Hacker Triều Tiên săn lùng ngành tiền mã hóa như thế nào một cách liên tục?
Tuyển chọn TechFlowTuyển chọn TechFlow
Hacker Triều Tiên săn lùng ngành tiền mã hóa như thế nào một cách liên tục?
Triều Tiên sẽ theo dõi ngành tiền mã hóa trong thời gian dài, không phải vì nước này đặc biệt quan tâm đến những khái niệm mới này, mà là vì ngành này thực sự hữu ích đối với Triều Tiên.
Chuyên sâu báo cáo Web3Tác giả: Lưu Hồng Lâm
Trong nửa năm trở lại đây, ngành tiền mã hóa lặng lẽ như bãi biển sau khi thủy triều rút.
Người vẫn còn người, dự án vẫn còn dự án, nhưng cảm giác trước kia—cứ ba bốn ngày lại xuất hiện một dự án mới kể chuyện, tin tức huy động vốn tràn ngập mọi nơi, trong các nhóm chat ngày nào cũng có người kêu gọi “lên xe”—đã giảm đi rất nhiều.
Các đội ngũ còn trụ lại đương nhiên vẫn nói về tầm nhìn và chiến lược dài hạn, nhưng trong những cuộc trò chuyện riêng tư, điều họ bàn nhiều hơn thường là những vấn đề rất mộc mạc: tài khoản còn bao nhiêu tiền, làm sao cắt giảm chi phí thêm nữa, và làm thế nào giữ vững đội ngũ để vượt qua mùa đông thị trường giá xuống.
Tuy nhiên, điều khiến thị trường giá xuống gây tổn thương nặng nề nhất cho các dự án đôi khi không chỉ là giá token sụt giảm hay việc huy động vốn trở nên khó khăn, mà còn là tình huống vốn đã eo hẹp lại gặp thêm “tai họa nối tiếp tai họa”, ví dụ như tài sản bị đánh cắp.
Bị mất tiền trong thời kỳ thị trường tăng giá là đau xót; bị mất tiền trong thời kỳ thị trường giảm giá thì thực sự là mạng sống đang bị đe dọa.
I. Drift bị đánh cắp 285 triệu USD
Lần này xảy ra sự cố là Drift—một trong những vụ tấn công DeFi quy mô lớn nhất từ đầu năm 2026 đến nay, với số tiền bị đánh cắp khoảng 285 triệu USD.
Những ai quen thuộc với hệ sinh thái Solana đều không xa lạ với cái tên này. Đây vốn là một sàn giao dịch phi tập trung, chuyên về hợp đồng vĩnh viễn (perpetual contracts), đồng thời cũng triển khai các dịch vụ giao dịch tiền mã hóa cơ sở (spot), cho vay và kho bảo mật (vaults). Theo tài liệu chính thức, Drift được gọi là một trong những sàn giao dịch phi tập trung mở nguồn lớn nhất trên Solana dành riêng cho hợp đồng vĩnh viễn.
Theo thông tin công khai, vụ tấn công xảy ra vào ngày 1 tháng 4 năm 2026, nhưng có thể đã được chuẩn bị kỹ lưỡng suốt sáu tháng liền. Vào mùa thu năm 2025, một nhóm tự xưng là đội giao dịch định lượng đã tiếp cận nhân viên Drift tại một hội nghị ngành quy mô lớn. Sau đó, họ lập nhóm chat, tổ chức họp, thảo luận chiến lược và tích hợp nghiệp vụ—mọi quy trình đều diễn ra hoàn toàn bình thường. Đặc biệt quan trọng là bên kia không chỉ nói suông, mà còn thực sự gửi hơn 1 triệu USD tiền vốn của chính họ vào kho bảo mật trong hệ sinh thái. Ai ngờ, đây lại chính là “thả câu bắt cá lớn”.
Nếu chỉ xét riêng Drift, sự việc này tối đa chỉ là một sự cố an ninh khác đối với một dự án đầu ngành. Nhưng nếu đặt nó vào bối cảnh những vụ án lớn từng xảy ra trong ngành suốt vài năm qua, thì bản chất vấn đề lại hoàn toàn khác.
Nhiều vụ việc dù xoay vần thế nào, cuối cùng vẫn quy về Triều Tiên.
