Tin tặc Triều Tiên đánh cắp 500 triệu đô la Mỹ trong một tháng, trở thành mối đe dọa hàng đầu đối với an ninh tiền mã hóa
Tuyển chọn TechFlowTuyển chọn TechFlow
Tin tặc Triều Tiên đánh cắp 500 triệu đô la Mỹ trong một tháng, trở thành mối đe dọa hàng đầu đối với an ninh tiền mã hóa
Giao thức Drift và KelpDAO bị tấn công, lần lượt thiệt hại khoảng 286 triệu USD và 290 triệu USD; kẻ tấn công nhắm vào cơ sở hạ tầng ngoại vi của các giao thức.
Chuyên sâu báo cáo Web3Tác giả: Oluwapelumi Adejumo
Biên dịch: Chopper, Foresight News
Chỉ trong chưa đầy ba tuần, một tổ chức tin tặc liên quan đến Triều Tiên đã đánh cắp hơn 500 triệu đô la Mỹ từ các nền tảng DeFi tiền mã hóa. Điểm tấn công của tin tặc đã chuyển từ các hợp đồng thông minh cốt lõi sang các lỗ hổng ở rìa hạ tầng.
Các vụ tấn công vào Drift và KelpDAO
Hai vụ tấn công lớn nhằm vào Drift Protocol và KelpDAO đã đẩy tổng số tiền mã hóa bất hợp pháp mà các tin tặc Triều Tiên thu được trong năm nay vượt mốc 700 triệu đô la Mỹ. Mức tổn thất khổng lồ này làm nổi bật sự thay đổi chiến thuật của chúng: ngày càng thường xuyên khai thác các lỗ hổng phức tạp và tiến hành xâm nhập sâu bằng nhân sự nội gián để vượt qua các hàng rào an ninh tiêu chuẩn.
Ngày 20 tháng 4, nhà cung cấp hạ tầng chéo chuỗi LayerZero xác nhận rằng KelpDAO đã bị tấn công vào ngày 18 tháng 4, thiệt hại khoảng 290 triệu đô la Mỹ — trở thành vụ trộm tiền mã hóa đơn lẻ lớn nhất tính đến thời điểm hiện tại trong năm 2026. Công ty cho biết bằng chứng sơ bộ trực tiếp chỉ về TraderTraitor — một nhóm chuyên biệt thuộc tổ chức Lazarus Group nổi tiếng của Triều Tiên.
Chỉ vài tuần trước đó, vào ngày 1 tháng 4, sàn giao dịch phái sinh vĩnh viễn phi tập trung trên Solana là Drift Protocol đã bị đánh cắp khoảng 286 triệu đô la Mỹ. Công ty phân tích blockchain Elliptic nhanh chóng liên kết các phương thức rửa tiền trên chuỗi, trình tự giao dịch và chữ ký mạng với các dấu vết tấn công đã biết của Triều Tiên, đồng thời xác nhận đây là vụ việc thứ 18 cùng loại mà họ theo dõi được trong năm nay.
Sự chuyển hướng tấn công: Xâm nhập vào vùng ngoại vi hạ tầng
Các thủ đoạn tấn công trong tháng Tư cho thấy khả năng tấn công vào hệ sinh thái DeFi của các tin tặc Triều Tiên ngày càng trưởng thành. Họ không còn tấn công trực diện vào các hợp đồng thông minh cốt lõi, mà thay vào đó tìm kiếm và khai thác các lỗ hổng ở vị trí cấu trúc ngoại biên.
Vụ tấn công vào KelpDAO là một ví dụ điển hình: tin tặc đã chiếm quyền kiểm soát hạ tầng RPC (gọi từ xa) phụ trợ được sử dụng bởi Mạng xác thực phi tập trung (DVN) của LayerZero Labs. Bằng cách thao túng các kênh dữ liệu then chốt này, kẻ tấn công đã điều khiển hoạt động của giao thức mà không cần phá vỡ nền tảng mật mã cốt lõi. LayerZero đã ngừng vận hành các nút bị ảnh hưởng và khôi phục toàn bộ DVN, nhưng tổn thất tài chính thì không thể khắc phục.
Cách tấn công gián tiếp này tiết lộ một bước tiến đáng lo ngại trong chiến tranh mạng. Công ty an ninh blockchain Cyvers chia sẻ với CryptoSlate rằng các đối tượng tấn công liên quan đến Triều Tiên ngày càng tinh vi hơn và đang đầu tư nhiều nguồn lực hơn vào cả giai đoạn chuẩn bị lẫn thực thi tấn công.
Công ty này bổ sung: «Chúng tôi cũng quan sát thấy, chúng luôn có thể xác định chính xác điểm yếu nhất. Lần này, điểm đột phá nằm ở các thành phần bên thứ ba chứ không phải hạ tầng cốt lõi của giao thức.»
Chiến lược này rất giống với các hoạt động gián điệp mạng truyền thống trong doanh nghiệp, đồng nghĩa với việc các cuộc tấn công liên quan đến Triều Tiên ngày càng khó phòng thủ hơn. Các sự kiện gần đây — như việc một nhà nghiên cứu của Google phát hiện vụ xâm nhập chuỗi cung ứng gói npm Axios phổ biến rộng rãi, được xác định có liên hệ với tổ chức đe dọa đặc biệt của Triều Tiên là UNC1069 — cho thấy những kẻ tấn công đang phá hoại phần mềm ngay từ giai đoạn trước khi nó được đưa vào hệ sinh thái blockchain.
Triều Tiên xâm nhập lực lượng lao động toàn cầu trong ngành tiền mã hóa
Bên cạnh những đột phá kỹ thuật, Triều Tiên hiện cũng đang tiến hành xâm nhập quy mô lớn và có tổ chức vào thị trường lao động tiền mã hóa toàn cầu.
Mô hình đe dọa đã hoàn toàn chuyển dịch từ các hoạt động tin tặc từ xa sang việc bố trí trực tiếp các cá nhân độc hại vào các công ty khởi nghiệp Web3 thiếu cảnh giác.
Dự án Ketman thuộc chương trình an ninh ETH Rangers của Quỹ Ethereum, sau sáu tháng điều tra, đã đưa ra kết luận gây sốc: khoảng 100 đặc vụ mạng Triều Tiên đang ẩn nấp bên trong nhiều công ty blockchain. Họ sử dụng danh tính giả, dễ dàng vượt qua các quy trình tuyển dụng nhân sự tiêu chuẩn, giành được quyền truy cập vào các kho mã nguồn nội bộ nhạy cảm và âm thầm nằm vùng trong các đội sản phẩm suốt nhiều tháng, thậm chí nhiều năm, trước khi tiến hành các cuộc tấn công chính xác.
Nhà điều tra blockchain độc lập ZachXBT đã thêm bằng chứng xác thực cho mô hình nằm vùng mang tính cơ quan tình báo này. Gần đây, ông phơi bày một mạng lưới đặc biệt của Triều Tiên, hoạt động bằng cách sử dụng danh tính gian lận để xin việc làm từ xa, thu lợi trung bình khoảng 1 triệu đô la Mỹ mỗi tháng.
Giải pháp này thực hiện chuyển tiền từ tiền mã hóa sang tiền pháp định thông qua các kênh tài chính toàn cầu được công nhận, và kể từ cuối năm 2025 đã xử lý hơn 3,5 triệu đô la Mỹ.
Theo ước tính của giới chuyên gia trong ngành, tổng thu nhập hàng tháng mà lực lượng IT do Triều Tiên triển khai tạo ra lên tới hàng triệu đô la Mỹ. Điều này mang lại cho Triều Tiên hai luồng thu nhập: thu nhập lương ổn định + khoản lợi nhuận khổng lồ từ các vụ trộm giao thức nhờ sự hỗ trợ của nhân sự nội bộ.
Tổng số tiền bị đánh cắp đạt 6,75 tỷ đô la Mỹ
Quy mô hoạt động tài sản kỹ thuật số của Triều Tiên vượt xa mọi tổ chức tội phạm mạng truyền thống. Theo công ty phân tích blockchain Chainalysis, riêng trong năm 2025, các tin tặc liên quan đến Triều Tiên đã đánh cắp kỷ lục 2 tỷ đô la Mỹ — chiếm 60% tổng số tiền mã hóa bị đánh cắp trên toàn cầu trong năm đó.
