Vụ hack Drift Protocol: Chiến dịch kỹ nghệ xã hội kéo dài 6 tháng, thiệt hại 280 triệu USD

Đợt *hack tiền mã hóa* trị giá khoảng 280 triệu USD nhắm vào giao thức phi tập trung *Drift Protocol* tuần trước không phải là một vụ khai thác lỗi thông thường, mà là kết quả của một chiến dịch tấn công có chủ đích kéo dài tới 6 tháng, kết hợp tiếp cận trực tiếp ngoài đời với *link độc hại* và kỹ thuật *xâm nhập xã hội* tinh vi.

Theo CoinDesk đưa tin ngày 4 tháng 4 (giờ địa phương), phía *Drift Protocol* cho biết trong cập nhật điều tra sơ bộ trên X rằng vụ việc là “một chiến dịch thông tin có tổ chức, được cấu trúc bài bản, đòi hỏi hậu thuẫn đáng kể về nguồn lực và nhiều tháng chuẩn bị”. Nhóm phát triển ước tính kẻ tấn công đã bắt đầu kế hoạch từ khoảng tháng 10 năm 2025, tự giới thiệu là một công ty giao dịch định lượng, rồi chủ động tiếp cận đội ngũ Drift tại các “hội nghị tiền mã hóa lớn”.

Trong khoảng nửa năm sau đó, nhóm này liên tục xuất hiện tại nhiều sự kiện trong ngành, từng bước xây dựng mối quan hệ với các thành viên cốt lõi của Drift. Dựa trên quá trình rà soát, Drift nhận định những kẻ đứng sau đã *cố ý theo dõi và khoanh vùng* một số cộng tác viên cụ thể, chứ không tiếp cận ngẫu nhiên. Dự án cũng nhấn mạnh những người này có nền tảng kỹ thuật tốt, hồ sơ nghề nghiệp có thể kiểm chứng, và “hiểu khá rõ cách Drift vận hành”.

Sau khi tạo dựng được mức độ tin tưởng đủ lớn, kẻ tấn công mới chia sẻ *link độc hại* và bộ công cụ tùy chỉnh để âm thầm xâm nhập thiết bị của các bên liên quan. Từ đó, chúng triển khai *khai thác lỗ hổng* nhằm chiếm quyền kiểm soát, thực hiện giao dịch đánh cắp tài sản rồi nhanh chóng xóa dấu vết trên hệ thống. Drift cho rằng đây là minh chứng rõ ràng cho thấy ngay cả những buổi gặp mặt trực tiếp trong giới *tiền mã hóa* cũng không thể lơ là cảnh giác, bởi con người ngày càng trở thành điểm yếu chính chứ không chỉ là mã nguồn.

*Drift Protocol* đồng thời nhận thấy nhiều điểm tương đồng giữa vụ việc này và vụ *hack tiền mã hóa* nhắm vào *Radiant Capital* tháng 10 năm 2024, với “mức độ liên hệ trên trung bình” về mặt phương thức cũng như dấu hiệu kỹ thuật. Khi đó, Radiant Capital từng xác nhận một *mã độc* được gửi qua Telegram là điểm khởi đầu cho cuộc tấn công. Drift cho biết những đối tượng tiếp xúc trực tiếp với họ không mang quốc tịch Triều Tiên, nhưng lưu ý rằng các nhóm tin tặc bị nghi ngờ có liên hệ với Triều Tiên thường sử dụng “bên trung gian” làm lớp vỏ cho các cuộc gặp ban đầu.

Hiện *Drift Protocol* đang phối hợp với cơ quan chức năng và nhiều đơn vị trong ngành để làm rõ toàn bộ diễn biến cuộc tấn công diễn ra ngày 1 tháng 4. Vụ việc cho thấy các cuộc *hack tiền mã hóa* gần đây trên thị trường không còn chỉ dựa vào lỗi hợp đồng thông minh hay lỗ hổng kỹ thuật thuần túy, mà đang chuyển mạnh sang mô hình tấn công “*kỹ nghệ xã hội*”, khai thác niềm tin, mối quan hệ và quy trình làm việc của con người ở mọi điểm chạm trong hệ sinh thái blockchain.