II. Thành tích tấn công của tin tặc Triều Tiên
Tháng 2 năm 2025, Cục Điều tra Liên bang Mỹ (FBI) công bố chính thức rằng khoảng 1,5 tỷ USD tài sản tiền mã hóa của Bybit đã bị đánh cắp do Triều Tiên thực hiện, nằm trong khuôn khổ hoạt động mang tên “TraderTraitor”.
Cuối năm 2025, Chainalysis lại đưa ra dữ liệu hàng năm cho thấy các tin tặc liên quan đến Triều Tiên đã đánh cắp ít nhất 2,02 tỷ USD tài sản tiền mã hóa trong năm 2025, tăng 51% so với năm trước; tổng số tiền bị đánh cắp tích lũy tính đến nay đạt mức thấp nhất là 6,75 tỷ USD. Một đặc điểm rõ ràng là: số lần tấn công của Triều Tiên đang giảm dần, nhưng quy mô mỗi lần tấn công ngày càng lớn hơn.
Triều Tiên không phải cái tên bất ngờ xuất hiện gần đây do vụ Bybit hay Drift, mà đã tồn tại liên tục trong nhiều năm qua. Sự hiện diện của nước này trong ngành tiền mã hóa không hề yếu đi, mà ngày càng gia tăng.
Xét xa hơn, thành tích đánh cắp tiền mã hóa của Triều Tiên cũng không phải hiếm.
Theo báo cáo của Reuters năm 2024, dựa trên tài liệu của các chuyên gia trừng phạt Liên Hợp Quốc, cơ quan này đã điều tra 97 vụ tấn công mạng nghi do Triều Tiên tiến hành nhằm vào các công ty tiền mã hóa trong giai đoạn từ năm 2017 đến 2024, với tổng giá trị liên quan khoảng 3,6 tỷ USD.
Cảnh sát Hàn Quốc cũng công bố vào tháng 11 năm 2024 rằng một vụ trộm Ethereum trị giá khoảng 42 triệu USD xảy ra năm 2019 có liên quan đến một tổ chức tin tặc gắn với hệ thống tình báo quân đội Triều Tiên.
Một chi tiết đáng chú ý khác trong vụ Drift là, dưới sự hỗ trợ của các đội an ninh liên quan, hiện tại hoạt động tấn công lần này và vụ tấn công Radiant Capital hồi tháng 10 năm 2024 đều được xác định có liên hệ với Triều Tiên.
Khi đặt các sự việc này cạnh nhau, đây rõ ràng không còn là những vụ án riêng lẻ không liên quan, mà là cùng một nhóm người, sử dụng một bộ chiến thuật đã được tôi luyện vô cùng bài bản, lặp đi lặp lại trên nhiều dự án, ở nhiều thời điểm và trong nhiều bối cảnh khác nhau.
III. Hệ thống khai thác của tin tặc Triều Tiên
Đến đây, điều bài viết thực sự muốn chia sẻ với bạn đọc không phải là “Triều Tiên vừa đánh cắp bao nhiêu tiền”, mà là một vấn đề còn đáng lưu ý hơn đối với những người làm trong ngành: Trong vài năm qua, khi bàn về ngành tiền mã hóa, sự chú ý của mọi người thường tập trung vào Hồng Kông, Mỹ, Dubai—vào giấy phép, quỹ ETF, tiền ổn định (stablecoin), blockchain công cộng, thanh toán, tài sản thực (RWA), dịch vụ lưu ký… những câu chuyện nổi bật trên bề mặt.
Song một thực tế cứng rắn hơn là: Chính Triều Tiên mới là bên duy nhất, liên tục nhất, bài bản nhất và có tổ chức nhất, đang trực tiếp rút ra những khoản tiền thật từ ngành này.
Nhiều người khi nhắc đến sự hiện diện của Triều Tiên trong ngành tiền mã hóa, phản ứng đầu tiên vẫn là những ấn tượng cũ: tổ chức tin tặc, đánh cắp tiền mã hóa, rửa tiền. Những từ ngữ này tất nhiên không sai, nhưng xét theo tình hình hiện nay, có lẽ chúng vẫn chưa đủ để phản ánh đúng mức độ thực tế.
Vì những gì Triều Tiên đang làm đã vượt xa mức “đánh cắp vài dự án”. Nói chính xác hơn, nước này đang ngày càng vận hành một hệ thống khai thác hoàn chỉnh, xoay quanh toàn bộ ngành tiền mã hóa.
