Drift Protocol trên Solana(SOL) bị hack gần 3 tỷ USD, nghi do nhóm tin tặc Triều Tiên

Sàn giao dịch phi tập trung *Drift Protocol* trên nền tảng *Solana(SOL)* vừa trở thành nạn nhân của một vụ hack trị giá gần 3 tỷ USD, với nhiều dấu hiệu cho thấy đây có thể là một cuộc tấn công do nhóm tin tặc liên quan tới Triều Tiên thực hiện. Diễn biến này đang làm dấy lên lo ngại mới về mức độ an toàn của hệ sinh thái DeFi trên *Solana(SOL)* và cách các quốc gia bị cấm vận khai thác *tiền mã hóa* để huy động vốn.

Theo nhiều nguồn dữ liệu on-chain tổng hợp ngày 1 tháng 4 (giờ địa phương), *Drift Protocol* – sàn *DEX* phái sinh vĩnh viễn lớn nhất trên *Solana(SOL)* – đã bị rút cạn khoảng 286 triệu USD (khoảng 4.310 tỷ đồng) tài sản chỉ trong chưa đầy 20 phút. Khoảng 20 “vault” (kho tiền) khác nhau bị rút sạch vốn một cách nhanh chóng, khiến đây trở thành một trong những vụ hack *DeFi* lớn nhất năm 2026 tính đến thời điểm hiện tại.

Ngay sau khi phát hiện bất thường, đội ngũ *Drift Protocol* đã lập tức đóng toàn bộ chức năng nạp – rút, đồng thời phối hợp với các đơn vị an ninh blockchain và các sàn giao dịch tập trung để phong tỏa, truy vết dòng tiền. Tổng giá trị tài sản khóa (TVL) trên giao thức lao dốc từ khoảng 550 triệu USD xuống còn dưới 250 triệu USD, phản ánh mức độ thiệt hại nghiêm trọng đối với niềm tin của nhà đầu tư.

Phía *Drift Protocol* mô tả đây là một cuộc tấn công “đa tầng, được thiết kế tinh vi”, với trọng tâm là việc khai thác một cơ chế trên *Solana(SOL)* gọi là “durable nonce” để chiếm quyền kiểm soát quản trị. Theo giải thích kỹ thuật sơ bộ, kẻ tấn công đã lợi dụng cách thức xác thực giao dịch đặc biệt này để thực thi các lệnh mà bình thường chỉ tài khoản quản trị mới có thể thực hiện, từ đó chiếm quyền điều khiển các vault.

Công ty phân tích blockchain Elliptic cho biết trong báo cáo công bố ngày 1 (giờ địa phương) rằng mô hình di chuyển tài sản, cách thức rửa tiền và các đặc điểm về mạng lưới của vụ việc có “nhiều điểm trùng khớp” với những vụ tấn công trước đây do các nhóm tin tặc có liên hệ với Triều Tiên (DPRK) thực hiện. Theo Elliptic, đây nhiều khả năng không phải một sự cố *DeFi* thông thường, mà là một chiến dịch tấn công có yếu tố “nhà nước bảo trợ”.

Elliptic cho biết thêm, kẻ tấn công được cho là đã chiếm đoạt được khóa cá nhân của tài khoản quản trị trước khi ra tay, qua đó kiểm soát trực tiếp quyền rút tiền từ các chiến lược đầu tư chính như JLP delta-neutral, chiến lược “super staking” với *Solana(SOL)* và *Bitcoin(BTC)*. Trong một số giao dịch đơn lẻ, số tài sản bị chuyển đi lên tới khoảng 41,7 triệu USD, cho thấy quy mô và mức độ tập trung cao của chiến dịch.

Một chi tiết đáng chú ý khác là ví dùng để tiến hành vụ hack được tạo ra khoảng 8 ngày trước thời điểm tấn công. Trong thời gian này, đã có các giao dịch thử với quy mô nhỏ được thực hiện, giống như các “bài test” để kiểm tra quy trình trước khi tung đòn thật sự. Elliptic nhận định điều này cho thấy đây là một kế hoạch được chuẩn bị từ trước, không phải hành vi bộc phát.

Sau khi chiếm đoạt tài sản, kẻ tấn công đã nhanh chóng chuyển đổi chúng thông qua Jupiter – một bộ tổng hợp thanh khoản DEX trên *Solana(SOL)* – sang stablecoin USDC, rồi “bắc cầu” sang mạng *Ethereum(ETH)*. Tại đây, số tiền tiếp tục bị chia nhỏ và phân tán ra nhiều ví khác nhau, làm tăng độ phức tạp cho công tác truy vết và phong tỏa. Theo giới phân tích, chiến thuật này tương tự các vụ việc trước đó liên quan tới nhóm Lazarus – tổ chức tin tặc nổi tiếng bị cáo buộc là “cánh tay nối dài” về mạng của Bình Nhưỡng.

Elliptic cảnh báo rằng, nếu các bằng chứng tiếp tục củng cố giả thuyết về dấu chân Triều Tiên, đây sẽ là lần thứ 18 một vụ hack *tiền mã hóa* gây thiệt hại trên 300 triệu USD bị cho là có liên quan tới quốc gia này. Trong nhiều năm qua, Lazarus thường bị cáo buộc nhắm vào các giao thức *DeFi*, cầu nối cross-chain và sàn giao dịch tập trung để đánh cắp *Bitcoin(BTC)*, *Ethereum(ETH)* và các loại tài sản số khác, sau đó rửa tiền qua mixer, DEX và các dịch vụ trung gian nhằm tài trợ cho chương trình vũ khí và tên lửa.

bình luận: Nếu nhận định này được xác nhận, vụ tấn công *Drift Protocol* sẽ củng cố thêm lập luận của nhiều chính phủ rằng *tiền mã hóa* đang trở thành công cụ quan trọng giúp các quốc gia bị cấm vận “vượt rào” hệ thống tài chính truyền thống, từ đó có thể kéo theo làn sóng siết chặt quy định mới nhắm vào *DeFi* và các dự án trên *Solana(SOL)*.

Để giảm thiểu thiệt hại, Elliptic cho biết đã nhận diện và gắn cờ một loạt địa chỉ ví liên quan đến vụ việc, đồng thời cung cấp dữ liệu cho các sàn giao dịch để họ có thể chủ động chặn nạp – rút từ những ví này theo thời gian thực. Một số nền tảng tập trung lớn được cho là đã triển khai cơ chế cảnh báo nội bộ, song khả năng thu hồi tài sản vẫn bị đánh giá là khá thấp nếu kẻ tấn công kịp thời tận dụng các dịch vụ trộn coin hoặc hoán đổi sang tài sản khó truy dấu hơn.

bình luận: Trong bối cảnh các giao thức trên *Solana(SOL)* đang nỗ lực thu hút dòng vốn tổ chức với TVL liên tục tăng, vụ hack lần này có thể trở thành “bài test căng thẳng” đối với mô hình quản trị và an ninh của toàn bộ hệ sinh thái. Các chuyên gia bảo mật cho rằng nhiều dự án sẽ buộc phải rà soát lại cấu trúc quản lý khóa, cơ chế đa chữ ký (multisig), quy trình vận hành quyền admin và các tính năng đặc thù như “durable nonce” vốn ít được chú ý trước đây.

Đối với nhà đầu tư, câu chuyện *Drift Protocol* nhấn mạnh rủi ro cốt lõi của *DeFi*: lợi suất cao thường đi kèm với rủi ro hợp đồng thông minh và quản trị. Ngay cả những giao thức lớn, được kiểm toán nhiều vòng và có TVL hàng trăm triệu USD cũng không miễn nhiễm trước các chiến dịch tấn công được chuẩn bị kỹ lưỡng, đặc biệt khi phía sau có thể là các tác nhân được nhà nước tài trợ.

Hiện tại, giá *Solana(SOL)* đang dao động quanh vùng 80 USD, chưa ghi nhận cú sụt giảm “thảm họa” ngay lập tức sau vụ việc, nhưng tâm lý thận trọng đang tăng lên rõ rệt. Nhiều nhà phân tích cảnh báo rằng nếu xuất hiện thêm các thông tin bất lợi – như xác nhận chính thức về sự liên quan của Triều Tiên, hoặc phát hiện ra lỗ hổng tương tự ở những giao thức khác – rủi ro điều chỉnh mạnh trên hệ sinh thái *Solana(SOL)* sẽ gia tăng.

Trong thời gian tới, giới quan sát kỳ vọng đội ngũ *Drift Protocol* sẽ công bố báo cáo kỹ thuật chi tiết về lỗ hổng, phương án bồi thường và kế hoạch nâng cấp bảo mật. Những động thái này được xem là chìa khóa để khôi phục niềm tin của người dùng, đồng thời là “tiền lệ” cho cách các dự án *DeFi* trên *Solana(SOL)* ứng xử trước các cuộc tấn công quy mô lớn, trong bối cảnh áp lực pháp lý và địa chính trị xung quanh *tiền mã hóa* ngày càng gia tăng.