“Chìa khóa của Thượng đế” trong DeFi: Từ vụ mất cắp 285 triệu đô la Mỹ tại Drift, nhìn vào lỗ hổng lớn nhất của tài chính phi tập trung
Tuyển chọn TechFlowTuyển chọn TechFlow
“Chìa khóa của Thượng đế” trong DeFi: Từ vụ mất cắp 285 triệu đô la Mỹ tại Drift, nhìn vào lỗ hổng lớn nhất của tài chính phi tập trung
Nhát dao này của Drift đã chém trúng vết thương mà cả ngành công nghiệp không muốn đối mặt nhất.
Chuyên sâu báo cáo Web3Tác giả: TechFlow
Ngày 1 tháng 4 — ngày Cá tháng Tư.
Giao thức Drift, sàn giao dịch hợp đồng vĩnh viễn lớn nhất trên chuỗi Solana, đang bị rút sạch tài sản — và phản ứng đầu tiên của cộng đồng là: “Một trò đùa Cá tháng Tư khá hay.”
Đây không phải trò đùa. Vào khoảng 13 giờ 30 phút chiều cùng ngày, các tài khoản giám sát chuỗi như Lookonchain và PeckShield gần như đồng thời phát đi cảnh báo: một ví lạ bắt đầu bằng “HkGz4K” đang rút tài sản từ kho bạc của Drift với tốc độ đáng kinh ngạc. Giao dịch đầu tiên: 41 triệu token JLP, trị giá 155 triệu USD. Ngay sau đó là 51,6 triệu USDC, 125.000 WSOL, 164.000 cbBTC… hơn chục loại tài sản tuôn ra ào ạt như nước trong bồn tắm khi nút xả bị tháo ra.
Chỉ trong một giờ: giá trị tài sản trong kho bạc giảm từ 309 triệu USD xuống còn 41 triệu USD — hơn một nửa tổng giá trị bị khóa (TVL) bốc hơi.
Đội ngũ Drift đăng một dòng tweet trên X với giọng điệu hiếm thấy đến mức khẩn thiết: “Drift Protocol hiện đang chịu một cuộc tấn công chủ động. Việc gửi và rút tiền đã tạm ngừng. Chúng tôi đang phối hợp với nhiều công ty bảo mật, cầu nối liên chuỗi và sàn giao dịch để kiểm soát tình hình.”
Rồi đến câu bổ sung — chắc chắn sẽ được ghi vào lịch sử tiền mã hóa: “This is not an April Fools joke.”
Một chiếc chìa khóa mở mọi cánh cửa
Số tiền bị đánh cắp từ Drift có sự chênh lệch giữa các nguồn. PeckShield ước tính khoảng 285 triệu USD; Arkham đưa ra con số vượt quá 250 triệu USD; đánh giá sơ bộ của CertiK ở mức khoảng 136 triệu USD. Dù con số nào đúng đi nữa, đây vẫn là sự cố an ninh DeFi lớn nhất từ đầu năm 2026 đến nay.
Đáng chú ý hơn cả con số là phương thức tấn công.
Ông Giang Húc Hiến, nhà sáng lập PeckShield, nói thẳng với Decrypt rằng: “Khóa quản trị phía sau Drift rõ ràng đã bị rò rỉ hoặc bị xâm nhập.” Các nhà nghiên cứu chuỗi đã tái dựng lại diễn biến tấn công: tin tặc đã giành được quyền truy cập đặc quyền vào giao thức Drift, từ đó kiểm soát luồng tài chính của kho bạc.
Nói cách khác, không có lỗ hổng hợp đồng thông minh tinh vi nào bị khai thác, không có tấn công vay chớp nhoáng (flash loan), cũng không có thao túng oracle. Đây là thất bại an ninh nguyên thủy và cũ kỹ nhất: có người đã làm mất khóa riêng (private key).
Một chi tiết gây bất an hơn nữa là: tin tặc không hành động theo cảm hứng nhất thời. Dữ liệu chuỗi cho thấy ví này đã nhận được vốn khởi đầu thông qua Near Intents cách thời điểm tấn công 8 ngày, sau đó rơi vào trạng thái im lặng. Một tuần trước khi tấn công, ví thậm chí còn nhận được một khoản chuyển nhỏ trị giá 2,52 USD từ kho bạc Drift — một lần thăm dò, một tiếng “gõ cửa”.
Một tuần sau, cánh cửa bị đá tung.
Sự sụp đổ của “Robinhood phiên bản mã hóa”
Với Cindy Leow, đồng sáng lập Drift, cơn ác mộng ngày 1 tháng 4 mang một lớp sắc thái tàn khốc đặc biệt.
Câu chuyện của nữ doanh nhân gốc Hoa đến từ Malaysia từng là một trong những câu chuyện truyền cảm hứng nhất của hệ sinh thái DeFi trên Solana. Năm 2016, bà bắt đầu từ việc chênh lệch giá Bitcoin giữa Trung Quốc và Hàn Quốc; từng vận hành quỹ tự doanh; đóng góp vào các dự án phái sinh trên Ethereum; rồi năm 2021 cùng David Lu thành lập Drift, đặt cược vào lợi thế về tốc độ của Solana để xây dựng hợp đồng vĩnh viễn trên chuỗi.
Xét về mặt thời gian, Drift gần như bắt đúng mọi làn sóng. Năm 2024, dự án huy động được hai vòng gọi vốn do Polychain và Multicoin dẫn dắt, tổng cộng 52,5 triệu USD. Sau đó, Drift ra mắt thị trường dự đoán nhằm cạnh tranh trực tiếp với Polymarket, triển khai đòn bẩy 50x, TVL vượt ngưỡng 550 triệu USD và khối lượng giao dịch tích lũy đạt hơn 50 tỷ USD. Trong cuộc phỏng vấn với tạp chí Fortune, Leow đã dùng một định vị đầy tham vọng: “Trở thành Robinhood phiên bản mã hóa.”
Giờ đọc lại phép so sánh này, ta cảm thấy trăm mối tơ vò. Cam kết cốt lõi của Robinhood là giúp người bình thường tiếp cận các công cụ tài chính của Phố Wall. Còn cam kết cốt lõi của Drift là mang đến trải nghiệm giao dịch “không lưu ký” trên chuỗi — tiền của bạn không đi qua tay bất kỳ ai, chỉ tương tác với mã nguồn.
Nhưng đằng sau mã nguồn ấy tồn tại một chiếc chìa khóa quản trị. Và sự an toàn của chiếc chìa khóa ấy cuối cùng lại phụ thuộc vào con người — chứ không phải vào mật mã học.
Ở đây còn có một trùng hợp lịch sử đau đớn: năm 2022, trong giai đoạn Drift v1, giao thức từng trải qua một sự cố tương tự — kho bạc bị rút sạch. Sau sự việc, đội ngũ đã công bố một báo cáo kỹ thuật cực kỳ chi tiết, thậm chí còn công khai một đoạn mã chứng minh khái niệm (PoC), minh họa cách tin tặc có thể rút sạch toàn bộ kho bạc chỉ trong một giao dịch duy nhất. Khi ấy, tổn thất là 14,5 triệu USD và đội ngũ tự bỏ tiền túi hoàn trả đầy đủ cho người dùng.
Bốn năm sau, cơn ác mộng cũ tái diễn với quy mô gấp 20 lần.
Lòng tin vào phi tập trung — điểm yếu chết người mang tính tập trung
Hãy lùi xa hơn khỏi Drift một chút, bạn sẽ nhận ra một quy luật khó chịu đang dần hình thành.
Đầu năm 2025, dịch vụ quản lý khóa AWS của Resolv Labs bị xâm nhập; tin tặc sử dụng khóa đặc quyền phê duyệt việc đúc hàng loạt stablecoin USR, gây tổn thất dây chuyền trên nhiều nền tảng. Cùng năm đó, tổng giá trị tiền mã hóa bị đánh cắp trên toàn cầu đạt mức kỷ lục 3,4 tỷ USD; báo cáo của Chainalysis đặc biệt nhấn mạnh một xu hướng mới: Những sự kiện gây thiệt hại nghiêm trọng nhất xảy ra ở cấp độ hạ tầng — máy tính của nhà phát triển bị xâm nhập, khóa đúc duy nhất được lưu trữ trên đám mây, quy trình ký tên bị lừa đảo qua social engineering — chính những yếu tố này mới thực sự là “lỗ đen” nuốt chửng tiền bạc.
Bây giờ thêm cả Drift vào danh sách.
Nếu bạn xếp các sự việc này cạnh nhau, một kết luận gần như không thể tránh khỏi: An toàn khóa riêng (private key security) đã thay thế lỗ hổng hợp đồng thông minh trở thành rủi ro hệ thống lớn nhất trong lĩnh vực DeFi.
Ở đây tồn tại một khoảng cách nhận thức — lớn đến mức đủ để nuốt chửng hàng tỷ đô la.
Các giao thức DeFi kể với thế giới câu chuyện về “phi tập trung”, “không lưu ký”, “không cần tin tưởng”. Tài sản của bạn được bảo vệ bởi mã nguồn; không có bên trung gian nào chạm được vào tiền của bạn. Người dùng tin vào câu chuyện ấy, gửi tiền vào các giao thức này và nghĩ trong đầu: “Tôi đang làm việc với toán học.”
Nhưng thực tế là, gần như mọi giao thức DeFi đang hoạt động đều sở hữu ít nhất một — hoặc vài — “chiếc chìa khóa của Thượng Đế”: khóa quản trị (admin key), quyền nâng cấp, quyền kiểm soát kho bạc, công tắc tạm dừng khẩn cấp… Sự tồn tại của các khóa này đôi khi vì mục đích an toàn (để phanh khẩn cấp khi có sự cố), đôi khi vì tính linh hoạt (để nâng cấp logic hợp đồng), nhưng bản chất của chúng là như nhau: Một điểm tin cậy tập trung, được bọc trong câu chuyện phi tập trung.
Người dùng tưởng mình đang tương tác với mã nguồn. Thực tế, họ đang đặt niềm tin vào một cá nhân — hoặc một nhóm nhỏ — rằng người đó sẽ không phạm sai lầm, sẽ không bị lừa đảo qua social engineering, sẽ không bị ép buộc, cũng sẽ không để quên laptop ở quán cà phê giữa đêm khuya.
Đây không phải vấn đề riêng của Drift — mà là mâu thuẫn cấu trúc của toàn ngành DeFi.
285 triệu USD đã đi đâu?
Các hành động trên chuỗi của tin tặc rất gọn gàng và dứt khoát, toát lên vẻ lạnh lùng của một tay chuyên nghiệp.
Sau khi rút tài sản từ kho bạc Drift, tin tặc nhanh chóng đổi phần lớn token sang stablecoin, rồi chuyển số tiền này sang mạng Ethereum thông qua cầu nối liên chuỗi Wormhole. Trên Ethereum, tin tặc dùng một phần stablecoin để mua khoảng 19.913 ETH (trị giá khoảng 42,6 triệu USD); phần còn lại được phân tán vào nhiều địa chỉ ví khác nhau.
Có một chi tiết đầy tính nghịch lý: trong ví của tin tặc vẫn còn nắm giữ lượng lớn Fartcoin, chiếm khoảng 2,5% tổng nguồn cung của token này. Một hacker vừa thực hiện vụ đánh cắp DeFi lớn nhất năm, trong tay lại cầm một đống token meme lấy cảm hứng từ… tiếng xì hơi.
Tính đến thời điểm bài viết được xuất bản, chức năng gửi/rút tiền của Drift vẫn đang tạm ngừng; token DRIFT giảm từ mức khoảng 0,072 USD trước khi bị tấn công xuống còn khoảng 0,05 USD — giảm hơn 28%. Nếu tính từ mức cao nhất mọi thời đại là 2,60 USD, mức giảm tích lũy đã vượt quá 98%. Ví Phantom thậm chí đã hiển thị cảnh báo cho người dùng khi họ cố gắng truy cập Drift.
Đội ngũ Drift cho biết đang phối hợp với các công ty bảo mật, nhà vận hành cầu nối liên chuỗi và các sàn giao dịch tập trung nhằm đóng băng và truy vết số tiền bị đánh cắp. Tuy nhiên, nếu nhìn vào kinh nghiệm lịch sử thì khả năng thu hồi tiền — vốn đã được chuyển liên chuỗi và phân tán vào nhiều ví — là khá thấp.
Một câu hỏi mà cả ngành buộc phải đối diện một cách trung thực
Cú cắt của Drift đã đâm trúng vết thương mà ngành này không muốn đối mặt nhất.
Báo cáo cuối năm 2025 của Chainalysis từng lạc quan khẳng định rằng an ninh DeFi đã đạt được “tiến bộ thực chất”: dù TVL tăng gấp đôi lên 11,9 tỷ USD, tổn thất do hacker gây ra lại giảm. Trường hợp Venus Protocol được đưa ra như một ví dụ điển hình tích cực: hệ thống giám sát chuỗi phát hiện bất thường trước khi tấn công xảy ra 18 giờ, giao thức nhanh chóng tạm ngừng hoạt động, cơ chế quản trị đóng băng tài sản của tin tặc — đến mức chính kẻ tấn công còn bị lỗ.
Drift khiến câu chuyện “tiến bộ” ấy mất đi phần nào sức thuyết phục. Bạn có thể thực hiện kiểm toán hợp đồng thông minh ở mức tối đa, triển khai hệ thống giám sát chuỗi tiên tiến nhất — nhưng chỉ cần một khóa quản trị bị đánh cắp qua social engineering, bị lừa đảo hoặc bị bẻ khóa bằng lực lượng, toàn bộ hệ thống an ninh sẽ sụp đổ như lâu đài xây trên cát.
Ngành DeFi cần dừng lại và trung thực trả lời một câu hỏi: Khi bạn nói với người dùng rằng “không lưu ký”, bạn thực sự muốn nói điều gì?
Nếu khóa quản trị (admin key) của giao thức có thể chuyển toàn bộ tài sản trong kho bạc bất kỳ lúc nào, thì sự khác biệt giữa điều đó với việc gửi tiền vào tài khoản ngân hàng của một người bạn không hề biết là gì? Ít ra ngân hàng còn có bảo hiểm, có cơ quan quản lý và có con đường pháp lý để truy đòi.
Có thể câu trả lời không phải là loại bỏ hoàn toàn các quyền quản trị này — trong nhiều trường hợp, chúng là cần thiết. Nhưng ít nhất, ngành nên thôi giả vờ rằng chúng không tồn tại. Quản trị đa chữ ký (multisig), khóa thời gian (time lock), mô-đun bảo mật phần cứng (HSM), luân chuyển khóa… những giải pháp kỹ thuật này đã tồn tại nhiều năm, vậy mà quá nhiều giao thức vẫn đặt an toàn của hàng trăm triệu đô la vào sự tỉnh táo của chỉ một hoặc vài người vận hành.
Giấc mơ về “Robinhood phiên bản mã hóa” thật đẹp. Nhưng trước khi hiện thực hóa giấc mơ ấy, có lẽ ta nên trả lời một câu hỏi căn bản hơn: Ai đang giữ chiếc chìa khóa đó?
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
