Cái lỗ hổng lớn nhất trong phát triển DeFi

Tác giả: Chloe, ChainCatcher

Tuần trước, giao thức cho vay Solana Drift đã bị hack, dẫn đến khoảng 285 triệu USD tài sản người dùng bị đánh cắp. Theo các tuyên bố chính thức, đây không phải là một cuộc tấn công lỗ hổng hợp đồng thông minh điển hình, mà là một cuộc tấn công kỹ thuật xã hội được lên kế hoạch kỹ lưỡng kéo dài sáu tháng bởi các hacker do nhà nước tài trợ.

Thậm chí có bằng chứng điều tra cho thấy rằng cùng một nhóm các diễn viên đe dọa có thể đã thâm nhập vào sự phát triển cốt lõi của nhiều giao thức DeFi, không phải là kẻ tấn công, mà là những người đóng góp.

Các hacker Triều Tiên thường xâm nhập vào các mục tiêu sớm, nhưng hiếm khi đầu tư số tiền lớn.

Theo tuyên bố về sự cố Drift, chiến lược cốt lõi của những kẻ tấn công là "trở thành một phần của hệ sinh thái".

Kể từ mùa thu năm 2025, họ đã biến mình thành một công ty giao dịch định lượng và bắt đầu tham gia với những người đóng góp cốt lõi của Drift tại các hội nghị lớn trong ngành tiền điện tử. Sự tham gia này không phải là một sự kiện một lần, mà là nhiều tương tác trên các quốc gia khác nhau và các hội nghị, được tiến hành một cách cố ý trong vòng sáu tháng. Những cá nhân này có kỹ năng kỹ thuật, có nền tảng có thể xác minh, và quen thuộc với cách Drift hoạt động.

Hơn nữa, các tương tác của họ không giới hạn ở các thành viên cốt lõi của Drift. Nhóm cũng khai thác cơ chế mở của Drift's Ecosystem Vault, thành công trong việc liệt kê kho của riêng họ như một công ty giao dịch hợp pháp, gửi hơn 1 triệu đô la tiền của chính họ, tham gia nhiều cuộc họp làm việc, và đặt câu hỏi sản phẩm chuyên sâu, do đó củng cố niềm tin với nhóm dự án.

Chuyên gia công nghệ blockchain Steven, trong một cuộc phỏng vấn với ChainCatcher, cho biết: "Các hacker Triều Tiên đã xâm nhập vào các mục tiêu từ đầu, đó là một thực hành phổ biến, nhưng đầu tư số tiền lớn như là cơ sở cho sự tin cậy là tương đối hiếm. Tuy nhiên, đối với những kẻ tấn công, 1 triệu đô la này về cơ bản là một khoản đầu tư không có rủi ro; miễn là họ không khởi động một cuộc tấn công, số tiền này chỉ là số tiền bình thường tồn tại trong kho có thể được rút bất cứ lúc nào; và các hoạt động thực tế được thực hiện bởi nhân viên bên thứ ba vô ý thức, dẫn đến hầu như không có tổn thất kinh tế cho chính tổ chức.

Ngoài ra, trong quá trình hợp tác lâu dài với Drift, nhóm đã chia sẻ các dự án mã và các ứng dụng được lưu trữ trên GitHub dưới sự biện minh cho việc giới thiệu các công cụ phát triển của riêng họ. Với hoàn cảnh lúc đó, nó là hoàn toàn bình thường cho các đối tác để xem lại mã của nhau. Tuy nhiên, các cuộc điều tra sau đó của Drift tiết lộ rằng một nhà đóng góp đã sao chép một dự án mã GitHub có chứa mã độc, trong khi một nhà đóng góp khác đã bị lôi kéo để tải xuống một ứng dụng TestFlight được giả mạo là một sản phẩm ví.

Lý do con đường dự án mã khó bảo vệ là vì nó được nhúng hoàn toàn vào dòng công việc hàng ngày của các nhà phát triển. Các nhà phát triển thường sử dụng trình chỉnh sửa mã như VSCode hoặc Cursor khi viết mã, có thể được coi là Word cho các kỹ sư, một cái gì đó mà họ mở và sử dụng hàng ngày.

