Ngày 01/04 là ngày của những trò đùa cá tháng tư nhưng đối với Drift - giao thức phái sinh hàng đầu trên Solana và người dùng của nó thì ngày này lại trở thành một cơn ác mộng thực sự khi Drift đã bị Hack 285 triệu USD. Đây là vụ Hack lớn nhất kể từ đầu năm 2026 và cũng có quy mô lớn thứ 2 trong lịch sử hệ sinh thái Solana chỉ sau Wormhole vào năm 2022. Vậy toàn cảnh vụ Hack Drift diễn ra như thế nào, hãy cùng Hak Research tìm hiểu trong bài viết này nhé

Chi Tiết Vụ Hack 285 Triệu USD Của Drift Protocol

Đầu tiên phải nói rằng đây là một tấn công được lên kế hoạch cực kì tỉ mĩ và thực hiện từng bước một. Bằng chứng Onchain cho thấy địa chỉ của Hacker HkGz4Kmo đã được tạo một cách âm thầm 9 ngày trước cuộc tấn công. Để tạo dấu vết sạch, tránh bị các hệ thống giám sát Onchain vốn nhạy cảm với ví mới có lượng tiền lớn phát hiện thì trong tuần đầu tiên, chúng chỉ thực hiện các giao dịch nhỏ trên OKX và Jupiter để tránh bị nghi ngờ

Vào nửa đêm ngày 01/04/2026, Hacker bắt đầu hành động với mục tiêu rất rõ ràng là đánh cắp những tài sản có tinh thanh khoản cao nhất và được thế chấp nhiều nhất trong Drift đặc biệt là sản phẩm chủ lực của giao thức JLP Delta Neutral Vault. Theo đó, vụ rút tiền bất thường quy mô lớn đầu tiên xảy ra nơi một giao dịch duy nhất đã dẫn đến việc mất hơn 41 triệu Token JLP trị giá lên tới 155 triệu USD ngay lập tức được thực hiện khiến JLP trở thành bên chịu thiệt hại lớn nhất

Ngay sau đó, Hacker đã liên tục chuyển Token với tần suất cực cao. Hàng chục triệu Token đã được các Hacker chuyển đi chỉ trong vòng vài giây và chỉ trong nửa ngày sau đó, số tiền nắm giữ trong Treasury chính của Drift đã giảm mạnh từ 312 triệu USD xuống chỉ còn 7.8 triệu USD

Sau khi hoàn tất quá trình khai thác, Hacker nhanh chóng thực hiện hành vi rửa tiền. Theo đó:

  • Chúng tổng hợp tài sản JLP, cbBTC, wBTC và SOL bị đánh cắp và Swap hết thành USDC thông qua Jupiter
  • Sau đó sử dụng Wormhole Bridge để lượng lớn USDC đến mạng chính Ethereum
  • Toàn bộ USDC sau đó đã được Swap thành gần 130.000 ETH trị giá tới 277 triệu USD ở thời điểm đó

Cho đến nay, nguồn vốn Hacker sử dụng để tấn công vẫn chưa được tiết lộ càng làm tăng đáng kể độ khó trong việc phân tích và theo dõi trên chuỗi. Đây là vụ Hack lớn nhất trên thị trường Crypto trong năm 2026 và cũng là vụ Hack lớn thứ hai trên hệ sinh thái Solana chỉ sau Wormhole vào năm 2022 với 326 triệu USD

Nguyên Nhân Dẫn Đến Vụ Hack

Nguyên nhân ban đầu được cho xuất phát từ việc Drift đã thay đổi cơ chế xác thực đa chữ kí của mình thành 2/5 và không thiết lập khóa thời gian. Tin tặc đã sử dụng kĩ thuật tinh vi để giành quyền quản trị, làm giả các Token độc hại, thao túng Oracle, vô hiệu hóa các cơ chế bảo mật và chuyển tài sản có giá trị cao từ Pool thanh khoản. Rõ ràng việc quản lí khóa đã trở thành một mối đe dọa an ninh lớn đối với các giao thức DeFi nhưng Hacker đã đánh cắp khóa như thế nào, đội ngũ Drift đã đưa ra một báo cáo với hình thức tấn công cực kì bài bản và tinh vi

Điều tra sơ bọ cho thấy đây là một hoạt động tình báo có cấu trúc, đòi hỏi sự hậu thuẫn của tổ chức, nguồn lực đáng kể và sự chuẩn bị kĩ lưỡng trong nhiều tháng

