Drift Protocol, một sàn giao dịch tiền điện tử phi tập trung (DEX), vừa tiết lộ vụ tấn công gần đây nhắm vào nền tảng này là một chiến dịch kéo dài sáu tháng, được phối hợp vô cùng tinh vi. Vụ việc gây thiệt hại khoảng 280 triệu đô la, làm dấy lên hồi chuông cảnh báo về an ninh trong ngành crypto.
Trong một bài đăng trên X vào thứ Bảy, Drift cho biết: “Cuộc điều tra sơ bộ cho thấy Drift đã phải đối mặt với một chiến dịch tình báo có cấu trúc, đòi hỏi sự hậu thuẫn của tổ chức, nguồn lực đáng kể và nhiều tháng chuẩn bị kỹ lưỡng.”
Mọi chuyện bắt đầu từ một “hội nghị crypto lớn”
Theo Drift, kế hoạch tấn công có thể bắt nguồn từ khoảng tháng 10 năm 2025, khi các đối tượng xấu giả dạng một công ty giao dịch định lượng lần đầu tiếp cận các thành viên của Drift tại một “hội nghị crypto lớn”. Chúng bày tỏ sự quan tâm đến việc tích hợp với giao thức này.
Nhóm này tiếp tục tiếp xúc trực tiếp với các thành viên của Drift tại nhiều sự kiện trong ngành trong sáu tháng tiếp theo. Drift cho biết: “Hiện tại, chúng tôi hiểu rằng đây dường như là một cách tiếp cận có chủ đích, trong đó các cá nhân từ nhóm này liên tục tìm kiếm và tiếp cận các thành viên cụ thể của Drift.”
“Chúng có kiến thức chuyên môn sâu, có lý lịch làm việc chuyên nghiệp có thể kiểm chứng được và rất quen thuộc với cách Drift vận hành,” Drift nói thêm.
Sau khi tạo dựng được niềm tin và tiếp cận Drift Protocol trong sáu tháng, chúng đã sử dụng các liên kết và công cụ độc hại được chia sẻ để xâm nhập thiết bị của các thành viên, thực hiện vụ khai thác và xóa bỏ mọi dấu vết ngay lập tức sau vụ tấn công.
Sự cố này là một lời nhắc nhở nghiêm khắc cho những người tham gia ngành tiền điện tử phải luôn thận trọng và cảnh giác, ngay cả trong các tương tác trực tiếp, vì các hội nghị crypto có thể là mục tiêu hàng đầu cho những kẻ tấn công tinh vi.
Drift nghi ngờ có liên hệ với vụ Radiant Capital bị hack
Drift cho biết, với “mức độ tin cậy trung bình-cao”, vụ khai thác này do cùng một nhóm đã thực hiện vụ tấn công Radiant Capital vào tháng 10 năm 2024.
Vào tháng 12 năm 2024, Radiant Capital đã tiết lộ vụ tấn công được thực hiện thông qua phần mềm độc hại gửi qua Telegram bởi một hacker có liên hệ với Triều Tiên, giả mạo là cựu nhà thầu.
Radiant Capital cho biết: “Tệp ZIP này, khi được chia sẻ để lấy phản hồi giữa các nhà phát triển khác, cuối cùng đã phát tán phần mềm độc hại tạo điều kiện cho cuộc xâm nhập sau đó.”
Drift nhấn mạnh rằng “điều quan trọng cần lưu ý” là những cá nhân xuất hiện trực tiếp “không phải là công dân Triều Tiên.”
Drift giải thích thêm: “Các đối tượng đe dọa từ Triều Tiên hoạt động ở cấp độ này được biết là thường triển khai các bên trung gian thứ ba để xây dựng mối quan hệ trực tiếp.”
Hiện tại, Drift đang hợp tác với các cơ quan thực thi pháp luật và các tổ chức khác trong ngành crypto để “xây dựng một bức tranh hoàn chỉnh về những gì đã xảy ra trong vụ tấn công ngày 1 tháng 4.”
tienso.org cam kết đưa tin độc lập và minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của tienso.org và nhằm cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự mình xác minh thông tin.
