Vụ khai thác DeFi lớn nhất năm nay bắt đầu từ một sự kiện networking với đồ uống miễn phí — Drift Protocol tiết lộ ngày 5/4 rằng Apr. 1 hack là kết quả của một chiến dịch do thám kéo dài 6 tháng, hiện được cho là có liên hệ với mức độ tin cậy trung bình-cao tới các tác nhân đe dọa trực thuộc nhà nước Triều Tiên.
Chi tiết vụ tấn công Drift Protocol
Cuộc xâm nhập began vào mùa thu 2025, khi một nhóm giả danh là quỹ giao dịch định lượng tiếp cận các cộng tác viên Drift tại một hội nghị tiền mã hóa lớn. Trong những tháng tiếp theo, họ gặp gỡ trực tiếp các thành viên đội ngũ tại nhiều sự kiện trong ngành trên nhiều quốc gia.
Họ đã nạp hơn 1 triệu USD vốn tự có vào một Ecosystem Vault.
Họ đặt nhiều câu hỏi chi tiết về sản phẩm qua nhiều buổi làm việc, xây dựng nên một hoạt động giao dịch có vẻ hoàn toàn hợp pháp bên trong hạ tầng của Drift.
Từ tháng 12/2025 đến tháng 3/2026, nhóm này thắt chặt quan hệ thông qua việc tích hợp vault và tiếp tục gặp mặt trực tiếp tại các hội nghị. Các cộng tác viên không có lý do để nghi ngờ — đến thời điểm xảy ra vụ khai thác, mối quan hệ này đã kéo dài gần nửa năm, bao gồm hồ sơ nghề nghiệp đã được xác minh, các cuộc trao đổi kỹ thuật sâu và một hiện diện on-chain đang hoạt động.
Khi cuộc tấn công diễn ra vào ngày 1/4, các đoạn chat trên Telegram của nhóm và phần mềm độc hại đã được xóa sạch. Quá trình điều tra pháp y xác định hai khả năng xâm nhập chính: một kho mã độc được chia sẻ dưới vỏ bọc triển khai giao diện người dùng cho vault, và một ứng dụng TestFlight được giới thiệu như sản phẩm ví của nhóm.
Một lỗ hổng đã biết trong các trình soạn thảo VSCode và Cursor, được cộng đồng bảo mật cảnh báo tích cực từ tháng 12/2025 đến tháng 2/2026, có thể đã cho phép thực thi mã lặng lẽ chỉ bằng cách mở một tệp.
Tất cả các chức năng còn lại của giao thức đã bị đóng băng và các ví bị xâm phạm đã bị loại khỏi multisig. Mandiant đã được mời tham gia điều tra, và các ví của kẻ tấn công đã bị gắn cờ trên các sàn giao dịch và nhà vận hành cầu nối.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Nghi vấn tác nhân đe dọa Triều Tiên
Các cuộc điều tra do đội SEALS 911 thực hiện đánh giá với mức độ tin cậy trung bình-cao rằng chiến dịch này được tiến hành bởi cùng một nhóm đe dọa đứng sau vụ hack Radiant Capital tháng 10/2024.
Trước đó, Mandiant đã quy trách nhiệm vụ tấn công đó cho UNC4736, một nhóm trực thuộc nhà nước Triều Tiên còn được theo dõi với tên AppleJeus hoặc Citrine Sleet.
Mối liên hệ dựa trên cả bằng chứng on-chain lẫn mô hình hoạt động.
Dòng tiền được dùng để chuẩn bị và thử nghiệm chiến dịch Drift truy vết ngược về phía những kẻ tấn công Radiant, và các nhân dạng được triển khai trong suốt chiến dịch trùng lặp với hoạt động đã biết có liên hệ với CHDCND Triều Tiên. Đáng chú ý, những người xuất hiện trực tiếp không phải là công dân Triều Tiên — các tác nhân đe dọa DPRK ở cấp độ này được biết đến với việc sử dụng bên trung gian thứ ba cho các cuộc gặp mặt trực tiếp.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline