Hệ sinh thái
yellow banner logo
GIAO DỊCH
NỀN TẢNG ĐÃ HOẠT ĐỘNG
BẮT ĐẦU NGAY
yellow shooting starsbackground stars

Cách kẻ tấn công biến 500 USD thành 285 triệu USD: Phân tích vụ hack Drift

profile-murtuza-merchant
Murtuza Merchant1 giờ trước
#Solana #Giao thức Drift
Cách kẻ tấn công biến 500 USD thành 285 triệu USD: Phân tích vụ hack Drift

Một vụ khai thác tinh vi nhắm vào Drift Protocol dường như đã rút khoảng 285 triệu USD sau khi kẻ tấn công thao túng giá oracle bằng một token giả mạo, lợi dụng một khóa quản trị (admin key) bị xâm phạm và disabled core withdrawal safeguards.

Tài sản thế chấp giả được chuẩn bị từ nhiều tuần trước

Theo phân tích on-chain được chia sẻ bởi nhà nghiên cứu độc lập Ares, vụ khai thác bắt đầu từ nhiều tuần trước khi xảy ra đợt rút tiền thực sự. Kẻ tấn công đã mint 750 triệu đơn vị một tài sản giả có tên “CarbonVote Token” (CVT) và tạo một pool thanh khoản trên Raydium (RAY) chỉ với 500 USD thanh khoản, từ đó thiết lập giá của token này gần 1 USD một cách giả tạo.

Trong vài tuần, kẻ tấn công được cho là đã tự giao dịch qua lại (wash trade) token này để xây dựng lịch sử giá đáng tin cậy trên chuỗi, cho phép nó được các cơ chế oracle ghi nhận như một tài sản thế chấp hợp lệ.

Khóa quản trị bị xâm phạm và gỡ bỏ cơ chế bảo vệ

Vào ngày 1 tháng 4, kẻ tấn công đã sử dụng một khóa admin của Drift đã bị xâm phạm để niêm yết CVT như một thị trường spot. Trong cùng giao dịch đó, các ngưỡng bảo vệ rút tiền trên nhiều thị trường đã bị nâng lên mức cực cao, trên thực tế là vô hiệu hóa các giới hạn được thiết kế để ngăn chặn dòng tiền rút ra quá lớn.

Also Read: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report

Sau đó, kẻ tấn công đã nạp khoảng 785 triệu CVT, được định giá 785 triệu USD dựa trên giá oracle đã bị thao túng, vào nhiều tài khoản khác nhau.

Các vault bị rút sạch chỉ trong vài phút

Sử dụng tài sản thế chấp đã được “thổi phồng”, kẻ tấn công thực hiện 31 giao dịch rút trong khoảng 12 phút, rút tài sản khỏi nhiều vault khác nhau.

Các khoản này bao gồm 66,4 triệu USD bằng USDC, 42,7 triệu USD bằng JLP, 23,3 triệu USD bằng MOODENG (MOODENG) và các khoản nhỏ hơn bằng những token khác.

Sau đó, số tiền bị rút được hợp nhất, một phần bị đốt thông qua việc gỡ bỏ thanh khoản perpetual và được chuyển đổi sang SOL trước khi được phân tán sang nhiều ví.

Việc sử dụng nhiều khóa ký cho thấy hoặc là cơ sở hạ tầng vận hành đã bị xâm phạm ở phạm vi rộng hơn, hoặc kẻ tấn công có quyền truy cập vào các thông tin xác thực đặc quyền, làm dấy lên thêm lo ngại về các kiểm soát bảo mật nội bộ.

