Tin tức 
Thông tin Coin 
Về chúng tôi 
Theo CoinDesk đưa tin ngày 3 tháng 4 năm 2026 (giờ địa phương), vụ tấn công vào giao thức **드리프트 프로토콜** không còn là một vụ hack DeFi thông thường. Khoảng *270 triệu USD* (khoảng 4.077 tỷ đồng) bị đánh cắp sau một chiến dịch được mô tả là “xâm nhập có chuẩn bị trong *6 tháng*”, với nghi ngờ mạnh mẽ hướng tới **nhóm hacker liên quan Triều Tiên** đứng sau. Vụ việc cho thấy mức độ tinh vi ngày càng tăng của các cuộc tấn công vào lĩnh vực *tiền mã hóa* khi kết hợp giữa kỹ thuật, xã hội học và *tấn công chuỗi cung ứng phần mềm*.
“bình luận” Vụ 드리프트 không chỉ là câu chuyện về một lỗ hổng smart contract hay sai sót trong code, mà là ví dụ điển hình cho xu hướng tấn công mới: xây dựng *niềm tin*, thâm nhập *hạ tầng phát triển* và chiếm quyền kiểm soát *thiết bị cá nhân* của những người giữ khóa.
Trong bài viết này, chúng ta sẽ đi theo mạch thời gian: nhóm tấn công đã *xây dựng niềm tin* như thế nào, họ xâm nhập hệ thống ra sao, bằng cách nào *đa chữ ký (multisig)* bị vô hiệu, vì sao nhóm *UNC4736* bị nghi ngờ, và cuối cùng là những câu hỏi lớn đặt ra cho mô hình bảo mật hiện tại của DeFi.
---
Mọi chuyện bắt đầu như một thương vụ hợp tác bình thường trong ngành *DeFi*. Theo báo cáo sự cố do đội ngũ 드리프트 công bố, chuỗi tấn công khởi phát từ một hội nghị tiền mã hóa lớn vào mùa thu năm 2025. Tại đây, các đối tượng tấn công xuất hiện với tư cách một “công ty giao dịch định lượng (quant trading)” và chủ động đề xuất hợp tác với dự án.
Không chỉ là những lời giới thiệu suông, nhóm này thể hiện *hiểu biết kỹ thuật cao* và cung cấp được *lý lịch làm việc có thể kiểm chứng*. Trong bối cảnh DeFi thường xuyên chào đón các đối tác cung cấp thanh khoản, chiến lược hay sản phẩm phái sinh mới, những lời đề nghị như vậy là rất quen thuộc – và chính điều đó khiến đội ngũ 드리프트 không có lý do rõ ràng để nghi ngờ.
Sau hội nghị, hai bên duy trì liên lạc qua kênh Telegram riêng. *Trong nhiều tháng liền*, họ cùng thảo luận chiến lược giao dịch và các phương án *tích hợp với Vault (kho tiền)* trong hệ sinh thái 드리프트. Mọi thứ diễn ra đúng như một quy trình on-boarding đối tác tổ chức trong DeFi: trao đổi kỹ thuật, rà soát chiến lược, thử nghiệm tích hợp.
Từ cuối tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm tấn công tiến thêm một bước. Họ *trực tiếp tham gia vào hệ sinh thái 드리프트*, gửi vào hệ thống hơn *1 triệu USD* (khoảng 15 tỷ đồng) và đứng ra vận hành một “Ecosystem Vault”. Đây là động thái then chốt: không chỉ nói, họ *bỏ tiền thật* vào giao thức, xây dựng hình ảnh một nhà cung cấp thanh khoản nghiêm túc và lâu dài.
Không dừng ở giao tiếp trực tuyến, trong tháng 2 và 3 năm 2026, các thành viên nhóm tấn công còn gặp gỡ trực tiếp đội ngũ 드리프트 tại nhiều hội nghị ở các quốc gia khác nhau. Đến thời điểm vụ hack xảy ra vào ngày 1 tháng 4, mối quan hệ hai bên đã kéo dài gần nửa năm – đủ lâu để xóa nhòa phần lớn sự cảnh giác tự nhiên, biến “đối tác” thành “người quen trong ngành”.
