Một chiến dịch thu thập tình báo kéo dài sáu tháng đã đi trước vụ khai thác trị giá 270 triệu USD nhắm vào Drift Protocol và được thực hiện bởi một nhóm có liên hệ với nhà nước Triều Tiên, theo bản cập nhật chi tiết về sự cố được nhóm công bố trước đó vào Chủ nhật.
Những kẻ tấn công lần đầu tiếp xúc vào khoảng mùa thu năm 270Mại một hội nghị crypto lớn, nơi họ giới thiệu mình là một công ty giao dịch định lượng, với mục tiêu tích hợp với Drift.
Drift cho biết họ am hiểu về mặt kỹ thuật, có lý lịch nghề nghiệp có thể kiểm chứng, và hiểu rõ cách giao thức vận hành. Một nhóm Telegram đã được thành lập và những gì diễn ra sau đó là nhiều tháng các cuộc trò chuyện đi sâu về chiến lược giao dịch và tích hợp vault—những tương tác tiêu chuẩn mà các công ty giao dịch thực hiện khi onboard với các giao thức DeFi.
Trong giai đoạn từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã onboard một Ecosystem Vault trên Drift, tổ chức nhiều buổi làm việc với các cộng tác viên, nạp hơn 1 triệu USD vốn của chính họ, và xây dựng một sự hiện diện vận hành có tính thực thi bên trong hệ sinh thái.
Các cộng tác viên của Drift đã gặp trực tiếp những người trong nhóm tại nhiều hội nghị ngành lớn ở nhiều quốc gia khác nhau trong các tháng từ tháng 2 đến tháng 3. Đến thời điểm cuộc tấn công được khởi động vào ngày 1 tháng 4, mối quan hệ đã kéo dài gần nửa năm.
Sự xâm nhập dường như đến từ hai vector.
Vector thứ hai đã tải xuống một ứng dụng TestFlight—nền tảng của Apple để phân phối các ứng dụng chưa phát hành chính thức, bỏ qua việc kiểm tra an ninh của App Store—và nhóm đã giới thiệu nó như sản phẩm ví của họ.
Đối với vector liên quan đến repository, Drift chỉ ra một lỗ hổng đã được biết đến trong VSCode và Cursor—hai trong số các trình soạn thảo mã được sử dụng rộng rãi nhất trong phát triển phần mềm—mà cộng đồng an ninh đã cảnh báo từ cuối năm 2025. Theo đó, chỉ cần mở một tệp hoặc thư mục trong trình soạn thảo là đủ để âm thầm thực thi mã tùy ý mà không cần bất kỳ lời nhắc hay cảnh báo nào.
Sau khi các thiết bị bị xâm nhập, những kẻ tấn công đã có đủ thứ cần thiết để nhận được hai phê duyệt multisig cho phép cuộc tấn công durable nonce mà CoinDesk đã nêu chi tiết trước đó trong tuần này. Các giao dịch đã được ký sẵn đó đã nằm im hơn một tuần trước khi được thực thi vào ngày 1 tháng 4, rút cạn 270 triệu USD từ các vault của giao thức trong chưa đầy một phút.
Quy kết nhắm tới UNC4736, một nhóm có liên hệ với nhà nước Triều Tiên, còn được theo dõi với các tên AppleJeus hoặc Citrine Sleet, dựa trên cả dòng chảy quỹ trên chuỗi dẫn ngược về những kẻ tấn công Radiant Capital và sự trùng lặp về mặt hoạt động với các nhân vật được biết là có liên kết với DPRK.
Tuy nhiên, những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Các tác nhân đe doạ DPRK ở cấp độ này được biết đến là sẽ triển khai các bên trung gian bên thứ ba với danh tính hoàn chỉnh, lịch sử việc làm và mạng lưới chuyên môn đã được xây dựng để chống chịu thẩm định kỹ lưỡng.
Drift đã kêu gọi các giao thức khác kiểm toán cơ chế kiểm soát truy cập và coi mọi thiết bị chạm tới một multisig như một mục tiêu tiềm năng. Hàm ý rộng hơn là điều không mấy thoải mái đối với một ngành công nghiệp dựa vào governance bằng multisig như mô hình bảo mật chính.
