Drift Protocol $280M Breach: Hàng Tháng Chuẩn Bị Có Chủ Đích

Drift Protocol, sàn giao dịch phi tập trung, cho biết vụ vi phạm mới nhất của mình không phải là sự cố ngẫu nhiên mà là một chiến dịch phối hợp cao độ kéo dài sáu tháng được thực hiện bởi một mạng lưới các tác nhân đe dọa có tổ chức. Đánh giá sơ bộ của công ty mô tả cuộc tấn công này như một chiến dịch kiểu tình báo đòi hỏi sự hỗ trợ tổ chức, nguồn lực đáng kể và nhiều tháng chuẩn bị cố ý. Ước tính từ bên ngoài đặt thiệt hại ở mức khoảng 280 triệu USD.

Drift truy vết kế hoạch này từ tháng 10 năm 2025, khi những kẻ tấn công giả danh một công ty giao dịch định lượng tiếp cận các cộng tác viên của Drift tại một hội nghị tiền điện tử lớn và bày tỏ sự quan tâm đến việc tích hợp với giao thức. Trong sáu tháng tiếp theo, nhóm này đã gặp gỡ trực tiếp các cộng tác viên của Drift tại nhiều sự kiện trong ngành. Drift mô tả cách tiếp cận này là có mục tiêu: các cá nhân trong nhóm có vẻ thành thạo về kỹ thuật, có bối cảnh nghề nghiệp có thể xác minh và quen thuộc với cách Drift hoạt động. Những kẻ tấn công tận dụng các cuộc họp trực tiếp để xây dựng lòng tin, sau đó sử dụng các payload và công cụ dựa trên liên kết được chia sẻ để xâm nhập thiết bị của các cộng tác viên, cho phép khai thác trước khi xóa dấu vết của chúng.

Những điểm chính

• Vụ vi phạm Drift Protocol được mô tả như một chiến dịch phối hợp kéo dài sáu tháng với ước tính thiệt hại bên ngoài gần 280 triệu USD.
• Cuộc điều tra chỉ ra một chiến dịch tuyển dụng trực tiếp tại các hội nghị, bắt đầu từ khoảng tháng 10 năm 2025, nhắm vào các cộng tác viên của Drift.
• Những kẻ tấn công có được quyền truy cập thông qua các thiết bị bị xâm nhập qua các liên kết và công cụ độc hại, sau đó xóa mọi dấu vết hoạt động của chúng sau khi thực hiện.
• Drift khẳng định có khả năng liên quan đến vụ hack Radiant Capital tháng 10 năm 2024, cho thấy cùng những kẻ tấn công có thể dính líu, mặc dù việc xác định nguồn gốc vẫn còn phức tạp.
• Radiant Capital mô tả sự cố năm 2024 như phần mềm độc hại được phân phối qua Telegram từ một hacker liên kết với Triều Tiên giả danh một cựu nhà thầu; Drift cảnh báo rằng những cá nhân được nhìn thấy trực tiếp không phải là công dân Triều Tiên.
• Vụ việc này nhấn mạnh các rủi ro bảo mật đang diễn ra tại các hội nghị tiền điện tử và nhu cầu nâng cao sự thận trọng khi tham gia với các cộng tác viên bên ngoài.

Dòng thời gian diễn ra: từ sự tò mò tại hội nghị đến khai thác

Tài khoản của Drift cho thấy những kẻ tấn công bắt đầu hoạt động của chúng tại một cuộc tụ họp ngành nổi bật, trình bày bản thân như các đối tác tích hợp tiềm năng thay vì những kẻ tấn công trực tiếp. Trong những tháng tiếp theo, nhóm này đã gặp các cộng tác viên của Drift tại một số sự kiện, cẩn thận xây dựng các mối quan hệ và chứng tỏ sự hiểu biết kỹ thuật đáng tin cậy về hoạt động của Drift. Giai đoạn này đã giúp những kẻ tấn công có được quyền truy cập vào các kênh nội bộ và thông tin liên lạc đáng tin cậy, sau đó trở thành kênh cho chính vụ khai thác.

Theo Drift, chiến dịch được cấu trúc một cách có chủ ý, với sự hỗ trợ và nguồn lực có tổ chức cho phép những kẻ tấn công duy trì một chiến dịch kéo dài. Những kẻ tấn công cuối cùng đã triển khai các công cụ và liên kết độc hại thông qua các thiết bị bị xâm nhập của các cộng tác viên Drift, cho phép vi phạm. Sau vụ khai thác, những kẻ xâm nhập được cho là đã xóa dấu vết kỹ thuật số của chúng, làm phức tạp việc phản ứng sự cố và công việc pháp y cho Drift và các đối tác của nó.

Vụ vi phạm này là một lời nhắc nhở nghiêm túc cho những người tham gia trong không gian tiền điện tử: ngay cả các tương tác trực tiếp tại các hội nghị—thường được xem như cơ hội kết nối—có thể được tận dụng như những vectơ cho các tác nhân đe dọa tinh vi, có nguồn lực tốt. Động lực này nhấn mạnh tầm quan trọng của việc vệ sinh thiết bị nghiêm ngặt, các thực hành bảo mật nhiều lớp và sự hợp tác với bên thứ ba thận trọng trong một lĩnh vực mà cấu trúc lòng tin được dệt chặt với khả năng tương tác.

