Hacker Triều Tiên đánh cắp 285 triệu USD từ Drift Protocol chỉ trong 10 giây

Một nhóm hacker có liên kết với Triều Tiên bị cáo buộc là thủ phạm đứng sau vụ đánh cắp 285 triệu USD từ nền tảng tài chính phi tập trung (DeFi) Drift. Cuộc tấn công này được mô tả là một hoạt động "được lên kế hoạch cực kỳ kỹ lưỡng" và thực hiện với độ chính xác cao.

Theo công ty bảo mật blockchain Elliptic, đây có thể là một trong những vụ tấn công lớn nhất do các tác nhân đe dọa từ Triều Tiên thực hiện. Trong vài năm qua, các hacker liên kết đến Bình Nhưỡng được ước tính đã đánh cắp hơn 6,5 tỷ USD tiền điện tử.

Tiền điện tử

Chiến thuật tấn công tinh vi

Cuộc tấn công vào Drift Protocol không phải là vụ việc ngẫu nhiên mà là kết quả của sự chuẩn bị dài ngày. Phân tích từ PIF Research Labs cho thấy kẻ tấn công đã thiết lập cơ sở hạ tầng hỗ trợ khoảng 8 ngày trước khi thực hiện vụ trộm cắp. Họ đã tạo một ví hoàn toàn mới và thực hiện một loạt giao dịch vi mô để đảm bảo nó có thể nhận bảy loại token khác nhau.

Kẻ tấn công đã sử dụng "nonce bền vững" (durable nonce) trên blockchain Solana để tạo ra các giao dịch không bao giờ hết hạn. Sau đó, họ tiền ký (pre-sign) mọi giao dịch được sử dụng trong cuộc tấn công để đảm bảo mọi thứ được thực thi ngay lập tức khi có lệnh.

Năm giờ trước khi vụ việc xảy ra, hacker đã giành được quyền kiểm soát một khóa quản trị (admin key) của Drift. Mặc dù khóa này được bảo vệ bằng cơ chế đa chữ ký (multisig) yêu cầu 5 người giữ khóa, nhưng Drift cho phép thay đổi được phê duyệt với chỉ 2 trong số 5 người giữ khóa. Một trong những người ký mới đã đồng ký trong vòng một giây, và vì thay đổi này có thời gian khóa (timelock) bằng 0 giây, nó đã được thực thi ngay lập tức.

Thị trường giả mạo và vô hiệu hóa an toàn

Sau khi nắm quyền kiểm soát, hacker đã sử dụng khóa admin 25 giây trước khi cuộc trộm bắt đầu để tạo ra một thị trường thế chấp giả mạo cho token CVT. Đây là một token vô giá trị mà chúng đã tạo (mint) 20 ngày trước đó. Chúng cũng đã vô hiệu hóa hệ thống an toàn của Drift ngăn chặn việc rút tài sản hàng loạt nhanh chóng.

Thị trường giả mạo này được cấu hình để rút càng nhiều tiền càng tốt bằng cách đặt thông số cho CVT để tăng giá trị của token giả, loại bỏ hình phạt khi nạp nguồn cung lớn và loại bỏ động cơ thanh lý vị thế giả.

Ngoài ra, mức tier của CVT được đặt ở mức cao nhất có thể trên Drift để đảm bảo khả năng vay mượn cho các token giả, và một "người tiên tri" (oracle) giả được sử dụng để định giá token vô giá trị này lên tới hàng trăm triệu USD.

Bảo mật

Cuộc đua rút tiền và rửa tiền

Để vô hiệu hóa hệ thống chống rút tiền của nền tảng DeFi, hacker đã sửa đổi các "công tắc ngắt mạch" (circuit breakers) — thiết kế để chặn rút tiền nếu quá nhiều tài sản bị rút khỏi kho quá nhanh — bằng cách tăng giá trị giới hạn lên 500 nghìn tỷ.

Tất cả các hành động tạo thị trường giả và sửa đổi công tắc ngắt mạch được đóng gói vào một giao dịch trên chuỗi. Chỉ 25 giây sau, các lệnh rút tiền bắt đầu. Chỉ trong 10 giây ngắn ngủi, tiền đã bị rút sạch từ các kho chứa JLP, USDC, cbBTC, USDS, dSOL và wETH. Kho chứa JLP bị rút cạn hoàn toàn.

Ngay sau đó, hacker bắt đầu quá trình rửa tiền. Số tiền bị đánh cắp được chuyển từ ví của kẻ tấn công sang 27 ví thoát thân và sau đó phân tán sang 57.331 địa chỉ ví bằng các bot tự động. Khoảng 225 triệu USD tài sản đã được đổi sang Ethereum và lưu trữ trong ba ví.

Các bot này tiếp tục hoạt động hơn 34 giờ, thực hiện 590 giao dịch mỗi phút trên nhiều blockchain và sàn tập trung đồng thời, làm tăng độ phức tạp cho cuộc điều tra theo dấu tiền. PIF Research Labs cho biết đã có hơn 860.000 giao dịch được thực hiện trong vòng 34 giờ.

Drift Protocol hiện đang phối hợp với nhiều công ty bảo mật để xác định nguyên nhân sự cố, đồng thời làm việc với các cầu nối (bridges), sàn giao dịch và cơ quan thực thi pháp luật để truy tìm và đóng băng tài sản bị đánh cắp.