“bình luận” Đây chính là trọng tâm của dạng *tấn công xây dựng niềm tin*: thay vì cố gắng vượt tường lửa trong vài giờ, họ kiên nhẫn “sống chung với hệ”, trở thành một phần của cộng đồng dự án, rồi mới ra tay.
---
Theo phân tích của đội ngũ kỹ thuật 드리프트, chiến dịch tấn công gồm ít nhất hai hướng xâm nhập chính: *môi trường phát triển* và *thiết bị di động*. Cả hai đều nhằm vào những mắt xích con người – nơi quản lý khóa và quyền truy cập multisig.
Ở hướng *môi trường phát triển*, nhóm tấn công lợi dụng thói quen hợp tác của các dự án mã nguồn mở. Họ chia sẻ kho mã trên GitHub, đề nghị *xem xét code nội bộ*, hỗ trợ tích hợp hay tối ưu chiến lược. Trong quá trình đó, một repo chứa *mã độc* đã được chuẩn bị kỹ lưỡng và gửi tới.
Lỗ hổng quan trọng nằm ở chính các công cụ mà lập trình viên DeFi sử dụng hằng ngày. Theo báo cáo, những điểm yếu đã được khai thác trong *VSCode* và *Cursor* – hai IDE phổ biến. Từ cuối năm 2025, giới an ninh mạng từng cảnh báo về một dạng *lỗ hổng thực thi mã từ xa (RCE)* trên các công cụ này, cho phép chạy mã độc chỉ bằng việc *mở thư mục hoặc tệp* mà không hiển thị cảnh báo rõ ràng.
Một khi nhà phát triển mở repo GitHub bị gài bẫy bằng VSCode hoặc Cursor dễ tổn thương, mã độc có thể tự động chạy trong nền, cài backdoor, đánh cắp token truy cập, khóa riêng, hoặc chiếm quyền điều khiển quy trình ký giao dịch.
Song song với đó, nhóm tấn công triển khai một vector khác: *thiết bị di động*. Họ phát hành một ứng dụng ví tiền mã hóa qua *TestFlight* – nền tảng thử nghiệm ứng dụng của Apple. Với danh nghĩa “đối tác chiến lược vận hành Vault”, việc họ chia sẻ một ứng dụng ví “tối ưu cho chiến lược trên 드리프트” không khiến ai bất ngờ.
Một số thành viên liên quan đã cài đặt ứng dụng này trên iPhone. Ngay lúc đó, nhóm tấn công có thể nhận được *quyền truy cập sâu* vào thiết bị: dữ liệu clipboard, thông tin ví, thông báo, thậm chí khả năng can thiệp vào quy trình xác thực đa lớp nếu ứng dụng được cấp đủ quyền.
“bình luận” Khi môi trường phát triển và thiết bị di động – hai “cửa” quan trọng của hạ tầng vận hành dự án – đều bị xâm nhập, bước tiếp theo chỉ là vấn đề *thời điểm kích hoạt*.
---
Điểm đáng chú ý nhất trong vụ 드리프트 là việc cơ chế *đa chữ ký (multisig)*, vốn được xem như “chuẩn vàng” bảo vệ kho tiền dự án, đã bị vô hiệu hóa trên thực tế.
Sau khi chiếm được quyền kiểm soát thiết bị của một hoặc nhiều thành viên tham gia multisig, nhóm tấn công có thể:
* Theo dõi và can thiệp vào các phiên ký giao dịch.
* Đánh cắp hoặc sử dụng trực tiếp khóa riêng / session đã đăng nhập.
* Tự động ký các giao dịch đã được chuẩn bị từ trước, mà người sở hữu thiết bị *không ý thức* được thời điểm ký thực.
