Chìa khóa của DeFi: Từ vụ Drift bị trộm 2.85 tỷ USD, nhìn vào lỗ hổng lớn nhất của tài chính phi tập trung

Tác giả: Deep Tide TechFlow

Ngày 1 tháng 4, Lễ Cá tháng Tư.

Sàn giao dịch hợp đồng vĩnh cửu on-chain lớn nhất trên chuỗi Solana là Drift Protocol đang bị rút ruột, và phản ứng đầu tiên của cộng đồng là: “Đúng là một trò đùa hay cho ngày Cá tháng Tư.”

Đây không phải là trò đùa.

Khoảng 1 giờ 30 phút chiều, tài khoản giám sát on-chain Lookonchain và PeckShield gần như đồng thời kích hoạt báo động: một ví lạ bắt đầu bằng “HkGz4K” đang rút tài sản khỏi kho tiền của Drift với tốc độ đáng kinh ngạc. Lần đầu, 41 triệu token JLP, trị giá 155 triệu USD. Ngay sau đó là 51,6 triệu USDC, 125.000 WSOL, 164.000 cbBTC… Hàng chục loại tài sản như nước trong bồn tắm bị rút nút, ào ạt chảy ra.

Một giờ. Tài sản trong kho tiền giảm từ 309 triệu USD xuống còn 41 triệu. Hơn một nửa TVL bốc hơi.

Đội ngũ Drift đăng một bài tweet trên X, lời lẽ hiếm khi cho thấy sự gấp gáp: “Drift Protocol đang bị tấn công chủ động. Việc gửi và rút đã bị tạm dừng. Chúng tôi đang phối hợp với nhiều công ty an ninh, cầu nối cross-chain và sàn giao dịch để kiểm soát tình hình.”

Rồi đến câu nói chắc chắn sẽ được ghi vào lịch sử của crypto: “This is not an April Fools joke.”

Một chiếc chìa khóa, mở ra tất cả cánh cửa

Con số về tài sản số bị đánh cắp của Drift có sự khác biệt tùy theo nguồn. PeckShield ước tính khoảng 285 triệu USD, Arkham đưa ra hơn 250 triệu, đánh giá ban đầu của CertiK vào khoảng 136 triệu. Nhưng cho dù con số nào là đúng, đây vẫn là sự cố bảo mật DeFi lớn nhất tính đến năm 2026.

Điều đáng chú ý hơn cả con số là phương thức tấn công.

Sáng lập viên PeckShield, Jiang Xu Xian, nói với Decrypt một cách thẳng thắn: “Khóa quản trị đằng sau Drift rõ ràng đã bị rò rỉ hoặc bị xâm phạm”. Bức tranh tấn công do các nhà nghiên cứu on-chain ghép lại cho thấy hacker đã lấy được quyền truy cập đặc quyền vào giao thức Drift, từ đó kiểm soát dòng chảy tài chính trong kho tiền.

Nói cách khác, không có khai thác lỗ hổng hợp đồng thông minh tinh vi, không có tấn công flash loan, không có thao túng oracle. Chỉ là một thất bại an ninh nguyên thủy và cũ kỹ nhất: ai đó đã làm mất khóa riêng.

Một chi tiết còn gây bất an hơn là: kẻ tấn công không phải bộc phát. Dữ liệu on-chain cho thấy ví này đã nhận nguồn vốn ban đầu thông qua Near Intents từ 8 ngày trước khi cuộc tấn công xảy ra, sau đó rơi vào trạng thái im lặng. Trước khi tấn công một tuần, nó thậm chí đã nhận được một khoản chuyển khoản nhỏ trị giá 2,52 USD từ kho tiền của Drift. Một lần thăm dò, một lần “gõ cửa”.

Một tuần sau, cánh cửa bị đá tung.

Sự sụp đổ của Robinhood phiên bản crypto

Với đồng sáng lập Drift là Cindy Leow, cơn ác mộng ngày 1 tháng 4 có một lớp nền đặc biệt tàn nhẫn.

Câu chuyện của vị doanh nhân gốc Hoa ở Malaysia này từng là một trong những truyện truyền cảm hứng hay nhất của Solana DeFi. Năm 2016 khởi nghiệp từ chênh lệch giá Bitcoin giữa Trung Quốc và Hàn Quốc, từng làm quỹ tự doanh, đã đóng góp dự án phái sinh trên Ethereum, năm 2021 cùng David Lu tạo dựng Drift, đặt cược vào lợi thế tốc độ của Solana để triển khai hợp đồng vĩnh cửu on-chain.

