống. Cơ chế này vốn được coi là chuẩn an toàn cơ bản trong DeFi.

Dựa trên dòng thời gian do Drift công bố, quá trình kẻ tấn công “chui qua khe cửa” diễn ra như sau:

- Ngày 23 tháng 3 (giờ địa phương): Đối tượng tấn công tạo một tài khoản **từ durable nonce** trên **từ Solana** và xây dựng một giao dịch quản trị có vẻ hợp lệ, sau đó gửi yêu cầu tới hội đồng bảo mật Drift để xin phê duyệt.

Hai thành viên trong nhóm bảo mật đã ký xác nhận giao dịch này, đáp ứng điều kiện 2/5 của **từ multisig**.

- Ngày 30 tháng 3: Sau khi Drift thay đổi cấu trúc multisig (có điều chỉnh về thành phần hoặc quyền hạn), kẻ tấn công vẫn đảm bảo trạng thái giao dịch đã ký trước đó giữ nguyên hiệu lực nhờ **từ durable nonce**. Điều kiện phê duyệt trên giao thức nhìn bề ngoài vẫn hợp lệ.

- Ngày 1 tháng 4: Kẻ tấn công gửi giao dịch đã được ký từ trước lên mạng **từ Solana**, thực thi việc chuyển giao quyền quản trị (admin) sang một địa chỉ do mình kiểm soát.

Ngay sau khi chiếm quyền admin, đối tượng điều chỉnh các tham số và cấu trúc rút tiền của giao thức, tạo ra các đường rút thanh khoản giả mạo để hút toàn bộ tài sản ra khỏi Drift.

Ở mọi bước, giao dịch đều đi qua đúng quy trình chữ ký, không có dấu hiệu rõ ràng của hành vi chiếm khóa riêng. Do đó, về mặt kỹ thuật, hệ thống multisig không “bị hack” mà bị “dẫn dụ” phê duyệt một giao dịch có ý đồ xấu.

*bình luận: Điểm yếu ở đây không nằm trong thuật toán đa chữ ký, mà ở quy trình kiểm tra nội dung giao dịch và việc thiếu công cụ cảnh báo rằng đây là một giao dịch dùng **từ durable nonce** có thể bị trì hoãn, thực thi vào thời điểm hệ thống đã thay đổi bối cảnh.*

---

Phân tích dữ liệu on-chain cho thấy tổng thiệt hại của vụ việc vào khoảng 270 triệu USD. Các tài sản bị rút khỏi Drift chủ yếu bao gồm:

- Khoảng 155,6 triệu USD token JLP – token thanh khoản trong hệ thống;

- Khoảng 60,4 triệu USD **từ USDC**;

- Khoảng 11,3 triệu USD Coinbase Wrapped Bitcoin (cbBTC);

- Cùng một số tài sản khác với giá trị nhỏ hơn.

Dòng tiền sau tấn công được sắp đặt khá bài bản:

1. Tài sản từ Drift được chuyển tới một loạt ví do kẻ tấn công chuẩn bị trước.

2. Từ đó, chúng được chia nhỏ và luân chuyển qua các ví trung gian, có tương tác với sàn Backpack – một giao thức và sàn giao dịch trên **từ Solana**.

3. Sau khi phân tán, số tài sản này được chuyển qua cầu nối Wormhole sang mạng Ethereum, nhằm tách khỏi nguồn gốc ban đầu trên **từ Solana**.

4. Một phần tiền được chuyển tiếp vào Tornado Cash – dịch vụ trộn coin trên Ethereum – với mục đích xóa dấu vết.

Nhà phân tích on-chain ZachXBT cho biết khoảng 230 triệu USD giá trị **từ USDC** đã di chuyển qua hơn 100 giao dịch khác nhau. Tuy vậy, theo nhận định của ông, công ty phát hành **từ USDC** là Circle vẫn chưa áp dụng biện pháp đóng băng (freeze) trên phần lớn các địa chỉ liên quan, dù về mặt kỹ thuật họ có khả năng làm điều đó.

*bình luận: Câu hỏi đặt ra là trong những sự cố quy mô hàng trăm triệu USD như Drift, việc các nhà phát hành stablecoin như **từ USDC** nên can thiệp ở mức nào để cân bằng giữa khả năng hỗ trợ nạn nhân và rủi ro tạo tiền lệ can thiệp tập trung vào tài sản on-chain.*

---

Khác với nhiều vụ tấn công DeFi trước đây thường xoay quanh lỗi hợp đồng thông minh, bug logic, hay thiết kế tokenomics, sự cố Drift được các chuyên gia xếp vào nhóm “thất bại an ninh vận hành” (operational security failure). Ba yếu tố giao thoa dẫn tới thảm họa gồm:

- Tính năng **từ durable nonce** cho phép giao dịch được ký trước – thực thi sau, trong một khoảng thời gian dài mà không hết hạn;

- Cơ chế **từ multisig** dựa trên niềm tin vào quá trình xem xét nội dung giao dịch của từng thành viên, nhưng thiếu lớp kiểm định kỹ thuật sâu hơn về loại giao dịch;

- Chiến thuật **từ social engineering** của kẻ tấn công, trình bày yêu cầu phê duyệt dưới dạng hoạt động quản trị “bình thường”, che giấu ý đồ khai thác khoảng cách giữa lúc ký và lúc thực thi.