Cộng đồng nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng trong các biên tập viên như vậy vào cuối năm 2025: khi các nhà phát triển mở các dự án mã được chia sẻ bởi những người khác, các lệnh độc hại ẩn trong các dự án sẽ tự động thực hiện trong nền, hoàn toàn bí mật, mà không có bất kỳ cửa sổ xác nhận nào xuất hiện trên màn hình, không yêu cầu nhấp chuột để đồng ý, và không cung cấp bất kỳ cảnh báo nào. Các nhà phát triển tin rằng họ chỉ "nhìn vào mã", nhưng máy tính của họ thực sự đã được cấy vào cửa sau. Những kẻ tấn công đã khai thác lỗ hổng này để che giấu phần mềm độc hại trong các hoạt động hàng ngày mà các nhà phát triển thường xuyên thực hiện.

Vào thời điểm cuộc tấn công Drift diễn ra vào ngày 1 tháng 4, hồ sơ chat Telegram của những kẻ tấn công và tất cả các dấu vết của phần mềm độc hại đã được xóa hoàn toàn, chỉ để lại khoảng cách 285 triệu USD.

Drift chỉ là đỉnh của tảng băng?

Theo một cuộc điều tra của tổ chức an ninh khẩn cấp đáp ứng SEAL 911 trong ngành công nghiệp tiền điện tử, cuộc tấn công này được thực hiện bởi cùng một nhóm các diễn viên đe dọa chịu trách nhiệm cho vụ hack Radiant Capital vào tháng 10-2024. Các liên kết bao gồm các luồng quỹ trong chuỗi (các quỹ được sử dụng để chuẩn bị và kiểm tra chiến dịch này theo dõi trở lại các kẻ tấn công Radiant) và các mô hình hoạt động (các cá nhân được triển khai trong chiến dịch này cho thấy sự trùng lặp có thể xác định được với các hoạt động của Triều Tiên). Mandiant, một công ty pháp y an ninh nổi tiếng được thuê bởi Drift (hiện là một phần của Google), trước đó đã quy cho vụ tai nạn Radiant đến tổ chức liên kết của Triều Tiên UNC4736, nhưng Mandiant vẫn chưa chính thức quy cho vụ tai nạn Drift, và các cuộc điều tra pháp y hoàn chỉnh vẫn đang diễn ra.

Đặc biệt, những cá nhân tham dự các cuộc họp không phải là công dân Triều Tiên. Steven nói: "Các hacker Bắc Triều Tiên không nên được coi là một tổ chức hacking điển hình, mà là một cơ quan tình báo; đó là một tổ chức lớn với hàng ngàn người và vai trò được xác định rõ ràng. Trong số đó, hacker Triều Tiên Lazarus được biết đến chính thức trong lĩnh vực an ninh quốc tế là APT38, trong khi một tổ chức liên kết khác, Kimsuky, được chỉ định là APT43.

Điều này giải thích tại sao họ có thể triển khai người thực offline. Họ thành lập các công ty ở nước ngoài dưới nhiều tên khác nhau, tuyển dụng nhân viên địa phương, những người thậm chí có thể không biết họ đang làm việc cho ai. “Ông ấy có thể nghĩ rằng anh ấy đã gia nhập một công ty làm việc từ xa bình thường, và sau một năm được gửi đến để gặp một khách hàng; mọi thứ dường như bình thường, nhưng đằng sau nó là một tổ chức hacking. Khi cơ quan thực thi pháp luật đến để điều tra, người đó không biết gì”.

Drift có thể chỉ là đỉnh của tảng băng.

Nếu sự cố Drift tiết lộ một lỗ hổng trong một giao thức duy nhất, các cuộc điều tra sau đó chỉ ra một vấn đề lớn hơn: các phương pháp tương tự có thể đã hoạt động trên toàn bộ hệ sinh thái DeFi trong nhiều năm.

Theo cuộc điều tra của nhà nghiên cứu blockchain Tayvano, kể từ khi DeFi mở rộng nhanh chóng vào năm 2020, các đóng góp mã liên quan đến nhân viên CNTT của Triều Tiên đã lan rộng trên một số dự án nổi tiếng, bao gồm SushiSwap, THORChain, Harmony, Ankr và Yearn Finance.

Các phương pháp được sử dụng bởi những cá nhân này rất giống với những người trong vụ Drift: sử dụng danh tính giả, nhận vai trò phát triển thông qua các nền tảng tự do và liên hệ trực tiếp, tham gia các kênh Discord, cộng đồng nhà phát triển, và thậm chí tham dự các cuộc họp nhà phát triển. Một khi trong dự án, họ đóng góp mã, tham gia vào các chu kỳ phát triển, và xây dựng lòng tin với nhóm cho đến khi họ hiểu toàn bộ kiến trúc giao thức và chờ đợi thời điểm thích hợp để hành động.

