Tôi vừa đọc báo cáo chi tiết do Drift công bố về vụ khai thác trị giá 270 triệu đô la và thực sự nó khiến tôi cảm thấy đáng lo ngại. Chúng ta không nói về một cuộc tấn công thông thường, mà là một hoạt động tình báo nhà nước kéo dài gần sáu tháng.

Cách mọi thứ diễn ra là điều khiến tôi chú ý nhất. Theo phân tích của Drift, một nhóm liên kết với nhà nước Bắc Triều Tiên đã xuất hiện tại một hội nghị tiền điện tử quan trọng vào khoảng mùa thu năm 2025 như một công ty giao dịch định lượng. Điều này không phải là ngẫu nhiên. Họ có giấy chứng nhận chuyên nghiệp xác thực, kiến thức kỹ thuật hợp lệ về cách hoạt động của giao thức, và biết chính xác cách tích hợp vào các hệ sinh thái DeFi.

Trong những tháng tiếp theo, từ tháng 12 năm 2025 đến tháng 1, nhóm đã tích hợp một Kho Tàng của Hệ sinh thái vào Drift, tổ chức các buổi làm việc với các cộng tác viên, gửi hơn một triệu đô la từ vốn tự có của họ và tự định vị là các tác nhân hợp pháp. Thậm chí họ đã gặp trực tiếp với đội ngũ Drift tại nhiều hội nghị quốc tế vào tháng 2 và tháng 3. Đến khi thực hiện vụ tấn công vào ngày 1 tháng 4, họ đã xây dựng được gần nửa năm sự hiện diện này.

Việc xâm nhập kỹ thuật rất tinh vi. Họ đã xâm phạm các thiết bị qua hai phương thức chính. Thứ nhất, phân phối một ứng dụng giả mạo TestFlight, nền tảng của Apple giúp tránh kiểm tra an ninh của App Store. Thứ hai, lợi dụng một lỗ hổng đã biết trong VSCode và Cursor mà cộng đồng an ninh đã liên tục báo cáo từ cuối năm 2025. Chỉ cần mở một tệp trong các trình chỉnh sửa này là có thể thực thi mã tùy ý mà không có cảnh báo.

Sau khi vào được, họ đã lấy được hai phê duyệt multisig cần thiết. Các giao dịch đã được ký sẵn trước đó đã nằm im trong hơn một tuần trước khi thực hiện vào ngày 1 tháng 4, rút sạch 270 triệu đô la từ các khoản gửi của giao thức chỉ trong chưa đầy một phút.

Các nhà điều tra đã quy trách vụ tấn công cho UNC4736, còn gọi là AppleJeus hoặc Citrine Sleet, dựa trên luồng dòng tiền trên chuỗi và sự trùng lặp hoạt động với các tác nhân liên kết với Bắc Triều Tiên. Mặc dù các cá nhân xuất hiện tại các hội nghị không phải là công dân Bắc Triều Tiên, nhưng thông lệ tiêu chuẩn là các tác nhân đe dọa cấp cao như vậy thường sử dụng trung gian có danh tính hoàn toàn xây dựng và lý lịch công việc được thiết kế để qua mặt các cuộc kiểm tra thẩm định.

Những gì Drift đang chỉ ra thật sự gây khó chịu cho toàn ngành. Nếu các hacker sẵn sàng bỏ ra sáu tháng, một triệu đô la và kiên nhẫn để xây dựng một sự hiện diện hợp pháp trong một hệ sinh thái, thì mô hình an ninh nào thực sự được thiết kế để phát hiện ra điều đó? Các giao thức dựa vào multisig như là lớp phòng thủ chính, nhưng hoạt động này phơi bày những điểm yếu sâu sắc của mô hình đó khi đối mặt với các đối thủ nhà nước có nguồn lực vô hạn.

Drift đang kêu gọi các giao thức khác kiểm tra các kiểm soát truy cập và xem mỗi thiết bị tương tác với multisig như một mục tiêu tiềm năng. Đây là lời nhắc nhở rằng trong DeFi, niềm tin vẫn là vector tấn công hiệu quả nhất, ngay cả khi bạn cố gắng loại bỏ nó khỏi phương trình.