Read Next: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts

Tuyên bố miễn trừ trách nhiệm và cảnh báo rủi ro: Thông tin được cung cấp trong bài viết này chỉ dành cho mục đích giáo dục và thông tin, dựa trên ý kiến của tác giả. Nó không cấu thành lời khuyên tài chính, đầu tư, pháp lý hoặc thuế. Tài sản tiền mã hóa có tính biến động cao và chịu rủi ro cao, bao gồm rủi ro mất tất cả hoặc một phần lớn khoản đầu tư của bạn. Giao dịch hoặc nắm giữ tài sản crypto có thể không phù hợp với tất cả nhà đầu tư. Những quan điểm được bày tỏ trong bài viết này hoàn toàn là của (các) tác giả và không đại diện cho chính sách chính thức hoặc lập trường của Yellow, những người sáng lập hoặc giám đốc điều hành. Luôn tiến hành nghiên cứu kỹ lưỡng của riêng bạn (D.Y.O.R.) và tham khảo ý kiến chuyên gia tài chính được cấp phép trước khi đưa ra bất kỳ quyết định đầu tư nào.
Tin Tức Liên Quan
Giao thức Drift trên Solana bị tấn công 270 triệu đô, token giảm 11%
Giao thức Drift trên Solana nghi bị tấn công 270 triệu đô, vault bị rút cạn, token DRIFT lao dốc khiến cộng đồng lo ngại.
Kẻ tấn công lợi dụng lỗi đúc token gấp đôi trên Solv Protocol 22 lần - Số tiền chiếm đoạt: 2,7 triệu USD bằng token bảo chứng Bitcoin
Mar 09, 2026
Lỗi trong smart contract BitcoinReserveOffering cho phép kẻ tấn công đúc BRO vượt mức, hoán đổi sang SolvBTC trị giá 2,7 triệu USD.
Kẻ tấn công rút 4,2 triệu USD từ pool Makina DUSD bằng flash loan 280 triệu USDC
Jan 20, 2026
Vụ tấn công flash loan vào oracle của Makina Finance làm thất thoát khoảng 4,2 triệu USD từ pool DUSD/USDC, nêu bật rủi ro thiết kế oracle.
Lỗ hổng “đúc vô hạn” đứng sau vụ tấn công yETH trị giá 2,8 triệu USD của Yearn Finance, Nansen xác nhận
Yearn Finance bị khai thác yETH với lỗ 2,8 triệu USD qua tấn công đúc vô hạn, nhưng giá YFI lại tăng do short squeeze sau hiểu lầm thị trường
Cách Một Người Mất 282 Triệu Đô Tiền Mã Hóa Dù Đang Dùng Ví Cứng Bảo Mật
Nạn nhân mất 282 triệu đô tiền mã hóa do lừa đảo ví cứng; kẻ trộm rửa tiền qua Monero và cầu cross-chain, cho thấy rủi ro lớn với bảo mật cá nhân.
Bài viết nghiên cứu liên quan
Những Vụ Tấn Công Crypto Lớn Nhất 2025–2026: Thực Sự Đã Sai Ở Đâu
Phân tích 10 vụ hack crypto lớn nhất 2025–đầu 2026, số tiền thiệt hại kỷ lục và điểm yếu chung về tập trung niềm tin, không chỉ là lỗi mã.
Kinh tế ẩn phía sau việc farm phát quà Memecoin
Phân tích kinh tế, thuật toán, tâm lý “vé số” và rủi ro bảo mật đằng sau trend “drop ví nhận quà” trên Solana; đa số token vô giá trị, rủi ro cao.
Binance Bị Tấn Công? Lý Thuyết Đằng Sau Sự Sụp Đổ $1 Tỷ Trong Thế Giới Tiền Điện Tử Được Giải Thích
Hàng tỷ thua lỗ. Ba tài sản sụp đổ. Thời điểm dễ tổn thương tám ngày. Thuyết cho rằng sự sụp đổ lịch sử của tiền điện tử tuần trước không phải...
Vì sao các vụ khai thác DEX gây thiệt hại 3,1 tỷ đô năm 2025: Phân tích 12 vụ hack lớn
Oct 27, 2025
Phân tích 12 vụ tấn công DEX năm 2025, thiệt hại hơn 3,1 tỷ đô. Giải thích vì sao giao thức đã audit vẫn bị hack và xu hướng an ninh DeFi sắp tới.
Giao dịch Off-Chain vs. On-Chain: Điều gì đang dịch chuyển tiền mã hóa từ CEX sang DEX?
Thị phần DEX tăng vọt nhờ hạ tầng on-chain trưởng thành, phí Layer 2 giảm mạnh và rủi ro lưu ký, bảo mật ngày càng lộ rõ ở các sàn CEX.
Bài viết học tập liên quan
Top 10 ví DeFi tốt nhất cho giao dịch an toàn năm 2026
So sánh ví DeFi phần cứng và phần mềm hàng đầu về bảo mật, đa chuỗi và phí hoán đổi năm 2026.
7 ví USDC hàng đầu cho Solana năm 2026
Tổng hợp ngắn gọn 7 ví USDC tốt nhất cho Solana năm 2026, nêu rõ ưu điểm chính của Phantom, Solflare, Backpack và giải pháp phần cứng.
7 dấu hiệu cảnh báo lừa đảo crypto mà ngành công nghiệp lừa 17 tỷ đô hy vọng bạn bỏ qua
Mar 16, 2026
7 kiểu lừa đảo crypto lớn nhất 2026, cách chúng vận hành và dấu hiệu cảnh báo sớm bạn có thể nhận ra trước khi mất tiền.
10 điều quan trọng cần biết trước khi giao dịch trên DEX
Hướng dẫn ngắn gọn 10 cơ chế quan trọng giúp giao dịch DEX an toàn, hạn chế rủi ro MEV, token giả, cấp quyền vô hạn và các tấn công phổ biến.
Mật mã Hậu Lượng tử Giải thích: Toán học Mới để Bảo vệ Bitcoin
Giải thích mối đe dọa lượng tử với Bitcoin/Ethereum và các tiêu chuẩn mật mã hậu lượng tử mới của NIST, cùng thách thức triển khai trên blockchain.