Nhìn theo dòng thời gian, Drift gần như “cắm sừng” vào từng cột mốc may mắn. Năm 2024 nhận được hai vòng gọi vốn do Polychain và Multicoin dẫn dắt, tổng cộng 52,5 triệu USD. Ra mắt thị trường dự đoán thách thức Polymarket, lên sàn với đòn bẩy 50x, TVL vượt 550 triệu USD, tổng khối lượng giao dịch tích lũy hơn 50 tỷ. Khi Leow trả lời phỏng vấn Fortune, cô dùng một định vị đầy tham vọng: muốn làm “Robinhood phiên bản crypto”.

Ẩn dụ này giờ đọc lên thấy chua chát đủ đường. Lời hứa cốt lõi của Robinhood là giúp người bình thường tiếp cận công cụ tài chính của Phố Wall. Lời hứa cốt lõi của Drift là đem đến cho người dùng trải nghiệm giao dịch “phi giám hộ” trên chuỗi: tiền của bạn không đi qua tay bất kỳ ai, chỉ tương tác với mã code.

Nhưng đằng sau code, có một khóa quản trị. Và tính an toàn của khóa đó rốt cuộc phụ thuộc vào con người, không phải mật mã học.

Còn có một sự trùng hợp lịch sử gây nhói khác. Năm 2022, thời kỳ Drift v1 cũng đã từng trải qua một sự cố bị rút cạn kho tiền. Sau đó, nhóm đã viết một báo cáo kỹ thuật cực kỳ chi tiết, thậm chí công khai một đoạn code chứng minh khái niệm, cho thấy kẻ tấn công có thể rút cạn toàn bộ kho tiền chỉ trong một giao dịch. Tổn thất khi đó là 14,5 triệu USD, nhóm đã tự bỏ tiền để bồi hoàn đầy đủ cho người dùng.

Bốn năm sau, cơn ác mộng tương tự lại lặp lại với quy mô gấp 20 lần.

Niềm tin phi tập trung, điểm yếu chí tử của tập trung hóa

Kéo tầm nhìn ra xa khỏi Drift, bạn sẽ thấy một quy luật khiến người ta khó chịu đang hình thành.

Đầu năm 2025, dịch vụ quản lý khóa AWS của Resolv Labs bị xâm phạm. Kẻ tấn công đã dùng các khóa đặc quyền để phê duyệt việc đúc số lượng lớn stablecoin USR, gây ra chuỗi tổn thất liên hoàn xuyên nền tảng. Cùng năm 2025, tổng giá trị trộm cắp crypto đạt mức kỷ lục 3,4 tỷ USD. Báo cáo của Chainalysis đặc biệt chỉ ra một xu hướng đảo chiều: các sự kiện gây phá hủy nhất xảy ra ở tầng cơ sở hạ tầng. Máy của nhà phát triển bị xâm phạm, một khóa đúc duy nhất được lưu trữ trên đám mây, quy trình ký bị lừa qua kỹ thuật xã hội (social engineering/ phishing)… những thứ đó mới là “hố đen” thực sự nuốt tiền.

Giờ thêm Drift vào danh sách.

Nếu xếp các vụ việc này lại với nhau để nhìn, có một kết luận gần như không thể tránh né: bảo mật khóa riêng đã thay thế lỗ hổng hợp đồng thông minh, trở thành rủi ro hệ thống lớn nhất của DeFi.

Trong đó có một khoảng cách nhận thức, lớn đến mức có thể nuốt chửng hàng chục tỷ USD.

Câu chuyện mà các giao thức DeFi nói với thế giới bên ngoài là “phi tập trung”, “phi giám hộ”, “không cần tin tưởng”. Tài sản của bạn được code giữ, không có bất kỳ trung gian nào có thể chạm vào tiền của bạn. Người dùng nghe lọt câu chuyện này, gửi tiền vào các giao thức đó, và trong đầu họ nghĩ: “Mình đang làm việc với toán học.”

Nhưng thực tế là, hầu như mọi giao thức DeFi đang chạy đều có một hoặc vài “chìa khóa của thượng đế” — admin key, quyền nâng cấp, quyền kiểm soát kho tiền, công tắc tạm dừng khẩn cấp. Sự tồn tại của các khóa đó đôi khi là để an toàn (có thể phanh khẩn cấp khi có sự cố), đôi khi để linh hoạt (có thể nâng cấp logic hợp đồng), nhưng bản chất của chúng là giống nhau: một điểm tin cậy mang tính tập trung, được bọc trong câu chuyện phi tập trung.

Người dùng tưởng họ đang tương tác với code. Thực ra, họ đang tin vào một người, hoặc một nhóm người nhỏ, sẽ không phạm sai lầm, sẽ không bị lừa, sẽ không bị cưỡng ép, sẽ không vào đêm muộn làm rơi chiếc laptop xuống quán cà phê.