Steven tin rằng trong các cơ quan tình báo truyền thống, họ thậm chí có thể chờ đợi cả đời, với thế hệ tiếp theo tiếp tục các nhiệm vụ chưa hoàn thành của thế hệ trước. Đối với họ, các dự án Web3 là ngắn hạn với lợi nhuận cao, và bản chất của công việc từ xa cho phép một người giữ nhiều vai trò trên các dự án khác nhau, điều này khá phổ biến trong ngành công nghiệp Web3 và không gây nghi ngờ.

Tổ chức hacker Triều Tiên bao gồm tất cả các dự án Web3 trong phạm vi tấn công của họ, cẩn thận kiểm tra từng dự án và thu thập thông tin về các thành viên trong nhóm. Sự hiểu biết của họ về các dự án rõ ràng hơn so với các nhóm dự án", Steven nói. Lý do Web3 đã trở thành mục tiêu chính là hệ sinh thái này có số tiền lớn, thiếu quy định toàn cầu thống nhất, và sự phổ biến của công việc từ xa thường khiến nó không thể xác minh danh tính thực sự của các cộng tác viên và nhân viên. Ngoài ra, bản chất thường trẻ và thiếu kinh nghiệm của các học viên cung cấp một môi trường thâm nhập lý tưởng cho các cơ quan tình báo Triều Tiên.

Các sự cố hacking là phổ biến; các nhóm dự án chỉ có thể ngồi và chờ đợi?

Nhìn lại các sự cố lớn trong những năm gần đây, kỹ thuật xã hội luôn là một chiến thuật cốt lõi của các nhóm hacker Triều Tiên. Gần đây, cuốn hồi ký "Binance Life" của người sáng lập Binance CZ đã được phát hành, kể lại sự cố vào tháng 5 năm 2019 khi Binance bị hack cho 7.000 bitcoin. Theo CZ, các hacker đầu tiên xâm nhập vào các máy tính xách tay của một số nhân viên sử dụng phần mềm độc hại tiên tiến, sau đó cấy các lệnh độc hại trong bước cuối cùng của quá trình rút tiền, đánh cắp tất cả 7.000 bitcoin từ ví nóng vào lúc 1 giờ sáng (giá trị khoảng 40 triệu USD vào thời điểm đó). CZ viết trong cuốn sách rằng, dựa trên các phương pháp tấn công, các hacker đã lẩn trốn trong mạng lưới Binance trong một thời gian và được nghi ngờ cao là từ Lazarus của Triều Tiên, có thể thậm chí còn bóc lột nhân viên nội bộ.

Vụ việc Ronin Network năm 2022 cũng là một trường hợp cổ điển. Ronin là bên cạnh đằng sau trò chơi blockchain phổ biến Axie Infinity, chịu trách nhiệm xử lý tất cả các chuyển giao chéo chuỗi tài sản trong trò chơi, với một lượng lớn tiền bị khóa vào thời điểm đó. Vụ tấn công được kích hoạt khi một nhà phát triển nhận được một đề nghị công việc có lương cao từ một công ty nổi tiếng và tải xuống một tập tin có chứa phần mềm độc hại trong quá trình phỏng vấn, cho phép những kẻ tấn công có quyền truy cập vào hệ thống nội bộ và cuối cùng đánh cắp 625 triệu USD.

Vụ việc CoinsPaid 2023 sử dụng các chiến thuật gần như giống hệt nhau. CoinsPaid là nhà cung cấp dịch vụ thanh toán tiền mã hóa, và những kẻ tấn công tương tự tiếp cận nhân viên thông qua một quá trình tuyển dụng giả mạo, khiến họ cài đặt phần mềm độc hại trước khi thâm nhập vào hệ thống. Các phương pháp hack gần đây hơn đã trở nên đa dạng hơn: cuộc gọi video giả mạo, tài khoản xã hội bị xâm phạm, và phần mềm độc hại giả mạo như phần mềm họp.

Các nạn nhân nhận được các liên kết cuộc họp Calendly dường như bình thường, và sau khi nhấp vào, họ được hướng dẫn để cài đặt một ứng dụng cuộc họp giả mạo, cho phép phần mềm độc hại đánh cắp ví, mật khẩu, cụm từ phục hồi và hồ sơ giao tiếp. Theo ước tính, thông qua các phương pháp như vậy, các nhóm hacker Triều Tiên đã đánh cắp hơn 300 triệu USD.