Nhưng nếu kẻ tấn công sẵn sàng bỏ ra sáu tháng và một triệu USD để xây dựng một sự hiện diện hợp pháp bên trong hệ sinh thái, gặp các đội ngũ trực tiếp, đóng góp vốn thực và chờ đợi, thì câu hỏi là: mô hình bảo mật nào được thiết kế để bắt được điều đó.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Bitcoin vượt mốc 72.000 USD, chạm đỉnh cao nhất trong ba tuần giữa lúc lệnh ngừng bắn Mỹ–Iran
Bitcoin bứt phá vượt mốc 72.000 USD, đạt mức cao nhất trong ba tuần, sau một thỏa thuận tạm dừng giao tranh giữa Mỹ và Iran. Tổng thống Trump đồng ý tạm hoãn không kích trong 2 tuần, trong khi Iran cam kết tạm thời mở lại eo biển Hormuz. Thông báo được đưa ra chưa đầy 2 giờ trước hạn chót hành động của Trump đối với Iran. Các quỹ ETF Bitcoin giao ngay niêm yết tại Mỹ cũng ghi nhận nhu cầu nhà đầu tư quay trở lại, khi dòng tiền gần đây đảo ngược các dòng tiền rút trước đó. Dòng tiền ròng ổn định
GateNews4giờ trước
Bitcoin giảm xuống dưới 65.000 USD vào thứ Hai khi Trump nâng thuế lên 15%
Bitcoin giảm xuống dưới 65.000 USD vào thứ Hai, chạm mức thấp nhất trong hơn hai tuần, khi lo ngại về thuế quan được kích hoạt trở lại làm gia tăng biến động thị trường toàn cầu. Vào thứ Bảy, Tổng thống Mỹ Trump đã nâng mức thuế quan toàn cầu đã công bố trước đó từ 10% lên 15% sau khi Tòa án Tối cao bác bỏ đề xuất thuế quan đối ứng rộng hơn của ông. Động thái này làm tăng bất định về khả năng gián đoạn các thỏa thuận thương mại, trong khi nhà đầu tư cũng cân nhắc lo ngại về khả năng hành động qu
GateNews4giờ trước
Thống đốc Ngân hàng Trung ương Anh Bailey: Quy định stablecoin Anh-Mỹ “sắp đối đầu”, cảnh báo rút tiền ồ ạt sẽ kéo tới Anh
英國央行(BoE)總裁 Andrew Bailey 5 月 9 日 tại cuộc họp do ngân hàng này tổ chức đã cảnh báo rằng Anh và Mỹ đang bước vào giai đoạn “đối đầu” trong quản lý stablecoin, đồng thời lo ngại nếu Anh áp dụng stablecoin thì có thể phải đối mặt rủi ro bank run. The Block dẫn lời Bailey: “Chúng tôi biết chuyện gì sẽ xảy ra nếu stablecoin bị rút tiền ồ ạt—chúng sẽ tất cả chạy tới đây (Anh)”, ám chỉ stablecoin USD do dự luật GENIUS của Mỹ thúc đẩy nếu được áp dụng rộng rãi trong thanh toán xuyên biên giới thì trung
ChainNewsAbmedia7giờ trước
Sáng kiến Dự trữ Bitcoin của Thụy Sĩ thất bại do không đủ chữ ký vào ngày 9 tháng 5
Theo BlockBeats, vào ngày 9/5, sáng kiến của Thụy Sĩ nhằm yêu cầu Ngân hàng Quốc gia Thụy Sĩ (SNB) nắm giữ Bitcoin trong dự trữ chính thức đã thất bại do không đủ chữ ký. Đề xuất này hướng tới việc sửa đổi Hiến pháp Thụy Sĩ để bổ sung BTC bên cạnh các khoản dự trữ vàng và ngoại tệ. Sáng kiến cần 100.000 chữ ký hợp lệ trong vòng 18 tháng để kích hoạt một cuộc trưng cầu dân ý trên toàn quốc, nhưng ban tổ chức chỉ thu thập được khoảng một nửa con số đó và đã bỏ dở nỗ lực.
GateNews16giờ trước
Bitcoin ETF ghi nhận dòng tiền rút ròng $277M kỷ lục vào thứ Sáu khi số liệu việc làm tháng 4 vượt kỳ vọng nhưng không giúp giảm bớt lo ngại vĩ mô
Theo dữ liệu của The Block và SoSoValue, các ETF Bitcoin spot ghi nhận dòng tiền rút ròng 277 triệu USD vào thứ Sáu (9/5), chấm dứt chuỗi 5 ngày liên tiếp có dòng tiền vào, tổng cộng đạt 1,69 tỷ USD. Các ETF ether spot ghi nhận 104 triệu USD rút ròng trong cùng ngày, và không có quỹ nào ghi nhận dòng tiền dương. Sự đảo chiều trùng với việc căng thẳng Iran–Mỹ tái gia tăng. Các quan chức Iran cáo buộc Washington vi phạm các điều khoản ngừng bắn, với các báo cáo về đợt không kích mới gần eo biển Ho
GateNews23giờ trước
Địa chính trị và thị trường crypto: Cuộc đối đầu Mỹ-Iran ở eo biển Hormuz ảnh hưởng thế nào đến diễn biến của Bitcoin?
2026 年 5 月 4 日, 美国总统特朗普 cao giọng宣布启动“自由计划”, 意图引导被困霍尔木兹海峡的商船通行, 投入导弹驱逐舰、逾 100 架次飞机及约 15,000 名现役军人。然而 hành động 实施不足 48 小时, 特朗普便宣布暂停该计划, 理由是“美伊全面协议取得重大进展”。但伊朗方面的态度迥然不同:伊朗最高领袖外事顾问明确表示海峡仍处关闭状态, 所有过境船只必须获得伊朗许可方可通行。随后的 5 月 8 日, 美国又证实可能恢复“自由计划”升级版, 且美军当天袭击了两艘伊朗油轮。从高调启动 đến紧急叫停再到威胁重启, 这场围绕全球最关键的能源通道的博弈, 正在持续重塑全球资产的定价逻辑。 长达两个月的 phong tỏa:霍尔木兹海峡关闭的深层后果 自 2 月下旬美以与伊朗爆发战争以来, 霍尔木兹海峡已持续关闭超过两个月。这一海峡承载全球近 20 % 的石油运输, 战前日均通航量约 130 艘以上, 是波斯湾地区原油出口的核心通道。封锁导致全球原油供应渠道受阻, 伊朗每日约 200 万桶的石油出口近乎归零。航运企业面临尴尬处境——美国和伊朗提出的海峡通
GateInstantTrends05-09 08:23
