Vụ khai thác DeFi lớn nhất năm bắt đầu từ một sự kiện networking với đồ uống miễn phí — Drift Protocol tiết lộ ngày 5/4 rằng Apr. 1 hack là kết quả của một chiến dịch tình báo kéo dài sáu tháng, hiện được liên kết với mức độ tin cậy trung bình–cao tới các tác nhân đe dọa trực thuộc nhà nước Triều Tiên.
Chi tiết vụ tấn công Drift Protocol
Cuộc xâm nhập began vào mùa thu 2025, khi một nhóm tự nhận là công ty giao dịch định lượng tiếp cận các cộng tác viên Drift tại một hội nghị tiền mã hóa lớn. Trong những tháng tiếp theo, họ gặp trực tiếp các thành viên đội ngũ tại nhiều sự kiện trong ngành ở nhiều quốc gia.
Họ đã nạp hơn 1 triệu USD vốn tự có vào một Ecosystem Vault.
Họ đặt nhiều câu hỏi chi tiết về sản phẩm trong nhiều buổi làm việc, xây dựng nên một hoạt động giao dịch có vẻ hợp pháp bên trong hạ tầng của Drift.
Từ tháng 12/2025 đến tháng 3/2026, nhóm này thắt chặt thêm mối quan hệ thông qua các tích hợp vault và tiếp tục gặp trực tiếp tại các hội nghị. Các cộng tác viên không có lý do để nghi ngờ — đến thời điểm vụ khai thác xảy ra, mối quan hệ đã kéo dài gần nửa năm, bao gồm lý lịch nghề nghiệp đã được xác minh, các cuộc trao đổi kỹ thuật sâu và một hiện diện on-chain đang hoạt động.
Khi cuộc tấn công diễn ra vào ngày 1/4, các đoạn chat Telegram của nhóm và phần mềm độc hại đã được xóa sạch. Phân tích pháp y xác định hai vectơ xâm nhập có khả năng cao: một kho mã độc được chia sẻ dưới danh nghĩa triển khai giao diện frontend cho vault, và một ứng dụng TestFlight được giới thiệu như sản phẩm ví của nhóm.
Một lỗ hổng đã biết trong các trình biên tập VSCode và Cursor, được cộng đồng bảo mật cảnh báo tích cực từ tháng 12/2025 đến tháng 2/2026, có thể đã cho phép thực thi mã trong im lặng chỉ bằng việc mở một tệp.
Tất cả các chức năng còn lại của giao thức đã bị đóng băng và các ví bị xâm phạm đã được loại khỏi multisig. Mandiant đã được huy động để điều tra, và các ví của kẻ tấn công đã bị gắn cờ trên các sàn giao dịch và nhà vận hành cầu nối.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Nghi vấn tác nhân đe dọa Triều Tiên
Các cuộc điều tra do đội SEALS 911 thực hiện đánh giá với mức độ tin cậy trung bình–cao rằng chiến dịch này do cùng một nhóm đe dọa đứng sau vụ hack Radiant Capital tháng 10/2024 tiến hành.
Trước đó, Mandiant quy kết vụ tấn công đó cho UNC4736, một nhóm trực thuộc nhà nước Triều Tiên còn được theo dõi dưới tên AppleJeus hoặc Citrine Sleet.
Mối liên hệ được xây dựng dựa trên cả bằng chứng on-chain lẫn mô hình hoạt động.
Dòng tiền dùng để chuẩn bị và thử nghiệm chiến dịch với Drift truy vết ngược về phía những kẻ tấn công Radiant, và các “nhân dạng” được triển khai xuyên suốt chiến dịch trùng lặp với hoạt động đã biết có liên quan tới CHDCND Triều Tiên. Đáng chú ý, những cá nhân xuất hiện trực tiếp không phải là công dân Triều Tiên — các tác nhân đe dọa DPRK ở cấp độ này được biết là thường sử dụng bên trung gian thứ ba cho các tương tác mặt đối mặt.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline