Nhóm hacker Triều Tiên càn quét 500 triệu USD trong một tháng, đã trở thành mối đe dọa hàng đầu về an ninh tiền mã hóa

Viết bài: Oluwapelumi Adejumo

Dịch thuật: Chopper, Foresight News

Chỉ trong chưa đầy ba tuần, các tổ chức hacker liên quan đến Triều Tiên đã trộm hơn 5 tỷ USD từ các nền tảng DeFi tiền điện tử, điểm xung đột của các cuộc tấn công của hacker chuyển từ hợp đồng thông minh cốt lõi sang các lỗ hổng hạ tầng ở rìa.

Drift và KelpDAO bị tấn công

Hai vụ tấn công lớn nhắm vào Drift Protocol và KelpDAO đã khiến số tiền kiếm bất hợp pháp của hacker Triều Tiên trong năm nay vượt quá 7 tỷ USD. Những thiệt hại lớn này làm nổi bật chiến thuật của họ: ngày càng thường xuyên khai thác các lỗ hổng phức tạp, thâm nhập sâu vào nội bộ, vượt qua các hàng rào an ninh tiêu chuẩn.

Vào ngày 20 tháng 4, nhà cung cấp hạ tầng chuỗi chéo LayerZero xác nhận: KelpDAO đã bị tấn công vào ngày 18 tháng 4, thiệt hại khoảng 290 triệu USD, trở thành vụ trộm tiền mã hóa lớn nhất từ trước đến nay trong năm 2026. Công ty cho biết, bằng chứng ban đầu trực tiếp chỉ ra TraderTraitor — một nhóm đặc biệt trong nhóm Lazarus danh tiếng của Triều Tiên.

Chỉ vài tuần trước, vào ngày 1 tháng 4, sàn giao dịch hợp đồng vĩnh viễn phi tập trung dựa trên Solana là Drift Protocol đã bị trộm khoảng 286 triệu USD. Công ty phân tích blockchain Elliptic nhanh chóng liên kết các phương pháp rửa tiền, chuỗi giao dịch, chữ ký mạng trên chuỗi với các đường dẫn tấn công đã biết của Triều Tiên, và chỉ ra đây là vụ thứ 18 trong năm nay họ theo dõi được.

Chuyển hướng tấn công: xâm nhập vào rìa hạ tầng

Phương pháp tấn công trong tháng 4 cho thấy hacker Triều Tiên ngày càng trưởng thành trong các cuộc tấn công DeFi. Họ không còn tấn công trực diện vào hợp đồng thông minh cốt lõi nữa, mà chuyển sang tìm và khai thác các lỗ hổng cấu trúc ở rìa.

Lấy ví dụ vụ tấn công KelpDAO: hacker đã xâm nhập vào hạ tầng RPC (gọi từ xa) của mạng xác thực phi tập trung (DVN) do LayerZero Labs vận hành. Bằng cách chỉnh sửa các kênh dữ liệu quan trọng này, kẻ tấn công có thể điều khiển hoạt động của giao thức mà không làm hỏng mã hóa cốt lõi. LayerZero đã vô hiệu hóa các nút bị ảnh hưởng và khôi phục toàn diện DVN, nhưng thiệt hại tài chính đã không thể cứu vãn.

Cách tấn công gián tiếp này tiết lộ sự tiến hóa đáng sợ của chiến tranh mạng. Công ty an ninh chuỗi khối Cyvers nói với CryptoSlate: các hacker liên quan đến Triều Tiên ngày càng tinh vi, đầu tư nhiều hơn vào chuẩn bị và thực thi các cuộc tấn công.

Công ty bổ sung: “Chúng tôi còn quan sát thấy họ luôn tìm ra điểm yếu nhất một cách chính xác. Lần này, điểm xung đột là các thành phần bên thứ ba, chứ không phải hạ tầng cốt lõi của giao thức.”

Chiến lược này gần như tương tự hoạt động gián điệp mạng truyền thống của các doanh nghiệp, đồng thời cho thấy các cuộc tấn công liên quan đến Triều Tiên ngày càng khó phòng ngừa hơn. Các sự kiện gần đây, như các nhà nghiên cứu của Google phát hiện chuỗi cung ứng phần mềm npm Axios bị xâm nhập rộng rãi, liên quan đến tổ chức đe dọa đặc biệt của Triều Tiên là UNC1069, cho thấy: các hacker đang có hệ thống phá hoại phần mềm trước khi nó vào hệ sinh thái blockchain.

Triều Tiên xâm nhập ngành công nghiệp tiền mã hóa toàn cầu

Ngoài các bước đột phá về công nghệ, Triều Tiên còn đang tiến hành xâm nhập quy mô lớn, có tổ chức vào thị trường lao động tiền mã hóa toàn cầu.