Đồng thời, điểm đến cuối cùng của các quỹ bị đánh cắp cũng đáng chú ý. Steven tuyên bố rằng các quỹ bị đánh cắp cuối cùng rơi vào sự kiểm soát của chính phủ Triều Tiên. Việc rửa tiền được thực hiện bởi một đội ngũ chuyên gia trong tổ chức, người thiết lập máy trộn và mở tài khoản với danh tính giả tại nhiều sàn giao dịch, theo một quá trình hoàn chỉnh và phức tạp: các quỹ được rửa sạch thông qua máy trộn ngay lập tức sau khi bị đánh cắp, sau đó được trao đổi cho tiền xu riêng tư, và sau đó chuyển qua các dự án DeFi khác nhau, lưu thông nhiều lần giữa sàn giao dịch và DeFi.

Toàn bộ quá trình được hoàn thành trong vòng 30 ngày, và số tiền cuối cùng sẽ đến các sòng bạc ở Đông Nam Á, các sàn giao dịch nhỏ không yêu cầu KYC, và các nhà cung cấp dịch vụ OTC ở Hong Kong và Đông Nam Á, nơi chúng được thanh toán.

Vì vậy, đối mặt với mô hình đe dọa mới này, nơi đối thủ không chỉ là những kẻ tấn công mà còn là những người tham gia, ngành công nghiệp tiền điện tử nên phản ứng như thế nào?

Steven tin rằng các nhóm dự án quản lý số tiền lớn nên thuê các nhóm an ninh chuyên nghiệp, thiết lập các vị trí an ninh chuyên dụng trong nhóm, và đảm bảo tất cả các thành viên cốt lõi tuân thủ nghiêm ngặt các giao thức an ninh. Điều đặc biệt quan trọng là các thiết bị phát triển và các thiết bị chịu trách nhiệm về chữ ký tài chính phải được cô lập nghiêm ngặt về mặt vật lý. Ông đặc biệt đề cập rằng một vấn đề quan trọng trong sự cố Drift là việc hủy bỏ cơ chế buffer thời gian, “mà không bao giờ nên bị hủy bất cứ lúc nào.”

Tuy nhiên, ông cũng thừa nhận rằng nếu các cơ quan tình báo Triều Tiên thực sự muốn thâm nhập sâu hơn, ngay cả việc kiểm tra nền tảng nghiêm ngặt cũng sẽ khó xác định đầy đủ. Tuy nhiên, việc thu thập các đội an ninh vẫn rất quan trọng. Ông cho rằng các nhóm dự án nên giới thiệu các đội màu xanh (phía phòng thủ trong tấn công và phòng thủ mạng), vì các đội màu xanh không chỉ có thể giúp tăng cường bảo mật của các thiết bị và hành vi mà còn liên tục theo dõi các nút quan trọng, cho phép phát hiện và phản ứng ngay lập tức với các cuộc tấn công trong trường hợp biến động bất thường. Chỉ dựa vào khả năng an ninh của nhóm dự án là không đủ để chống lại mức độ tấn công này.

Ông nói thêm rằng khả năng chiến tranh mạng của Triều Tiên nằm trong top 5 thế giới, đứng thứ hai sau Mỹ, Nga, Trung Quốc và Israel. Đối mặt với những đối thủ như vậy, chỉ dựa vào kiểm tra mã là xa là đủ.

Kết luận

Vụ việc Drift chứng minh rằng những mối đe dọa lớn nhất mà DeFi phải đối mặt ngày nay không chỉ là điều kiện thị trường hay thanh khoản; về mặt bảo mật, nó không chỉ là về việc ngăn chặn các lỗ hổng mã, vì gián điệp có thể đang ẩn bên cạnh bạn.

Khi những kẻ tấn công sẵn sàng dành sáu tháng và đầu tư hàng triệu đô la để nuôi dưỡng một mối quan hệ, kiểm tra mã truyền thống và biện pháp bảo mật đơn giản là không đủ. Hơn nữa, theo các cuộc điều tra hiện có, bộ chiến thuật này có thể đã hoạt động trong nhiều dự án trong nhiều năm, chỉ là chưa được phát hiện.

Liệu DeFi có thể duy trì sự phi tập trung và cởi mở không còn là vấn đề cốt lõi; câu hỏi thực sự là: nó có thể chống lại sự thâm nhập của những đối thủ đầy đủ trong khi vẫn mở?