Tầng thứ nhất: Đánh cắp số lượng lớn
Tấn công các sàn giao dịch, cầu nối chéo chuỗi (cross-chain bridges), ví và giao thức để chiếm đoạt tài sản trực tiếp. Bybit là ví dụ tiêu biểu nhất: con số 1,5 tỷ USD không còn đơn thuần là một sự cố trong ngành, mà đã vượt lên một cấp độ khác.
Báo cáo năm 2025 của Chainalysis cũng nêu rõ, các vụ tấn công liên quan đến Triều Tiên chiếm tới 76% tổng số sự cố bị đánh cắp tại các nền tảng dịch vụ trong năm đó, trong khi một vài vụ lớn nhất chiếm phần lớn tuyệt đối tổng thiệt hại. Điều này cho thấy Triều Tiên không phải kiểu “rải lưới bắt cá nhỏ”, mà ngày càng biết tập trung nguồn lực, lựa chọn mục tiêu kỹ lưỡng và “bắt cá lớn”.
Tầng thứ hai: Xâm nhập ngụy trang
Tiếp cận các dự án, xây dựng mối quan hệ và đóng vai những nhân vật trông rất bình thường trong giới chuyên môn. Vụ Drift là điển hình rõ nét nhất. Đối phương không phải một tài khoản lạ xuất hiện đột ngột, mà là người từng gặp mặt tại hội nghị, từng trao đổi trong nhóm chat và từng thảo luận chi tiết nghiệp vụ.
Báo cáo của Reuters cũng chỉ ra rằng các tin tặc Triều Tiên ngày càng thường xuyên thâm nhập ngành tiền mã hóa thông qua việc giả mạo cơ hội việc làm: nhà tuyển dụng giả, website công ty giả, bài kiểm tra kỹ thuật giả và quy trình phỏng vấn giả. Điều đáng sợ ở đây không nằm ở sự mới lạ của các thủ đoạn, mà ở chỗ chúng được thiết kế sát với quy trình làm việc thực tế trong ngành.
Tầng thứ ba: Gián điệp làm việc từ xa
Theo hồ sơ vụ án được Bộ Tư pháp Hoa Kỳ công bố tháng 6 năm 2025, các nhân viên công nghệ thông tin liên quan đến Triều Tiên đã sử dụng danh tính ăn cắp hoặc giả mạo để tìm được việc làm từ xa tại hơn 100 công ty Mỹ; toàn bộ chuỗi hành động phía sau còn bao gồm cả website giả, công ty “mặt tiền”, điểm trung chuyển máy tính và tài khoản rửa tiền.
Thông tin truy nã do FBI công bố cũng cho biết, một số đối tượng đã lợi dụng quyền hạn từ vị trí làm việc từ xa để đánh cắp tiền mã hóa trị giá hơn 900.000 USD từ hai công ty. Đến giai đoạn này, rủi ro không còn đơn thuần là “tấn công từ bên ngoài”, mà đã trở thành “người đã bước vào trong nhà”. Chỉ cần người đã vào được, thì việc tuyển dụng, thiết bị, quyền truy cập kho mã nguồn, quy trình tài chính, quản lý thiết bị đầu cuối—những thứ trước kia tưởng chừng rất vụn vặt—đều biến thành những điểm tấn công an ninh và cướp đoạt tài sản theo kiểu “ngoại ứng nội hợp”.
Tầng thứ tư: Rửa tiền và chuyển đổi thành tiền mặt
Tầng cuối cùng là năng lực rửa tiền và xử lý dòng tiền hậu tấn công. Theo báo cáo của Reuters năm 2024, dựa trên tài liệu của các chuyên gia trừng phạt Liên Hợp Quốc, Triều Tiên đã sử dụng công cụ trộn tiền (mixer) để xử lý 147,5 triệu USD tài sản bị đánh cắp từ các vụ việc trước đó vào tháng 3 năm 2024; báo cáo này cũng nêu rõ, Liên Hợp Quốc nhận định các vụ tấn công mạng này nhằm mục đích thu thập tài chính, né tránh lệnh trừng phạt và hỗ trợ các chương trình vũ khí của nước này.
Triều Tiên không “đánh cắp xong rồi kết thúc”, mà còn sở hữu cả một hệ thống đầy đủ gồm phân chia, chuyển tiếp, làm sạch và tái chuyển đổi thành tiền mặt.