Liên kết Radiant Capital: một mối liên hệ tiềm năng, với những cảnh báo quan trọng

Drift cho biết có độ tin cậy từ cao đến trung bình cao rằng cùng nhóm đứng sau vụ hack Radiant Capital tháng 10 năm 2024 có thể liên quan đến sự cố Drift. Vụ vi phạm Radiant Capital được công bố vào tháng 12 năm 2024, với công ty mô tả vụ xâm nhập là phần mềm độc hại được phân phối qua Telegram bởi một tác nhân liên kết với Triều Tiên giả danh một cựu nhà thầu. Trong trường hợp đó, một tệp ZIP được chia sẻ để nhận phản hồi giữa các nhà phát triển bị cáo buộc đã phân phối phần mềm độc hại cho phép xâm nhập.

Drift nhấn mạnh rằng những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Công ty cũng lưu ý rằng các tác nhân đe dọa liên kết với DPRK được biết là sử dụng các trung gian bên thứ ba để tiến hành xây dựng mối quan hệ trực tiếp, một mô hình cũng được quan sát trong các trường hợp khác. Mối liên hệ vẫn là vấn đề điều tra đang diễn ra, và việc xác định nguồn gốc trong các sự cố mạng phức tạp thường phát triển khi có bằng chứng mới xuất hiện.

Để hiểu rõ hơn, sự cố của Radiant Capital đã nêu bật cách kỹ thuật xã hội và các payload từ xa có thể hội tụ với việc xây dựng lòng tin trực tiếp để vi phạm ngay cả các hệ thống tinh vi. Sự hội tụ của các câu chuyện này—tuyển dụng dựa trên hội nghị, phần mềm độc hại được phân phối thông qua các thiết bị bị xâm nhập và liên kết đến các vụ hack nổi tiếng trước đó—sẽ được các nhà điều tra xem xét kỹ lưỡng khi họ ghép nối toàn bộ chuỗi sự kiện xung quanh vụ vi phạm của Drift.

Điều tra đang diễn ra và ý nghĩa đối với ngành

Drift cho biết đang hợp tác với cơ quan thực thi pháp luật và các thành viên ngành khác để lắp ráp bức tranh hoàn chỉnh về những gì đã xảy ra trong cuộc tấn công ngày 1 tháng 4. Việc tiết lộ của công ty nhấn mạnh nhu cầu liên tục về hợp tác liên ngành trong tình báo đe dọa, phản ứng sự cố và pháp y sau vi phạm. Mặc dù Drift chưa tiết lộ tất cả các chi tiết kỹ thuật của vụ xâm nhập, sự nhấn mạnh vào một nỗ lực phối hợp kéo dài chỉ ra một mức độ tinh vi vượt xa các xâm nhập cơ hội.

Đối với các nhà đầu tư và người xây dựng trong không gian DeFi, sự cố Drift củng cố một số điểm quan trọng thực tế. Thứ nhất, ngay cả các cộng tác viên lâu năm và các mối quan hệ đáng tin cậy cũng không miễn nhiễm với thao túng khi những kẻ tấn công kết hợp các chiến thuật trực tiếp với khai thác kỹ thuật. Thứ hai, việc xác định nguồn gốc trong các chiến dịch tinh vi có thể mơ hồ, đòi hỏi các đánh giá dựa trên bằng chứng cẩn thận thay vì kết luận vội vàng. Cuối cùng, tình tiết này nêu bật nhu cầu liên tục về các kiến trúc bảo mật mạnh mẽ có thể phát hiện và ngăn chặn các xâm nhập nhiều giai đoạn, bao gồm thông tin xác thực bị xâm nhập, các bước đệm cấp thiết bị và các dấu vết sau khai thác.

Khi cuộc điều tra diễn ra, độc giả nên theo dõi bất kỳ cập nhật nào về các phương pháp của những kẻ tấn công, các chỉ báo xâm nhập mới và bất kỳ thay đổi theo chương trình nào trong cách Drift và các giao thức khác tiếp cận việc tuyển dụng cộng tác viên, tích hợp đối tác và sổ tay phản ứng sự cố. Sự hội tụ của một cách tiếp cận dựa trên hội nghị kéo dài nhiều tháng với một mối liên hệ tiềm năng đến các vụ vi phạm nổi tiếng trước đó nhấn mạnh một bối cảnh rủi ro rộng lớn hơn đối mặt với các nền tảng phi tập trung khi chúng mở rộng và hợp tác trên toàn hệ sinh thái.

Điều còn không chắc chắn là mức độ đầy đủ của tác động của vụ vi phạm đối với người dùng và tính thanh khoản của Drift, nền tảng sẽ phục hồi hoạt động nhanh như thế nào và liệu các trường hợp xác định nguồn gốc bổ sung sẽ định hình lại sự hiểu biết về các mô hình tác nhân đe dọa trong không gian DeFi. Những tuần tới sẽ rất quan trọng cho cả tính minh bạch và tư thế bảo mật trong một ngành ngày càng dựa vào sự hợp tác mở và các quan hệ đối tác xuyên biên giới để đổi mới.

Nhìn về phía trước, những người tham gia thị trường sẽ muốn theo dõi các cập nhật từ Drift và các nhà nghiên cứu bảo mật liên quan về bất kỳ phát hiện mới nào về các tác nhân, công cụ và những tác động rộng lớn hơn đối với quản trị DeFi, quản lý rủi ro và các thực hành hợp tác dựa trên hội nghị.

Bài viết này ban đầu được xuất bản với tên Drift Protocol $280M Breach: Months of Deliberate Preparation trên Crypto Breaking News – nguồn tin cậy của bạn về tin tức tiền điện tử, tin tức Bitcoin và cập nhật blockchain.