  • Tiếp cận (mùa thu 2025): Những người đóng góp cho Drift đã bị một nhóm người tiếp cận tại một hội nghị Crypto lớn. Họ đóng giả làm một quỹ giao dịch định lượng muốn tích hợp vào giao thức
  • Xây dựng lòng tin (6 tháng tiếp theo): Nhóm này liên tục tìm gặp các thành viên Drift tại nhiều hội nghị quốc tế ở nhiều quốc gia khác nhau. Họ rất am hiểu kĩ thuật, có hồ sơ chuyên môn xác thực và quen thuộc với cách vận hành của Drift
  • Thâm nhập sâu (tháng 12/2025 - 01/2026): Họ nạp hơn 1 triệu USD vốn tự có vào Drift, tham gia các buổi làm việc kĩ thuật, đặt câu hỏi chi tiết về sản phẩm và xây dựng một sự hiện diện hoạt động thực tế trong hệ sinh thái
  • Tiến hành tấn công (tháng 03/2026): Suốt quá trình này, họ chia sẻ các liên kết dự án, công cụ và ứng dụng giả mạo. Ngay sau khi vụ Hack xảy ra, toàn bộ lịch sử trò chuyện Telegram và phần mềm độc hại của chúng đã được xóa sạch dấu vết

Đội ngũ Drift cho rằng, Hacker đã sử dụng ba hình thức tấn công chính:

  • Mã nguồn độc hại: Một thành viên Drift bị xâm nhập sau khi Clone một kho mã nguồn được nhóm này chia sẻ dưới danh nghĩa là giao diện cho quỹ
  • Ứng dụng giả mạo: Một thành viên khác đã tải xuống ứng dụng TestFlight mà nhóm này giới thiệu là sản phẩm ví của họ
  • Lỗ hổ trên VSCode và Cursor: Thông thường mọi người nghĩ rằng chỉ khi chạy phần mềm Hack thì mới nguy hiểm nhưng với lỗ hổng này thì chỉ cần dùng VSCode để mở thư mục chứa mã độc, máy tính của mọi người đã bị chiếm quyền kiểm soát ngay lập tức. 

Đây là ba cách chính để chúng chiếm được Private Key từ máy tính cá nhân của các quản trị viên. Với thủ thuật tấn công như này thì Drift cho rằng đây là nhóm tin tặc đứng sau vụ hack Radiant Capital vào tháng 10/2024. Đây là nhóm UNC4736 - một nhóm được liên kết với Triều Tiên. Đáng chú ý, để tránh bị nghi ngờ do sắc tộc hoặc giọng nói thì nhóm tin tặc Triều Tiên đã thuê những người trông có vẻ là chuyên gia tài chính phương Tây hoặc quốc tế để đi họp trực tiếp. Điều này cũng giúp phá vỡ rào cản phòng thủ và tạo niềm tin của đội ngũ Drift với nhóm Hacker này

Tuy nhiên vẫn có một điều mình thắc mắc ở đây là tại sao Drift lại chuyển cơ chế xác thực đa chữ kí của mình thành 2/5 và không thiết lập khóa thời gian vì rõ ràng điều này là rất rủi ro khi Hacker chỉ cần chiếm dụng 2 Private Key của Team là có thể rút được toàn bộ nguồn vốn hiện có trên Drift Protocol. Trong quá khứ không ít trường hợp tương tự đã xảy ra như trường hợp của Ronin, Harmony,... và điểm chung là các nhóm Hacker này đều đến từ Triều Tiên. Vậy với vài trò là một trong những dự án hàng đầu trên Solana thì Drift phải rút kinh nghiệm từ những dự án đi trước chứ, đây vẫn là một điều mà mình tương đối khó hiểu.

Hệ Sinh Thái Solana Ảnh Hưởng Như Thế Nào?

Trong 285 triệu USD bị Hack thì có tới hơn 1 nửa là đến từ JLP Delta Neutral Vault - Đây là Vault được thiết kế để giúp người dùng thu lợi nhuận từ hệ sinh thái Jupiter mà không phải chịu rủi ro khi giá thị trường biến động. JLP (Jupiter Liquidity Provider) là Token đại diện cho việc cung cấp thanh khoản trên sàn Jupiter chứa một rổ tài sản như SOL, ETH, BTC, USDC và USDT, việc nắm giữ JLP giúp người dùng nhận được khoảng 70 - 75% phí giao dịch của sàn. Tuy nhiên việc nắm giữ rổ tài sản này sẽ gặp nhiều rủi ro khi thị trường giảm giá vì vậy chiến lược Delta Neutral được ra, bằng cách mở một vị Short cùng khối lượng giúp người dùng vẫn đảm bảo khả năng kiếm lợi nhuận từ JLP nhưng không lo lắng về thị trường giảm giá.

