Công ty phân tích blockchain Elliptic cho biết vào ngày 2 tháng 4 năm 2026 rằng vụ khai thác trị giá 286 triệu USD nhắm vào Drift Protocol dựa trên Solana có nhiều dấu hiệu cho thấy sự liên quan của nhóm hacker DPRK do nhà nước tài trợ của Triều Tiên, đánh dấu vụ tấn công thứ mười tám như vậy mà Elliptic theo dõi trong năm nay.
Vụ khai thác ngày 1 tháng 4, vụ hack DeFi lớn nhất của năm 2026 tính đến thời điểm hiện tại, đã làm sụp đổ tổng giá trị bị khóa (TVL) của Drift từ khoảng 550 triệu USD xuống dưới 250 triệu USD, với hành vi trên chuỗi, phương thức rửa tiền và các tín hiệu cấp độ mạng phản ánh các hoạt động trước đó có liên quan đến nhà nước.
Elliptic Xác Định Hành Vi Trên Chuỗi Được Lên Kế Hoạch Trước và Các Mẫu Rửa Tiền Xuyên Chuỗi
Phân tích của Elliptic cho thấy có hoạt động dường như “được chuẩn bị trước và triển khai cẩn thận,” với các giao dịch thử nghiệm ban đầu và các ví được định vị sẵn trước khi diễn ra sự kiện chính. Ví của kẻ tấn công được tạo ra khoảng tám ngày trước vụ khai thác và nhận một khoản chuyển thử nhỏ từ một vault của Drift trong khoảng thời gian đó, cho thấy có sự chuẩn bị trước.
(Nguồn: Elliptic Investigator)
Sau khi được thực hiện, các khoản tiền đã được nhanh chóng gom lại và hoán đổi, chuyển qua cầu giữa các chuỗi (bridged), rồi chuyển thành các tài sản thanh khoản hơn, phản ánh một quy trình rửa tiền có cấu trúc, có thể lặp lại nhằm che giấu nguồn gốc trong khi vẫn duy trì quyền kiểm soát. Kẻ tấn công đã rút cạn ba vault cốt lõi: vault JLP Delta Neutral, vault SOL Super Staking và vault BTC Super Staking. Chuyển khoản lớn nhất liên quan đến khoảng 41,7 triệu token JLP, trị giá xấp xỉ 155 triệu USD tại thời điểm bị đánh cắp. Các tài sản bị đánh cắp bổ sung bao gồm USDC, SOL, cbBTC, wBTC và các token staking thanh khoản.
Trong vòng một giờ sau khi cuộc tấn công bắt đầu, kẻ tấn công đã rút cạn một cách có hệ thống phần lớn thanh khoản của Drift bằng cách rút tài sản từ nhiều vault của các giao thức. Theo công ty bảo mật blockchain PeckShield, nguyên nhân sơ bộ dường như là việc bị lộ/bị xâm phạm các khóa riêng của quản trị viên giao thức, qua đó kẻ tấn công có được quyền ưu tiên để khởi động việc rút tiền và thay đổi các kiểm soát quản trị.
Mô Hình Tài Khoản Trên Solana Làm Phức Tạp Việc Điều Tra Vụ Khai Thác Nhiều Tài Sản
Elliptic lưu ý rằng mô hình tài khoản của Solana tạo ra một thách thức trung tâm đối với các nhà điều tra. Bởi vì mỗi tài sản được nắm giữ trong một tài khoản token riêng biệt, hoạt động gắn với một tác nhân duy nhất có thể trông như bị phân mảnh qua nhiều địa chỉ. Kẻ tấn công đã rút cạn hơn 15 loại token trên nhiều vault, nghĩa là các tài sản bị đánh cắp của kẻ tấn công như JLP, USDC, SOL, cbBTC và các tài sản khác đều nằm ở các địa chỉ on-chain riêng biệt.
Các nhà cung cấp phân tích coi các địa chỉ này là không liên quan sẽ chỉ nhìn thấy các mảnh ghép của hoạt động kẻ tấn công, chứ không có được bức tranh đầy đủ. Cách tiếp cận phân cụm (clustering) của Elliptic kết nối các tài khoản token trở lại cùng một thực thể, cho phép xác định phạm vi phơi nhiễm dù địa chỉ nào được sàng lọc. Vụ việc cũng nhấn mạnh rằng việc rửa tiền đã trở nên mang tính xuyên chuỗi một cách vốn có, với dòng tiền chuyển từ Solana sang Ethereum và xa hơn, đòi hỏi năng lực truy vết xuyên chuỗi một cách toàn diện.
