Vụ chiếm đoạt 285 triệu USD của Drift Protocol bắt đầu bằng một cái bắt tay và 6 tháng xây dựng niềm tin
Drift Protocol (DRIFT) đã công bố bản cập nhật chi tiết về sự cố vào ngày 05/04/2026, tiết lộ rằng vụ tấn công trị giá 285 triệu USD xảy ra vào ngày 01/04/2026 là kết quả của một chiến dịch tình báo kéo dài sáu tháng, được cho là do nhóm tin tặc được nhà nước Triều Tiên hậu thuẫn thực hiện.
Bản công bố cho thấy mức độ tinh vi của phương thức lừa đảo xã hội vượt xa kiểu lừa đảo phishing hay mạo danh nhà tuyển dụng thông thường, bao gồm cả các cuộc gặp ngoài đời thật, rót vốn thật sự và quá trình gây dựng lòng tin kéo dài nhiều tháng.
Một công ty giao dịch giả đã kiên nhẫn lừa đảo trong thời gian dài
Theo Drift, một nhóm giả làm công ty giao dịch định lượng lần đầu tiếp cận các thành viên tại một hội nghị crypto lớn vào mùa thu năm 2025.
Trong những tháng sau đó, những người này xuất hiện tại nhiều sự kiện ở nhiều quốc gia khác nhau, tổ chức các buổi làm việc nhóm và duy trì các cuộc trò chuyện trên Telegram về việc tích hợp vault.
Theo dõi chúng tôi trên X để cập nhật tin tức nhanh chóng nhất
Trong giai đoạn từ tháng 12/2025 đến tháng 01/2026, nhóm này đã cùng Drift thiết lập một Ecosystem Vault, trực tiếp nạp hơn 1 triệu USD và tham gia thảo luận chi tiết về sản phẩm.
Đến tháng 03/2026, các thành viên Drift đã gặp trực tiếp những người này nhiều lần.
“…những hacker nguy hiểm nhất nhìn bên ngoài lại không giống hacker chút nào,” chia sẻ Gautham, lập trình viên trong mảng crypto.
Ngay cả các chuyên gia bảo mật trên web cũng cảm thấy lo lắng, khi chuyên gia nghiên cứu Tay chia sẻ rằng ban đầu cô tưởng đây chỉ là kiểu lừa tuyển dụng bình thường, nhưng mức độ tinh vi của chiến dịch này đáng sợ hơn rất nhiều.
Cách các thiết bị bị xâm nhập
Drift đã xác định ba hướng tấn công có khả năng đã xảy ra:
- Một thành viên đã sao chép kho mã nguồn do nhóm này chia sẻ, để phát triển một giao diện vault.
- Một thành viên khác đã tải về một ứng dụng TestFlight mà họ giới thiệu là sản phẩm ví.
- Với hướng tấn công qua kho mã nguồn, Drift chỉ ra một lỗ hổng đã có sẵn trên VSCode và Cursor mà các chuyên gia bảo mật đã cảnh báo từ cuối năm 2025.
Lỗ hổng này cho phép bất kỳ đoạn mã nào cũng có thể tự động chạy ngay khi mở tập tin hoặc thư mục trong trình chỉnh sửa, mà không cần bất cứ hành động nào từ phía người dùng.
Sau khi diễn ra vụ việc rút sạch vào ngày 01/04/2026, những kẻ tấn công đã xóa toàn bộ cuộc trò chuyện trên Telegram và phần mềm độc hại khỏi thiết bị. Drift hiện đã đóng băng mọi chức năng của protocol còn lại và loại bỏ các ví bị xâm nhập khỏi multisig.
Nhóm SEALS 911 đánh giá với độ tin cậy trung bình-cao rằng những kẻ tấn công này cũng chính là tác giả của vụ hack Radiant Capital vào tháng 10/2024 mà Mandiant quy trách nhiệm cho nhóm UNC4736.
Dòng tiền di chuyển trên blockchain và các điểm tương đồng trong quá trình vận hành giữa hai chiến dịch này càng củng cố mối liên hệ.
Ngành công nghiệp kêu gọi thiết lập lại bảo mật
Armani Ferrante, chuyên gia phát triển Solana có tiếng, kêu gọi các đội ngũ dự án crypto nên tạm dừng mở rộng và rà soát kỹ lại toàn bộ bảo mật của mình.
“Mỗi đội nhóm trong lĩnh vực crypto nên coi đây là dịp để chậm lại, tập trung cho an ninh. Nếu có thể, hãy dành riêng một đội chỉ lo việc này… bạn không thể phát triển nếu bị hack,” Ferrante nói.
Drift cũng cho biết các cá nhân xuất hiện trực tiếp không phải là người Triều Tiên. Các nhóm đe dọa đến từ Triều Tiên thường thuê bên trung gian để tiếp xúc, gặp mặt trực tiếp ở mức này.
Mandiant, đơn vị Drift thuê để kiểm tra thiết bị, vẫn chưa chính thức xác định ai đứng sau vụ khai thác này.
Bản công bố này được xem như lời cảnh báo cho toàn hệ sinh thái. Drift kêu gọi các đội nhóm kiểm tra lại quyền truy cập, coi bất kỳ thiết bị nào dùng chung multisig đều có thể trở thành mục tiêu và nếu nghi ngờ bị nhắm tới thì nên liên hệ SEAL 911 để được hỗ trợ.
Bài viết đề xuất