Rõ ràng việc chồng chéo thanh khoản từ nhiều giao thức đến Drift khiến vụ Hack lần này không chỉ riêng Drift và người dùng của họ bị ảnh hưởng mà rất nhiều giao thức khác trên Solana cũng bị ảnh hưởng theo. Rất may các giao thức hàng đầu trên Solana không bị ảnh hưởng trực tiếp mà chỉ bị gián tiếp do dành động rửa tiền của Hacker

  • Đối với Jupiter: Khoảng 155 triệu USD giá trị Token JLP bị rút khỏi Drift và xả ngay lập tức trên Jupiter Swap. Điều này gây trượt giá tạm thời cho JLP và làm giảm TVL của hệ sinh thái Jupiter một cách đột ngột
  • Đối với Kamino & Solend: Khi giá JLP và các LST biến động mạnh do lệnh bán của Hacker trên Drift thì các thuật toán quản trị rủi ro của Kamino và SoLend đã phải kích hoạt chế độ bảo vệ, tăng phí vay và tạm thời đóng băng 1 số Vault để tránh nợ xấu

Ngoài ra, một số giao thức khác trên Solana đã bị ảnh hưởng và họ đã có những hành động kịp thời để khắc phục hậu quả mà Drift gây ra. Theo đó:

  • Reflect Money: Mặc dù chưa bị xâm phạm nhưng sau khi phát hiện lỗ hổ bảo mật của Drift thì việc phát hành USDC+ và USDT+ đã bị tạm ngừng. Điều này là cần thiết vì tỉ giá quy đổi được bảo vệ bởi giao thức Reflect
  • Ranger Finance: 4 Vault được phân bổ cho các chiến lược Earn dựa trên Drift đã bị ảnh hưởng với Vectis DriftPack Vault thiệt hại 428.000 USD, Ranger USD thiệt hại 249.000 USD, Elemental USDC Lending thiệt hại 237.000 USD và Vectis Multi Lend thiệt hại 5000 USD. Tổng số tiền ảnh hưởng lên tới hơn 900.000 USD và Ranger Finance đã tạm dừng tất cả các giao dịch gửi và rút tiền cũng như tất cả các Vault hiện có trên Ranger.
  • Lulo Finance: Các hoạt động Deposit, Boosted,.. mới trên nền tảng vẫn hoạt động bình thường. Tuy nhiên những khoản tiền bị kẹt trong Drift thông qua Direct sẽ cần chờ cho đến khi Lulo nhận được thông tin thêm từ đội ngũ phát triển Drift
  • Project 0: Tổng số tiền thiệt hại lên tới gần 2 triệu USD. Thay vì để người dùng mất trắng, Project 0 áp dụng cơ chế Markdown trên toàn bộ Pool cho vay. Điều này có nghĩa là tất cả người cho vay sẽ cùng chia sẻ một phần thiệt hại nhỏ để giữ cho giao thức không bị phá sản với tỉ lệ Markdown trung bình là 2.61%. Nếu Drift trả lại 50% giá trị USDC thì con số thiệt hại thực tế có thể giảm xuống chỉ còn 1.3%
  • ...

Nhìn chung vụ Hack của Drift tiếp tục lời cảnh tỉnh cho cơ chế bảo mật quá tập trung chỉ dựa vào vài thực thể để quản lí toàn bộ giao thức. Đây là môi trường lí tưởng để Hacker có thể tận dụng tuy nhiên một điều đáng buồn là nó xuất hiện từ 2022 mà đến tận bây giờ một số giao thức DeFi vẫn mắc phải. Vì vậy sự phi tập trung trong quá trình quản lí Treasury của giao thức cần phải làm quyết liệt hơn để tránh lặp lại sai lầm như này một lần nữa

Tổng Kết

Vụ hack Drift Protocol là một lời nhắc nhở nghiệt ngã rằng trong thế giới DeFi, con người luôn là mắt xích yếu nhất. Dù mã nguồn có an toàn đến đâu, việc quá tạp trung quyền lực vào cơ chế đa chữ kí lỏng lẻo và sự thiếu cảnh giác trước các thủ đoạn thao túng tâm lí sẽ luôn là điểm yếu chí mạng để các nhóm tin tặc chuyên nghiệp khai thác. Sự cố không chỉ khiến người dùng Drift thiệt hại nặng nề mà còn tạo ra rủi ro lây lan sang các đối tác buộc toàn bộ hệ sinh thái Solana phải nhìn nhận lại tiêu chuẩn bảo mật