Trộm Cắp Crypto Có Liên Kết DPRK Leo Thang Khi Elliptic Theo Dõi Việc Đánh Cắp 300 Triệu USD Trong Năm 2026
Nếu được xác nhận, sự cố này sẽ đại diện cho hành động gắn với DPRK thứ mười tám mà Elliptic đã theo dõi trong năm 2026, với số tiền bị đánh cắp tính đến nay vượt quá 300 triệu USD. Các tác nhân liên quan DPRK được cho là đã đánh cắp hơn 6,5 tỷ USD tài sản crypto trong những năm gần đây. Chính phủ Mỹ đã liên kết các vụ trộm cắp với việc tài trợ cho chương trình vũ khí hủy diệt hàng loạt của Triều Tiên.
Vào tháng 12 năm 2025, một báo cáo của Chainalysis cho biết các hacker DPRK đã đánh cắp một kỷ lục 2 tỷ USD crypto trong năm 2025, bao gồm vụ xâm nhập Bybit trị giá 1,4 tỷ USD, tương ứng với mức tăng 51% so với năm trước. Bộ Tài chính Hoa Kỳ hồi tháng trước một lần nữa khẳng định rằng Triều Tiên sử dụng các tài sản bị đánh cắp để tài trợ cho chương trình vũ khí của mình.
Vụ khai thác Drift cũng diễn ra trong bối cảnh hoạt động liên quan DPRK nhắm vào hệ sinh thái crypto đang leo thang rộng hơn, bao gồm việc gần đây bị xâm phạm chuỗi cung ứng đối với gói npm axios, mà Google cho rằng do tác nhân đe doạ UNC1069 của DPRK thực hiện.
Drift Protocol xác nhận vụ khai thác trên X, cho biết họ đang trải qua một “cuộc tấn công đang diễn ra” và rằng việc gửi tiền và rút tiền đã bị tạm dừng. Nhóm đang phối hợp với nhiều công ty bảo mật, các cầu nối xuyên chuỗi và các sàn giao dịch để khống chế sự cố. Token của Drift đã giảm hơn 40% xuống còn khoảng 0,06 USD kể từ vụ hack.
CÂU HỎI THƯỜNG GẶP
Trong vụ khai thác Drift Protocol đã bị đánh cắp bao nhiêu và ai bị nghi ngờ?
Khoảng 286 triệu USD đã bị đánh cắp từ Drift Protocol vào ngày 1 tháng 4 năm 2026. Elliptic đã xác định nhiều dấu hiệu cho thấy có sự liên quan của nhóm hacker DPRK do nhà nước tài trợ của Triều Tiên, bao gồm hành vi trên chuỗi được lên kế hoạch trước và các mẫu rửa tiền phù hợp với các hoạt động trước đó có liên kết với nhà nước.
Điều gì khiến vụ khai thác Drift đặc biệt khó truy vết?
Kẻ tấn công đã rút cạn hơn 15 loại token trên nhiều vault. Mô hình tài khoản của Solana tạo ra các tài khoản token riêng biệt cho từng loại tài sản mà một thực thể nắm giữ, nghĩa là các tài sản bị đánh cắp khác nhau của kẻ tấn công đều nằm ở những địa chỉ on-chain riêng biệt. Nếu không phân cụm các địa chỉ này, các nhà điều tra sẽ chỉ thấy các mảnh ghép chứ không có được bức tranh đầy đủ về cuộc tấn công.
Sự cố này phù hợp như thế nào với các xu hướng tấn công mạng liên quan DPRK rộng hơn?
Nếu được xác nhận, đây sẽ là hành động gắn với DPRK thứ mười tám mà Elliptic đã theo dõi trong năm 2026, với số tiền bị đánh cắp tính đến nay vượt quá 300 triệu USD. Các tác nhân liên quan DPRK được cho là đã đánh cắp hơn 6,5 tỷ USD tài sản crypto trong những năm gần đây, và chính phủ Mỹ liên kết các vụ trộm cắp này với việc tài trợ cho chương trình vũ khí hủy diệt hàng loạt của quốc gia đó.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
