Drift đang phối hợp với cơ quan thực thi pháp luật để điều tra chi tiết vụ tấn công ngày 1/4

Mandiant đã được thuê để hỗ trợ điều tra.

Một cuộc tấn công được chuẩn bị trong 6 tháng

Cuộc điều tra sơ bộ cho thấy Drift đã bị nhắm tới bằng một chiến dịch tình báo có tổ chức, đòi hỏi sự hậu thuẫn về tổ chức, nguồn lực đáng kể và nhiều tháng chuẩn bị có chủ đích.

Vào khoảng mùa thu năm 2025, các cộng tác viên của Drift đã được một nhóm người tại một hội nghị crypto lớn tiếp cận. Nhóm này tự giới thiệu như một công ty giao dịch định lượng muốn tích hợp trên giao thức. Hiện tại, Drift hiểu rằng đây dường như là một cách tiếp cận có chủ đích, khi những người trong nhóm này tiếp tục tìm cách tiếp cận và gặp gỡ các cộng tác viên cụ thể của Drift, trực tiếp, tại nhiều hội nghị lớn của ngành ở nhiều quốc gia trong suốt sáu tháng sau đó.

Họ có nền tảng kỹ thuật tốt, có lịch sử nghề nghiệp có thể xác minh và rất quen với cách Drift vận hành. Một nhóm Telegram được lập ra ngay sau lần gặp đầu tiên, và sau đó là nhiều tháng trao đổi thực chất về chiến lược giao dịch và khả năng tích hợp vault. Những tương tác này vốn khá điển hình trong cách các công ty giao dịch làm việc và onboarding với Drift.

Từ tháng 12/2025 đến tháng 1/2026, họ đã onboard một Ecosystem Vault trên Drift, vốn yêu cầu điền một biểu mẫu với các chi tiết chiến lược. Họ làm việc với nhiều cộng tác viên qua nhiều phiên trao đổi, đặt ra các câu hỏi sản phẩm rất cụ thể và có hiểu biết, đồng thời nạp hơn 1 triệu USD vốn tự có. Họ chủ động và kiên nhẫn xây dựng một sự hiện diện vận hành thực sự bên trong hệ sinh thái Drift.

Các cuộc thảo luận về tích hợp tiếp tục kéo dài sang tháng 2 và tháng 3/2026. Nhiều cộng tác viên của Drift lại gặp những người trong nhóm này trực tiếp tại các hội nghị lớn của ngành. Đến thời điểm đó, mối quan hệ đã kéo dài gần nửa năm. Đây không phải là những người xa lạ; đó là những người mà các cộng tác viên Drift đã từng làm việc cùng và gặp ngoài đời.

Trong suốt quá trình này, họ còn chia sẻ các liên kết cho những dự án, công cụ và ứng dụng mà họ nói rằng đang xây dựng — một hành vi hoàn toàn bình thường trong cách các công ty giao dịch tương tác.

Sau khi vụ khai thác xảy ra vào ngày 1/4, Drift đã tiến hành rà soát pháp y toàn diện đối với các thiết bị, tài khoản và lịch sử liên lạc được xác định là có khả năng bị ảnh hưởng. Các tương tác với nhóm giao dịch này nổi lên như vector xâm nhập có khả năng cao nhất. Ngay khi vụ khai thác diễn ra, các cuộc trò chuyện Telegram và phần mềm độc hại của họ đã bị xóa sạch.

Cuộc điều tra vẫn đang tiếp tục và các phát hiện hiện tại chỉ là sơ bộ, nhưng Drift cho rằng việc công bố sớm là cần thiết để cộng đồng có thông tin tốt nhất hiện có.

Cơ chế xâm nhập có thể đã diễn ra như thế nào

Drift cho rằng có thể đã tồn tại ba vector tấn công:

Thứ nhất, một cộng tác viên có thể đã bị xâm phạm sau khi clone một repository mã nguồn được nhóm này chia sẻ dưới vỏ bọc triển khai frontend cho vault của họ.

Thứ hai, một cộng tác viên khác đã bị dụ tải xuống một ứng dụng TestFlight mà nhóm này giới thiệu là sản phẩm ví của họ.

Nguồn: X / DriftProtocol