Đây không phải vấn đề riêng của Drift; đây là mâu thuẫn mang tính cấu trúc của cả ngành DeFi.

2,85 tỷ USD đã đi đâu

Những hành động on-chain của kẻ tấn công gọn gàng, lạnh lùng như người chuyên nghiệp.

Sau khi rút tài sản khỏi kho tiền của Drift, hắn nhanh chóng đổi phần lớn token sang stablecoin, rồi chuyển tiền sang mạng Ethereum thông qua cầu nối cross-chain Wormhole. Trên Ethereum, hắn dùng một phần stablecoin để mua khoảng 19.913 ETH (trị giá khoảng 42,6 triệu USD), phần còn lại được phân tán ra nhiều địa chỉ ví khác nhau.

Có một chi tiết vô lý: trong ví của kẻ tấn công còn nắm giữ một lượng lớn Fartcoin, chiếm khoảng 2,5% tổng cung của token đó. Một hacker vừa hoàn tất vụ trộm cắp DeFi lớn nhất trong năm, lại cầm trong tay một đống meme coin được đặt tên theo việc “xì hơi”.

Tính đến thời điểm đăng bài, việc gửi và rút của Drift vẫn đang bị tạm dừng. Token DRIFT từ khoảng 0,072 USD trước cuộc tấn công rơi xuống gần 0,05 USD, mức giảm hơn 28%. Tính từ đỉnh lịch sử 2,60 USD, tổng mức giảm đã vượt 98%. Ví Phantom đã bật cảnh báo khi người dùng cố truy cập Drift.

Đội ngũ Drift cho biết đang phối hợp với các công ty an ninh, nhà vận hành cầu nối cross-chain và các sàn giao dịch tập trung để cố gắng đóng băng và truy vết số tiền bị đánh cắp. Nhưng nếu lịch sử có thể cung cấp bất kỳ tham khảo nào, thì khả năng thu hồi đối với số tiền được chuyển qua cầu nối và phân tán vào nhiều ví không mấy lạc quan.

Một vấn đề ngành phải đối mặt một cách trung thực

Nhát cắt của Drift trúng vào vết thương mà một ngành rất không muốn đối diện.

Trong báo cáo cuối năm 2025, Chainalysis từng lạc quan rằng bảo mật DeFi đã đạt “tiến bộ đáng kể”; rằng dù TVL tăng gấp đôi trở lại 119 tỷ USD, thì tổn thất mà hacker DeFi gây ra lại đang giảm. Vụ việc của Venus Protocol được xem như một ví dụ tích cực: hệ thống giám sát bảo mật phát hiện bất thường trước khi cuộc tấn công diễn ra 18 giờ, giao thức nhanh chóng tạm dừng hoạt động, cơ chế quản trị đã đóng băng tiền của kẻ tấn công, thậm chí kẻ tấn công còn bị lỗ.

Drift làm giảm sức nặng của “câu chuyện tiến bộ” này. Bạn có thể đưa kiểm toán hợp đồng thông minh lên mức tối đa, có thể triển khai giám sát on-chain tiên tiến nhất, nhưng chỉ cần một admin key bị social engineering, bị phishing, hoặc bị bẻ khóa bằng vũ lực, thì toàn bộ hạ tầng an ninh cũng giống như pháo đài xây trên cát.

Ngành DeFi cần dừng lại và trả lời trung thực một câu hỏi: Khi bạn nói với người dùng “phi giám hộ”, bạn đang muốn nói gì?

Nếu admin key của giao thức có thể chuyển toàn bộ tài sản trong kho tiền bất cứ lúc nào, vậy sự khác biệt so với việc gửi tiền vào tài khoản ngân hàng của một người mà bạn không quen biết rốt cuộc nằm ở đâu? Ít nhất thì ngân hàng có bảo hiểm, có giám sát, có quyền truy đòi pháp lý.

Có lẽ câu trả lời không phải là hủy bỏ các quyền quản trị đó; trong nhiều trường hợp, sự tồn tại của chúng là cần thiết. Nhưng ít nhất, ngành nên ngừng việc giả vờ rằng chúng không tồn tại. Quản trị đa chữ ký (multisig), time lock, module bảo mật phần cứng, xoay vòng khóa… những giải pháp kỹ thuật này đã tồn tại nhiều năm, nhưng quá nhiều giao thức vẫn đặt sự an toàn của hàng trăm triệu USD vào sự cảnh giác của một hay hai người vận hành con người.

Giấc mơ “Robinhood phiên bản crypto” rất đẹp. Nhưng trước khi hiện thực hóa nó, có lẽ nên trả lời một câu hỏi cơ bản hơn trước: Ai đang giữ chìa khóa đó?