IV. Vì sao lại là ngành tiền mã hóa?
Nhiều dự án nghiêm túc trải qua một chu kỳ thị trường tăng-giảm đã biến mất: đội ngũ tan rã, sản phẩm ngừng hoạt động, giá token về zero. Còn Triều Tiên thì không. Nước này không có buổi ra mắt, không có lộ trình phát triển, cũng chẳng có câu chuyện thương hiệu—nhưng hàng năm đều đều đặn thu tiền từ ngành này, và phương pháp ngày càng chín muồi.
Triều Tiên sẽ tiếp tục theo dõi ngành tiền mã hóa lâu dài không phải vì nước này hứng thú đặc biệt với các khái niệm mới, mà bởi ngành này thực sự “phù hợp” với nhu cầu của họ.
Thứ nhất, tài sản dễ đánh cắp hơn. Trong hệ thống tài chính truyền thống, rất nhiều tiền là Triều Tiên không thể chạm tới, hoặc chi phí để tiếp cận quá cao: ngân hàng, thanh toán bù trừ, giám sát xuyên biên giới, danh sách trừng phạt—mỗi lớp đều là một rào cản. Còn trong thế giới blockchain, chỉ cần tìm được lối vào ở tầng giao diện, thì khả năng phân chia, chuyển chuỗi và tái phân phối ở các tầng sau sẽ rộng mở hơn nhiều. Một khi tài sản bị đánh cắp đã vào hệ thống blockchain, không gian xử lý và độ khó hậu tấn công hoàn toàn khác biệt so với tài chính truyền thống.
Thứ hai, tổ chức dễ thâm nhập hơn. Ngành tiền mã hóa vốn mang tính toàn cầu hóa, làm việc từ xa và tổ chức nhẹ. Mọi người dùng phần mềm mạng xã hội, hội nghị video, nền tảng mã nguồn, công cụ quản lý tài liệu và công cụ phân phối thử nghiệm để vận hành toàn bộ quy trình hợp tác, phát triển, huy động vốn, vận hành, tích hợp và tạo thanh khoản. Bình thường nhìn vào, đây là hiệu quả; nhưng nếu nhìn từ góc độ khác, đây chính là “diện tích tấn công”.
V. Hướng dẫn ứng phó cho các chuyên gia tiền mã hóa
Đối với nhiều dự án tiền mã hóa, đây không phải là tin tức chính trị quốc tế xa vời, mà là một trong những rủi ro vận hành thực tế nhất hiện nay. Đây không chỉ là lời nhắc nhở an ninh trừu tượng, mà là một vấn đề kinh doanh rất cụ thể.
1. Tuyển dụng nhân sự và quản lý làm việc từ xa
Bộ Tư pháp Hoa Kỳ và FBI đã nêu rõ rủi ro một cách rất cụ thể: Các nhân viên công nghệ thông tin liên quan đến Triều Tiên sẽ sử dụng danh tính ăn cắp hoặc giả mạo để tìm việc làm từ xa tại các công ty Mỹ, đồng thời nhận thiết bị do công ty gửi qua các điểm trung chuyển máy tính nằm trên lãnh thổ Mỹ, rồi kết nối vào mạng nội bộ công ty từ xa. Với các đội khởi nghiệp trong ngành tiền mã hóa, bất kỳ vị trí nào tiếp cận kho mã nguồn, môi trường sản xuất, ví tiền, quy trình triển khai hoặc nền tảng tài chính và dữ liệu xác thực danh tính đều không thể chỉ dựa vào sơ yếu lý lịch và kết quả công việc để đánh giá.
Ít nhất cần thực hiện ba việc:
Thứ nhất, xác minh danh tính phải được thực hiện đa chiều, không thể chỉ dựa vào hồ sơ mạng xã hội nghề nghiệp, phỏng vấn video và một tấm ảnh hộ chiếu.
Thứ hai, các vị trí nhạy cảm bắt buộc phải sử dụng thiết bị kiểm soát được; không thể mặc nhiên cho phép sử dụng máy tính cá nhân thuần túy để xử lý nghiệp vụ cốt lõi trong thời gian dài.
Thứ ba, quyền truy cập phải được thiết lập ở mức tối thiểu theo mặc định, đặc biệt với nhân viên thử việc, nhân sự ngoại hạng (outsourcing) và nhân viên hợp đồng—không nên cấp quá nhiều quyền truy cập ngay từ đầu rồi mới tính đến việc thu hồi dần sau này.
2. Xác minh danh tính đối tác
Vụ Drift là một trong những lời cảnh tỉnh mạnh mẽ nhất đối với ngành: Việc từng gặp mặt trực tiếp, trao đổi thuận lợi trên mạng, đặt câu hỏi chuyên sâu, thậm chí đã thực sự đầu tư tiền—tất cả những điều này đều không còn đủ để tự động coi là đáng tin cậy.
Cách làm thực tế hơn là: Việc xác minh không thể dừng lại ở danh thiếp, website và mạng xã hội, mà cần kiểm tra thông tin đăng ký doanh nghiệp, dấu vết dự án trong quá khứ, thành viên đội ngũ thực tế và phản hồi từ những người quen chung; khi cần thiết, yêu cầu đối phương cung cấp tài liệu tổ chức có thể kiểm chứng được. Mức độ tiếp xúc càng kéo dài, hợp tác càng sâu rộng, thì các biện pháp kiểm soát rủi ro càng không được bỏ sót.
3. Nâng cấp kiểm toán an ninh
Hiện nay, nhiều đội ngũ khi nhắc đến kiểm toán an ninh thường chỉ nghĩ đến kiểm toán hợp đồng thông minh, quản lý ví, cấu hình đa chữ ký (multi-sig) và giám sát trên chuỗi. Tất nhiên những việc này đều phải làm, nhưng giờ đây đã không còn đủ.
Điều cần quan tâm hơn là “luồng công việc của con người”: Ai có thể tải kho mã nguồn bên ngoài? Ai tiếp cận thiết bị liên quan đến đa chữ ký? Ai được phép vào môi trường sản xuất? Ai có quyền kích hoạt phê duyệt tài chính? Ai từng sử dụng thiết bị đầu cuối có quyền truy cập vào các hệ thống cốt lõi? Nhiều đội ngũ hiện nay chưa từng hệ thống hóa việc rà soát những câu hỏi này.
Một cách làm thực tế là ít nhất mỗi quý nên tiến hành một lần kiểm toán quyền truy cập và thiết bị đầu cuối: Đầu tiên rà soát danh sách những người có thể tiếp cận đa chữ ký, xem kho mã nguồn cốt lõi, vào môi trường sản xuất và phê duyệt tài chính; sau đó cách ly và kiểm tra rủi ro đối với các thiết bị liên quan. Chính Drift cũng đã cảnh báo trong bản cập nhật của mình: Hãy rà soát đội ngũ, kiểm toán xem ai có quyền truy cập vào đâu, và coi mọi thiết bị từng tiếp cận đa chữ ký đều là mục tiêu tiềm tàng.
4. Ngân sách an ninh là chi phí vận hành
Đối với nhiều đội ngũ nhỏ, khoản chi đầu tiên thường bị cắt giảm là chi phí kiểm toán, kiểm soát rủi ro, thiết kế quy trình và quản lý thiết bị đầu cuối—vì cho rằng đắt, chậm và ảnh hưởng tiến độ kinh doanh. Nhưng đặc điểm nổi bật của các vụ tấn công liên quan đến Triều Tiên trong vài năm qua lại chính là sẵn sàng đầu tư thời gian dài và chi phí không nhỏ để đổi lấy một lần thu hoạch lớn. Điều này phải là hồi chuông cảnh tỉnh rõ ràng đối với những người làm trong ngành tiền mã hóa—những người đang nắm giữ khối tài sản lớn của khách hàng.
Ngành tiền mã hóa phát triển đến hôm nay, mọi người thường thích đặt một câu hỏi: Nó thực sự đã thay đổi điều gì?
Có người nói nó đã thay đổi thanh toán; có người nói nó đã thay đổi cách phát hành tài sản; có người nói nó đã thay đổi cách thức luồng vốn toàn cầu.
Nhưng nếu đưa đường dây Triều Tiên vào cùng phân tích, bạn sẽ nhận ra rằng ít nhất nó đã thay đổi một điều: Nó giúp một quốc gia vốn bị bóp nghẹt khắp nơi trong hệ thống tài chính truyền thống lần đầu tiên tìm ra một công cụ có thể vận hành lâu dài, di chuyển xuyên biên giới và liên tục thu tiền.
Chỉ điều đáng tiếc là, họ đã sử dụng cách thức trực tiếp nhất—và cũng thiếu duyên dáng nhất.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
