Bitcoin 
Ethereum 
Tether 
XRP 
BNB 
USDC 
Solana 
TRON 
Figure Heloc 
Dogecoin 
USDS 
WhiteBIT Coin 
Cardano 
LEO Token 
Hyperliquid 
Bitcoin Cash 
Chainlink 
Monero 
Ethena USDe 
Tìm kiếm
Tóm tắt nhanh
- Drift Protocol cho biết vụ tấn công gần đây nhắm vào DEX của họ được “xác nhận ở mức trung bình-cao” là do UNC4736, một nhóm hacker có liên hệ với nhà nước Triều Tiên.
- Các đối tượng đã nạp hơn 1 triệu USD vốn tự có và xây dựng một ví hoạt động trong hệ sinh thái trước khi thực hiện vụ khai thác.
- Các dấu vết bị xóa gần như ngay lập tức, với các cuộc trò chuyện trên Telegram và mã độc bị “dọn sạch hoàn toàn” sau khi hành động kết thúc.
Drift Protocol trên nền tảng Solana cho biết hôm Chủ nhật rằng vụ tấn công làm thất thoát khoảng 285 triệu USD khỏi nền tảng là một chiến dịch tình báo có tổ chức kéo dài sáu tháng, do một nhóm đe dọa có liên hệ với nhà nước Triều Tiên thực hiện.
Những kẻ tấn công đã dùng danh tính nghề nghiệp giả, các cuộc gặp trực tiếp tại hội nghị và các công cụ phát triển độc hại để xâm nhập vào đội ngũ đóng góp trước khi thực hiện vụ rút tiền, theo thông báo điều tra sự cố chi tiết của giao thức.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
“Các đội ngũ crypto giờ đang đối mặt với những đối thủ hành xử giống các đơn vị tình báo hơn là hacker, và hầu hết tổ chức chưa sẵn sàng về mặt cấu trúc cho cấp độ đe dọa đó,” Michael Pearl, Phó Chủ tịch Chiến lược tại công ty an ninh blockchain Cyvers, nói với Decrypt.
Drift cho biết nhóm này lần đầu tiếp cận các cộng sự tại một hội nghị crypto lớn vào mùa thu năm ngoái, giả danh một công ty giao dịch định lượng muốn tích hợp với giao thức.
Trong nhiều tháng, nhóm này xây dựng lòng tin thông qua các cuộc gặp trực tiếp, phối hợp qua Telegram, đưa một Ecosystem Vault lên Drift, và nạp 1 triệu USD vốn của chính họ vào ví này, rồi biến mất, trong khi các cuộc trò chuyện và mã độc bị “xóa sạch hoàn toàn” khi vụ khai thác diễn ra.
DEX này cho biết vụ xâm nhập có thể liên quan đến một kho mã độc hại, một ứng dụng TestFlight giả và một lỗ hổng VSCode/Cursor cho phép thực thi mã âm thầm mà không cần người dùng tương tác.
Drift quy kết vụ tấn công với “độ tin cậy trung bình-cao” cho UNC4736, còn được theo dõi với các tên AppleJeus hoặc Citrine Sleet — cùng nhóm có liên hệ với nhà nước Triều Tiên mà công ty an ninh mạng Mandiant từng gắn với vụ hack Radiant Capital năm 2024.
Drift cho biết những người gặp cộng sự trực tiếp không phải là công dân Triều Tiên, và lưu ý rằng các tác nhân liên hệ với DPRK thường dựa vào bên trung gian thứ ba cho các cuộc “tiếp xúc mặt đối mặt”.
Dòng tiền onchain và các chân dung chồng lấp cho thấy dấu vết của các tác nhân liên hệ với DPRK, theo các nhóm ứng cứu SEAL 911, dù Mandiant vẫn chưa xác nhận quy kết nguyên nhân do cần hoàn tất giám định pháp y, nền tảng này cho biết.
Nhà nghiên cứu bảo mật @tayvano_, một trong những chuyên gia mà Drift ghi nhận đã hỗ trợ nhận diện các tác nhân độc hại, cho rằng phạm vi phơi nhiễm còn vượt xa sự cố này.
Trong một bài đăng trên X, chuyên gia này liệt kê hàng chục giao thức DeFi, cho rằng “các lao động IT của DPRK đã xây dựng những giao thức mà bạn biết và yêu thích, từ tận mùa hè DeFi.”
Hệ quả đối với ngành
“Drift và Bybit cho thấy cùng một mô hình — các signer không bị xâm phạm trực tiếp ở cấp độ giao thức, mà bị lừa chấp thuận các giao dịch độc hại,” Pearl lưu ý. “Vấn đề cốt lõi không phải số lượng signer, mà là việc họ không hiểu ý định thực sự của giao dịch.”
Ông nói rằng ví đa chữ ký, dù tốt hơn việc một khóa đơn lẻ kiểm soát toàn bộ, hiện đang tạo ra cảm giác an toàn giả, hình thành “một nghịch lý” khi trách nhiệm được chia sẻ lại làm giảm mức độ cảnh giác giữa các signer.
“Bảo mật phải chuyển sang xác thực trước giao dịch ở cấp độ blockchain, nơi các giao dịch được mô phỏng và kiểm tra độc lập trước khi thực thi,” Pearl nói, đồng thời bổ sung rằng khi kẻ tấn công đã kiểm soát thứ người dùng nhìn thấy, biện pháp phòng thủ hiệu quả duy nhất là xác minh giao dịch thực sự làm gì, bất kể giao diện hiển thị ra sao.
Về bề mặt tấn công là các công cụ phát triển, Lavid cho rằng giả định cần thay đổi từ gốc.
“Bạn phải giả định rằng điểm cuối đã bị xâm phạm,” ông nói với Decrypt, nhắc đến IDE, kho mã, ứng dụng di động và môi trường signer như các điểm xâm nhập ngày càng phổ biến.
“Nếu những công cụ nền tảng này có lỗ hổng, bất cứ thứ gì hiển thị cho người dùng — bao gồm cả giao dịch — đều có thể bị thao túng,” chuyên gia nói, lưu ý rằng điều này “phá vỡ hoàn toàn các giả định an ninh truyền thống”, khiến các nhóm không thể tin vào “giao diện, thiết bị, hay thậm chí cả luồng ký.”
Ảnh: North Korea and hacking. Image: Shutterstock/Decrypt
Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, CoinPhoton.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
Theo dõi chúng tôi ngay:
- Telegram: @coinphoton_vn
-
X (Twitter):
@coinphoton_vi
-
Discord:
@coinphoton_vn
Họ tên đầy đủ: Pavel Valeryevich Durov Năm sinh: 10 tháng 10 năm 1984 Nơi sinh: Leningrad, Liên Xô (nay là Saint Petersburg, Nga) Quốc tịch: Saint Kitts and Nevis (trước đây là công dân Nga) Chức danh: Người sáng lập và Giám đốc điều hành (CEO) của Telegram Messenger… …
Trong kỷ nguyên số hóa, nơi mà quyền riêng tư và bảo mật thông tin trở thành mối quan tâm hàng đầu, Telegram đã nổi lên như một biểu tượng của sự đổi mới và độc lập. Được sáng lập bởi Pavel Durov, một doanh nhân người Nga với tầm… …
Bybit là một trong những sàn giao dịch tiền mã hóa hàng đầu thế giới, được thành lập vào năm 2018 và có trụ sở chính tại Dubai, Các Tiểu vương quốc Ả Rập Thống nhất. Được biết đến với khối lượng giao dịch cao, Bybit cung cấp một loạt… …