Theo 드리프트, kẻ tấn công đã *chuẩn bị các giao dịch rút tiền và để chúng ở trạng thái chờ trong hơn một tuần*. Đến ngày 1 tháng 4, chúng được *kích hoạt và hoàn tất chỉ trong vòng 1 phút*. Trong khoảng thời gian cực ngắn đó, khoảng *270 triệu USD* đã rời khỏi Vault của giao thức, chuyển đến các ví do nhóm tấn công kiểm soát.
Việc chuẩn bị trước và trì hoãn thực thi cho thấy đây không phải hành động bộc phát. Nhóm tấn công:
* Đã hiểu chi tiết *cấu trúc multisig* của 드리프트.
* Biết rõ *khung giờ* các thành viên thường hoạt động hay vắng mặt.
* Chọn thời điểm để giảm tối đa khả năng phát hiện và can thiệp kịp thời.
“bình luận” Khi kẻ tấn công nắm được *các thiết bị ký* trong multisig, cơ chế này từ một “tường thành” trở thành *chiếc khóa duy nhất mở được cánh cửa kho tiền – nhưng lại nằm trong tay kẻ xấu*. Multisig về mặt kỹ thuật vẫn hoạt động đúng, chỉ là những “người ký” đã bị mạo danh.
---
Ngay sau vụ việc, nhiều công ty phân tích on-chain và đơn vị an ninh mạng đã tiến hành lần theo dòng tiền. Theo báo cáo tổng hợp, bằng chứng đang tập trung vào một nhóm được theo dõi từ lâu: **UNC4736**, còn được biết đến với các tên gọi như *AppleJeus* hoặc *Citrine Sleet*.
UNC4736 bị các cơ quan tình báo và hãng bảo mật quốc tế cho là *nhóm hacker liên quan Triều Tiên*, chuyên nhắm vào *sàn giao dịch, dự án DeFi và ví tiền mã hóa*. Nhóm này được cho là đứng sau nhiều chiến dịch tấn công trước đây với kiểu tấn công tương tự: sử dụng ứng dụng giả mạo, phần mềm giao dịch “tùy chỉnh”, hay công cụ phân tích thị trường để chèn mã độc.
Trong vụ 드리프트, một số yếu tố khiến UNC4736 bị nghi ngờ:
* *Dòng tiền on-chain* từ ví nhận tiền sau vụ tấn công có liên hệ tới các địa chỉ từng xuất hiện trong vụ tấn công Radiant Capital – một sự cố trước đó đã bị gán cho nhóm Triều Tiên.
* *Mẫu hành vi*: sử dụng ứng dụng phân phối qua TestFlight, lạm dụng môi trường phát triển, kết hợp social engineering dài hạn – đều trùng khớp với các chiến dịch trước do UNC4736 bị cáo buộc thực hiện.
* *Cách thức rửa tiền*: phân mảnh dòng tiền, chuyển qua nhiều chain và sử dụng dịch vụ trộn (mixer) từng được ghi nhận trong các vụ hack khác liên quan Triều Tiên.
Dù vậy, những cá nhân trực tiếp tham gia hội nghị, gặp gỡ đội ngũ 드리프트 được xác định *không mang quốc tịch Triều Tiên*. Báo cáo nhấn mạnh, với các chiến dịch ở cấp độ này, việc sử dụng *nhân sự trung gian có danh tính được “đánh bóng”* là điều phổ biến: họ có thể là người ngoài được thuê, môi giới tài chính, hoặc thậm chí nạn nhân bị chiêu mộ.
“bình luận” Điều này cho thấy mức độ “chuyên nghiệp hóa” của các nhóm hacker nhà nước: họ vận hành giống một tổ chức tình báo tài chính, sử dụng lớp vỏ công ty hợp pháp, nhân sự trung gian và câu chuyện đầu tư để che giấu động cơ thật.
---
Sau cú sốc mất *270 triệu USD*, 드리프트 đã kêu gọi toàn bộ hệ sinh thái DeFi rà soát lại mô hình *quản lý quyền truy cập* và *bảo mật thiết bị* của những người giữ khóa. Thông điệp quan trọng mà họ nhấn mạnh: với tấn công kiểu mới, *mọi thiết bị* mà thành viên multisig sử dụng đều phải được coi là *mục tiêu tiềm tàng*.
Trong nhiều năm, DeFi đặt niềm tin lớn vào mô hình *multisig governance*: chỉ cần đủ chữ ký từ nhiều bên khác nhau, tài sản trong Vault sẽ an toàn. Tuy nhiên, vụ 드리프트 cho thấy, nếu:
* Kẻ tấn công *hóa thân thành đối tác thực sự* trong 6 tháng;
* *Bỏ tiền, xây dựng sản phẩm, gặp gỡ trực tiếp*;
* Xâm nhập dần vào PC, IDE, điện thoại của những người giữ khóa;
thì việc phát hiện và chặn đứng cuộc tấn công gần như bất khả thi với lớp phòng thủ hiện tại.
Một số câu hỏi lớn được đặt ra cho toàn ngành:
* Liệu chỉ *phân tán khóa* (multisig) đã đủ, hay cần thêm *cơ chế kiểm tra hành vi* (behavioral monitoring) và *hạn ngạch rút tiền* theo thời gian?
* Các dự án có nên coi *thiết bị cá nhân* của multisig signer là tài sản hạng “cực nhạy cảm”, được bảo vệ theo tiêu chuẩn gần giống ngân hàng?
* Quy trình on-boarding đối tác tổ chức trong DeFi cần thay đổi ra sao khi “đối tác” có thể là vỏ bọc cho chiến dịch hacker nhà nước?
“bình luận” Bài học đắt giá từ 드리프트 là: *vấn đề không chỉ nằm ở code, mà nằm ở người và niềm tin*. Trong bối cảnh hacker nhà nước sẵn sàng đầu tư nhiều tháng để đóng vai nhà đầu tư, trader hoặc quỹ định lượng, *mọi mối quan hệ đối tác sâu* đều phải đi kèm lớp kiểm soát bảo mật tương xứng.
---
Vụ tấn công vào 드리프트 프로토콜 cho thấy một bước leo thang mới trong các chiến dịch nhắm vào *tiền mã hóa*: thay vì tìm kiếm lỗ hổng smart contract đơn thuần, kẻ tấn công tập trung vào *chuỗi cung ứng phần mềm*, *thiết bị người dùng* và quan trọng nhất là *niềm tin giữa con người với con người*.
Từ *6 tháng xây dựng hình ảnh “quỹ giao dịch định lượng”*, đến việc tận dụng lỗ hổng trong VSCode, Cursor và phát hành *ứng dụng ví qua TestFlight*, rồi cuối cùng là *chiếm quyền multisig* để rút *khoảng 270 triệu USD* chỉ trong 1 phút – toàn bộ kịch bản mang đậm dấu ấn của một chiến dịch tình báo tài chính, hơn là một vụ hack chớp nhoáng.
Với việc nhóm **UNC4736** liên quan Triều Tiên bị nghi là chủ mưu, cộng đồng *DeFi* buộc phải chấp nhận một thực tế: cuộc chơi không chỉ còn là giữa các hacker độc lập và dự án, mà còn có sự tham gia của các *tổ chức nhà nước* có nguồn lực dồi dào.
Đối với ngành *tiền mã hóa*, sự cố này là hồi chuông cảnh tỉnh rằng: *multisig, audit, và kiểm thử bảo mật* là cần thiết nhưng chưa đủ. Bảo vệ tài sản on-chain giờ đây đồng nghĩa với việc bảo vệ cả *môi trường phát triển, thiết bị cá nhân, quy trình tuyển chọn đối tác*, và trên hết là *cơ chế kiểm soát niềm tin* trong các mối quan hệ hợp tác.
Bình luận 0