Drift Protocol vừa công bố báo cáo chi tiết nhất về vụ khai thác ngày 1/4, cho thấy nhóm tấn công đã thực hiện chiến dịch tình báo có cấu trúc kéo dài khoảng sáu tháng, với mức độ tự tin “trung bình-cao” rằng thủ phạm là các tác nhân liên kết với Triều Tiên.
Theo bản cập nhật công bố hôm thứ Bảy, tiếp xúc ban đầu diễn ra vào khoảng mùa thu 2025, khi các cá nhân tự xưng là công ty giao dịch định lượng tiếp cận cộng tác viên Drift tại một hội nghị crypto lớn và bày tỏ mong muốn tích hợp trên giao thức.
Một nhóm Telegram được thiết lập ngay tại cuộc gặp đầu tiên, và những cá nhân này tiếp tục gặp gỡ trực tiếp với cộng tác viên Drift tại các sự kiện ngành trên nhiều quốc gia trong những tháng sau đó.
“Giữa tháng 12/2025 và tháng 1/2026, nhóm này đã onboard một Ecosystem Vault trên Drift, điền đầy đủ biểu mẫu chiến lược tiêu chuẩn, tham gia nhiều buổi làm việc với cộng tác viên, và gửi hơn 1 triệu USD vốn tự có”, báo cáo viết.
Drift cho biết hành vi này phù hợp với cách các công ty giao dịch hợp pháp thường tích hợp với giao thức. Tuy nhiên, rà soát pháp y trên thiết bị bị ảnh hưởng và lịch sử giao tiếp sau vụ khai thác chỉ ra mối quan hệ này là đường xâm nhập khả dĩ nhất.
Drift nói các cuộc trò chuyện Telegram của nhóm và phần mềm độc hại liên quan đã bị xóa sạch trong khoảnh khắc cuộc tấn công được kích hoạt.
— Drift (@DriftProtocol) April 5, 2026
Hai vectơ khả dĩ
Đánh giá sơ bộ của Drift xác định hai phương thức xâm nhập khả dĩ. Một cộng tác viên có thể đã bị nhiễm sau khi clone một kho mã mà nhóm chia sẻ với lý do triển khai frontend cho vault của họ.
Cộng tác viên thứ hai bị dụ cài đặt phiên bản beta của một ứng dụng thông qua Apple TestFlight mà nhóm mô tả là sản phẩm ví của họ.
Đối với đường dẫn kho mã, Drift cảnh báo lỗ hổng VS Code và Cursor mà các nhà nghiên cứu bảo mật đã công khai cảnh báo từ tháng 12/2025 đến tháng 2/2026, trong đó chỉ cần mở tệp, thư mục hoặc kho mã trong trình soạn thảo có thể âm thầm thực thi mã tùy ý mà không có lời nhắc người dùng.
Bản thân vụ khai thác, như The Block đã đưa tin trước đó, không liên quan đến lỗi hợp đồng thông minh. Drift mô tả đây là “cuộc tấn công mới lạ liên quan đến durable nonces”, một nguyên thủy Solana hợp pháp cho phép giao dịch được ký trước và thực thi sau.
Kẻ tấn công đã giành được phê duyệt multisig từ trước, có thể thông qua kỹ thuật xã hội hoặc làm sai lệch giao dịch, sau đó sử dụng ủy quyền đã ký trước để chiếm quyền quản trị của Hội đồng Bảo mật và rút cạn giao thức trong vài phút.
i genuinely think everyone in this space should immediately switch to using Vim. DPRK started abusing VS Code hooks that run _automatically_ in the background when you open a folder. ZERO fucking user interaction required _after_ trusting the repo (the trusting part is important… pic.twitter.com/zcI2N63MZs
— sudo rm -rf –no-preserve-root / (@pcaversaccio) January 10, 2026
Liên kết Triều Tiên
Drift cho biết với sự hỗ trợ của đội ngũ SEAL 911, họ đánh giá với mức độ tự tin “trung bình-cao” rằng chiến dịch được thực hiện bởi cùng các tác nhân được nhà nước Triều Tiên bảo trợ đứng sau vụ hack Radiant Capital 50 triệu USD vào tháng 10/2024.