Xét đến mức độ dữ dội của các cuộc tấn công trong năm nay, tổng giá trị tài sản mã hóa bị Triều Tiên đánh cắp trong lịch sử đã lên tới 6,75 tỷ đô la Mỹ.
Sau khi chiếm được tiền, nhóm Lazarus Group thể hiện mô hình rửa tiền mang tính đặc thù cao và khu vực hóa rõ rệt: khác với các tội phạm mã hóa thông thường thường xuyên sử dụng DEX và các giao thức cho vay ngang hàng (P2P), các tin tặc Triều Tiên cố ý tránh xa các kênh này. Dữ liệu trên chuỗi cho thấy chúng phụ thuộc mạnh vào các dịch vụ giao dịch có bảo lãnh tại Trung Quốc, các mạng môi giới OTC chuyên sâu và các dịch vụ trộn tiền chéo chuỗi phức tạp. Sở thích này phản ánh các hạn chế cấu trúc và các kênh chuyển đổi bị giới hạn về mặt địa lý, chứ không phải khả năng tiếp cận vô hạn vào hệ thống tài chính toàn cầu.
Liệu có thể phòng ngừa?
Các nhà nghiên cứu an ninh và lãnh đạo doanh nghiệp trong ngành đều cho rằng việc phòng ngừa là khả thi, nhưng các doanh nghiệp tiền mã hóa buộc phải giải quyết những điểm yếu vận hành giống nhau đã bộc lộ qua nhiều vụ tấn công nghiêm trọng.
Terence Kwok, người sáng lập Humanity, chia sẻ với CryptoSlate rằng các cuộc tấn công liên quan đến Triều Tiên vẫn chủ yếu nhắm vào các lỗ hổng phổ biến, chứ không phải các hình thức xâm nhập mạng mới. Ông cho rằng các đối tượng tấn công Triều Tiên đang nâng cao cả khả năng xâm nhập lẫn khả năng di chuyển tiền bất hợp pháp, nhưng gốc rễ vấn đề vẫn nằm ở việc kiểm soát truy cập kém và rủi ro vận hành tập trung.
Ông giải thích: «Điều đáng kinh ngạc là những tổn thất vẫn bắt nguồn từ những vấn đề cũ như kiểm soát truy cập và điểm lỗi duy nhất. Điều này cho thấy ngành công nghiệp vẫn chưa giải quyết được các nguyên tắc kỷ luật an ninh cơ bản.»
Theo đó, Kwok nhấn mạnh hàng rào phòng thủ đầu tiên của ngành là tăng đáng kể độ khó khi thực hiện chuyển tài sản, đồng thời áp dụng kiểm soát chặt chẽ hơn đối với khóa riêng, quyền truy cập nội bộ và quyền truy cập của bên thứ ba. Trên thực tế, doanh nghiệp cần giảm sự phụ thuộc vào các cá nhân vận hành, hạn chế quyền đặc quyền, tăng cường bảo mật đối với các nhà cung cấp và bổ sung thêm các lớp xác thực giữa hạ tầng cốt lõi của giao thức và thế giới bên ngoài.
Hàng rào phòng thủ thứ hai là tốc độ. Một khi tiền bị đánh cắp đã chuyển chuỗi, vượt cầu nối hoặc đi vào mạng lưới rửa tiền, khả năng truy hồi sẽ giảm mạnh. Kwok cho biết các sàn giao dịch, nhà phát hành stablecoin, công ty phân tích blockchain và cơ quan thực thi pháp luật phải phối hợp tức thời trong vài phút hoặc vài giờ đầu tiên sau vụ tấn công để nâng cao khả năng chặn giữ tiền.
Lời nhận định của ông phản ánh thực tế của ngành: điểm yếu nhất của hệ thống tiền mã hóa thường nằm tại giao điểm giữa mã nguồn, con người và vận hành. Chỉ một chứng thư bị đánh cắp, một nhà cung cấp yếu kém hoặc một lỗ hổng quyền truy cập bị bỏ qua cũng đủ gây ra tổn thất hàng trăm triệu đô la Mỹ.
Thách thức đối với DeFi giờ đây không còn chỉ là viết các hợp đồng thông minh vững chắc, mà là đảm bảo an toàn vận hành ở vùng ngoại vi của giao thức — trước khi kẻ tấn công khai thác điểm yếu tiếp theo.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@CryptoSlate
