285 triệu đô la đã bị rút sạch trong 12 phút, không phải do lỗi kỹ thuật, mà bởi hệ thống đã tin tưởng con người quá mức cần thiết.

Vào ngày 1 tháng 4 năm 2026, Drift Protocol, sàn DEX vĩnh viễn lớn nhất trên Solana, đã bị khai thác với số tiền 285 triệu đô la. Protocol này có khoảng 1928374656574.84Tổng giá trị bị khóa trước cuộc tấn công, và hơn một nửa trong số đó đã bị xóa sạch chỉ trong vài phút.

Điều quan trọng là: không có gì bị lỗi ở cấp độ mã nguồn. Không có lỗi hợp đồng thông minh nào xảy ra. Hệ thống hoạt động đúng như thiết kế.

Những kẻ tấn công đã dành khoảng sáu tháng để xây dựng quyền truy cập. Họ tiếp cận các cộng tác viên vào cuối năm 2025, giả danh một công ty giao dịch hợp pháp, tham dự các hội nghị thực tế, tổ chức các cuộc thảo luận kỹ thuật, thậm chí còn triển khai hơn $550M vào hệ sinh thái để tạo vẻ đáng tin cậy. Theo thời gian, họ đã lấy được lòng tin và giới thiệu các công cụ độc hại qua các kho mã chia sẻ và các ứng dụng giả mạo. Điều này cho phép họ xâm nhập vào các thiết bị của các cộng tác viên kết nối với quản trị.

Từ đó, họ nhắm vào lớp quản trị thay vì mã nguồn.

Drift sử dụng multisig 2-of-5 không có khóa thời gian, nghĩa là bất kỳ hai người ký nào cũng có thể phê duyệt các hành động quản trị ngay lập tức. Những kẻ tấn công đã khai thác điều này bằng cách khiến các người ký phê duyệt các giao dịch trước bằng cách sử dụng một tính năng của Solana gọi là nonces bền vững, cho phép một giao dịch đã ký vẫn hợp lệ vô thời hạn. Các phê duyệt này đã được thu thập từ nhiều tuần trước khi khai thác và không thể thu hồi sau đó.

Cùng lúc đó, chúng tạo ra một token giả gọi là CVT. Họ phát hành 750 triệu token, thêm vào đó một lượng thanh khoản tối thiểu, và sử dụng giao dịch wash để làm cho nó trông giống như một tài sản $1M thực sự. Hệ thống oracle của protocol chấp nhận mức giá này là hợp lệ vì không có các kiểm tra thanh khoản hoặc xác thực nghiêm ngặt nào được thiết lập.

Khi mọi thứ đã sẵn sàng, quá trình thực thi diễn ra trong khoảng 12 phút.

Họ sử dụng các giao dịch đã được phê duyệt trước để kiểm soát quản trị, niêm yết token giả làm tài sản thế chấp, thao túng giá của nó qua oracle của chính họ, và nâng giới hạn rút tiền để loại bỏ hiệu quả tất cả các kiểm soát rủi ro. Sau đó, họ gửi tiền thế chấp giả và vay các tài sản thật từ nhiều vault khác nhau.

Tổng cộng, 31 giao dịch đã rút khoảng $1 triệu đô la tài sản, bao gồm USDC, ETH, token dựa trên SOL và các loại khác.

Trong vòng vài giờ, các khoản tiền đã được chuyển qua các chuỗi khác nhau. Những kẻ tấn công đã đổi các tài sản lấy USDC, cầu nối qua $285 đến Ethereum qua hơn 100 giao dịch, chuyển đổi thành khoảng 129.000 ETH, rồi phân chia số tiền này qua nhiều ví khác nhau.

Cuộc tấn công này liên quan đến nhóm Lazarus, đã trộm hơn 750Mừ các hệ sinh thái crypto trong những năm gần đây.

Đây không phải là thất bại của công nghệ blockchain. Đó là thất bại của thiết kế quản trị, của lòng tin con người.

Nó là sự kết hợp của:

• Kỹ thuật xã hội dài hạn
• Quyền truy cập quản trị đã được phê duyệt trước
• Tài sản thế chấp giả mạo qua các kiểm tra hệ thống
• Thực thi ngay lập tức không có các biện pháp trì hoãn bảo vệ