Kết quả là tại thời điểm ký, các thành viên hội đồng bảo mật có thể cho rằng họ phê duyệt một thao tác an toàn trong bối cảnh hiện tại. Tuy nhiên, tới lúc giao dịch được gửi đi, cấu trúc hệ thống, thành phần multisig và các điều kiện xung quanh đã khác hẳn, tạo điều kiện để kẻ tấn công chiếm đoạt quyền admin mà không vấp phải cơ chế kiểm soát bổ sung nào.

Hiện Drift đã:

- Tạm dừng giao thức để ngăn các tương tác mới;

- Loại bỏ ví bị khai thác khỏi cấu hình **từ multisig**;

- Phối hợp với các đơn vị phân tích on-chain và sàn giao dịch để theo dõi, đánh dấu dòng tiền.

Thị trường DeFi thời gian qua chứng kiến nhiều vụ tấn công dựa trên **từ social engineering** thay vì lỗi mã nguồn, như các sự cố liên quan tới sàn Bybit, cầu nối Ronin… Trong hầu hết trường hợp, kẻ tấn công tập trung vào yếu tố con người: lừa nhân sự nội bộ, chiếm đoạt kênh liên lạc, hoặc đánh vào thói quen xử lý quy trình bảo mật chưa chặt chẽ.

*bình luận: Vụ Drift một lần nữa nhấn mạnh rằng trong DeFi, “code is law” không còn là bức tường duy nhất cần gia cố; quy trình vận hành, đào tạo nhân sự và công cụ giám sát giao dịch quản trị mới là tuyến phòng thủ ngày càng quan trọng.*

---

Theo các chuyên gia bảo mật, những câu hỏi lớn sau sự cố Drift sẽ tập trung vào ba hướng chính:

Thứ nhất, tại sao hai thành viên hội đồng bảo mật lại phê duyệt giao dịch này. Cần làm rõ:

- Họ có nhận biết đó là một giao dịch sử dụng **từ durable nonce** hay không;

- Quy trình nội bộ có yêu cầu đối chiếu nội dung giao dịch trên giao diện thân thiện (human-readable) trước khi ký hay không;

- Hệ thống có bất kỳ cảnh báo nào về việc giao dịch này có thể được trì hoãn vô thời hạn hay không.

Thứ hai, liệu có thể phát triển các công cụ hoặc tiêu chuẩn mới để đánh dấu, phân loại và giám sát giao dịch **từ durable nonce**. Ví dụ:

- Tự động cảnh báo trên ví hoặc dashboard quản trị khi phê duyệt giao dịch dùng **từ durable nonce**;

- Thiết lập giới hạn thời gian hiệu lực tối đa, hoặc yêu cầu xác nhận lại khi đã quá một khoảng thời gian định sẵn;

- Áp dụng cơ chế “two-step execution” (thực thi hai bước) cho những giao dịch quản trị trọng yếu: sau khi gửi, cần thêm một lần xác nhận cuối cùng ở thời điểm gần thực thi.

Thứ ba, cộng đồng **từ Solana** cần xem xét lại thiết kế và quy trình sử dụng **từ multisig** trong toàn hệ sinh thái. Điều này có thể bao gồm:

- Chuẩn hóa quy trình review nội dung giao dịch quản trị, đặc biệt với những thay đổi liên quan tới quyền admin và cấu trúc ví;

- Khuyến khích hoặc bắt buộc sử dụng các thư viện hiển thị giao dịch ở dạng “dễ đọc cho con người”, hạn chế tình trạng thành viên multisig chỉ ký dựa trên hash hoặc mô tả sơ sài;

- Thêm lớp giám sát độc lập (guardian / watchdog) có quyền tạm chặn giao dịch bất thường trước khi thực thi.

Vụ tấn công Drift cho thấy ngay cả khi mã nguồn không có lỗ hổng rõ ràng, DeFi vẫn có thể chịu thiệt hại hàng trăm triệu USD chỉ từ một vài quyết định phê duyệt không đủ cảnh giác. Trong bối cảnh đó, việc tái đánh giá sâu toàn bộ mô hình **từ multisig** trên **từ Solana**, cùng cách sử dụng **từ durable nonce**, đang trở thành ưu tiên của nhiều dự án và nhà đầu tư quan tâm đến an toàn tài sản on-chain.