Mandiant trước đó quy vụ Radiant cho UNC4736, còn gọi là AppleJeus hoặc Citrine Sleet, nhóm hacker có liên kết với Cục Trinh sát Umum của Triều Tiên.
Mối liên kết dựa trên cả chồng chéo onchain và vận hành, theo Drift. Luồng vốn dùng để dàn dựng và kiểm tra chiến dịch Drift truy ngược về những kẻ tấn công Radiant, và các nhân vật triển khai trong chiến dịch có chồng chéo nhận diện được với hoạt động liên kết DPRK đã biết.
Đáng chú ý, Drift nhấn mạnh rằng những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Các tác nhân đe dọa DPRK hoạt động ở cấp độ này được biết là triển khai bên trung gian thứ ba để xử lý công việc xây dựng mối quan hệ.
“Các hồ sơ sử dụng trong chiến dịch này có lịch sử việc làm đầy đủ, thông tin xác thực công khai và mạng lưới chuyên nghiệp được thiết kế để chịu được thẩm định đối tác”, giao thức viết.
Tình hình hiện tại của Drift
Drift cho biết tất cả chức năng giao thức còn lại đã bị đóng băng, các ví bị xâm phạm đã được loại khỏi multisig, và địa chỉ kẻ tấn công đã được gắn cờ với các sàn giao dịch cùng nhà vận hành cầu nối.
Nhà điều tra onchain ZachXBT riêng biệt chỉ trích tổ chức phát hành stablecoin Circle vì phản ứng mà ông gọi là chậm chạp, cáo buộc kẻ tấn công đã cầu nối khoảng 232 triệu USDC từ Solana sang Ethereum qua CCTP trong sáu giờ mà không có khoản tiền nào bị đóng băng.
Vụ khai thác Drift là vụ hack DeFi lớn nhất năm 2026 tính đến nay và xếp thứ hai trong số các sự cố bảo mật lớn nhất trong lịch sử Solana, sau vụ tấn công cầu nối Wormhole 325 triệu USD năm 2022.
Drift ghi công các nhà nghiên cứu độc lập và thành viên SEAL 911 Taylor Monahan, tanuki42_, pcaversaccio và Nick Bax vì công việc xác định các tác nhân, đồng thời kêu gọi bất kỳ đội ngũ nào tin rằng họ có thể đã bị nhắm mục tiêu bởi cùng nhóm liên hệ trực tiếp với SEAL 911.
“Nói thật thì – đây là cuộc tấn công công phu và có mục tiêu nhất mà tôi nghĩ mình từng thấy do DPRK thực hiện trong không gian crypto”, tanuki42_ viết trên X, đồng thời cảnh báo rằng các giao thức khác cũng có thể đã bị nhắm mục tiêu.
“Tuyển dụng nhiều người hỗ trợ và sau đó khiến họ nhắm mục tiêu cụ thể vào những người cụ thể trong đời thực tại các sự kiện crypto lớn là một chiến thuật điên rồ”.
Việc các tác nhân nhà nước sử dụng kỹ thuật xã hội dài hạn thay vì chỉ khai thác lỗ hổng kỹ thuật phản ánh sự tinh vi ngày càng tăng trong các chiến dịch tấn công crypto.
Đối với nhà phát triển và người dùng DeFi, bài học then chốt là không chỉ kiểm tra mã nguồn mà còn xác minh danh tính và động cơ của bất kỳ đối tác tích hợp tiềm năng nào, đặc biệt trong bối cảnh các sự kiện trực tiếp.
Trong bối cảnh cạnh tranh giữa các blockchain và giao thức ngày càng khốc liệt, bảo mật và xác minh đối tác sẽ là yếu tố phân định giữa thành công và thảm họa.
Dù kết quả điều tra cuối cùng ra sao, vụ việc Drift tiếp tục nhấn mạnh tầm quan trọng của việc kết hợp phòng thủ kỹ thuật với cảnh giác con người trong hệ sinh thái tài chính phi tập trung.