Mô hình đe dọa đã chuyển hoàn toàn từ các hoạt động hacker từ xa sang việc cài đặt trực tiếp các nhân viên độc hại vào các công ty khởi nghiệp Web3 không cảnh giác.

Sau sáu tháng điều tra, dự án Ketman của Nhóm An ninh ETH Rangers thuộc Quỹ Ethereum đã đưa ra kết luận đáng kinh ngạc: khoảng 100 đặc vụ mạng của Triều Tiên đang ẩn náu trong nhiều công ty blockchain. Họ sử dụng danh tính giả, dễ dàng qua các kiểm tra nhân sự tiêu chuẩn, lấy quyền truy cập vào các kho mã nội bộ nhạy cảm, rồi âm thầm hoạt động trong nhóm sản phẩm nhiều tháng hoặc nhiều năm, trước khi tiến hành tấn công chính xác.

Các nhà điều tra blockchain độc lập như ZachXBT còn xác nhận thêm về sự ẩn nấp kiểu cơ quan tình báo này. Gần đây, anh đã phơi bày một mạng lưới đặc vụ đặc biệt của Triều Tiên, hoạt động qua các danh tính lừa đảo để làm việc từ xa, trung bình mỗi tháng thu lợi khoảng 1 triệu USD.

Chương trình này thực hiện các giao dịch chuyển đổi tiền mã hóa sang tiền pháp định qua các kênh tài chính toàn cầu được công nhận, từ cuối năm 2025 đã xử lý hơn 3,5 triệu USD.

Theo các chuyên gia trong ngành, tổng số tiền Triều Tiên trộm được có thể lên tới hàng tỷ USD mỗi tháng. Điều này mang lại cho Triều Tiên hai nguồn thu nhập ổn định: lương cố định + các vụ trộm lớn do nội bộ giúp đỡ.

Tổng thiệt hại trộm cắp: 6,75 tỷ USD

Quy mô hoạt động tài sản số của Triều Tiên vượt xa bất kỳ nhóm tội phạm mạng truyền thống nào. Theo công ty phân tích chuỗi khối Chainalysis: chỉ riêng năm 2025, hacker liên quan đến Triều Tiên đã trộm được kỷ lục 2 tỷ USD, chiếm 60% tổng thiệt hại trộm cắp tiền mã hóa toàn cầu trong năm đó.

Xem xét các cuộc tấn công dữ dội trong năm nay, tổng số tài sản mã hóa bị Triều Tiên trộm đã lên tới 6,75 tỷ USD.

Sau khi lấy được tiền, nhóm Lazarus thể hiện mô hình rửa tiền đặc thù, khu vực hóa cao: khác với các tội phạm tiền mã hóa bình thường thường xuyên sử dụng DEX, các giao thức cho vay P2P, hacker Triều Tiên cố tình tránh các kênh này. Dữ liệu trên chuỗi cho thấy họ phụ thuộc nhiều vào các dịch vụ giao dịch đảm bảo của khu vực Trung Quốc, mạng môi giới OTC sâu, dịch vụ trộn tiền chéo phức tạp. Sở thích này cho thấy họ ưu tiên các kênh biến đổi tài chính có giới hạn về mặt địa lý, hạn chế hơn là tiếp cận không giới hạn vào hệ thống tài chính toàn cầu.

Liệu có thể phòng ngừa?

Các nhà nghiên cứu an ninh và lãnh đạo ngành cho rằng, có thể phòng ngừa, nhưng các công ty tiền mã hóa cần giải quyết các điểm yếu vận hành đã bị lộ ra qua các cuộc tấn công lớn.

Người sáng lập Humanity, Terence Kwok, nói với CryptoSlate: các cuộc tấn công liên quan đến Triều Tiên vẫn chủ yếu khai thác các lỗ hổng phổ biến, chứ không phải hình thức xâm nhập mới hoàn toàn. Ông cho rằng, các hacker Triều Tiên đang nâng cao khả năng xâm nhập và chuyển tiền, nhưng nguyên nhân chính vẫn là kiểm soát truy cập kém và rủi ro vận hành tập trung.

Ông giải thích: “Thật đáng kinh ngạc khi thiệt hại vẫn chủ yếu do các vấn đề cũ như kiểm soát truy cập và điểm yếu đơn điểm. Điều này cho thấy ngành vẫn chưa giải quyết được các vấn đề về kỷ luật an ninh cơ bản.”

Dựa trên đó, Kwok nhấn mạnh rằng hàng phòng thủ đầu tiên của ngành là nâng cao độ khó trong việc chuyển tài sản, kiểm soát chặt chẽ hơn các khóa riêng, quyền nội bộ và quyền truy cập của bên thứ ba. Trong thực tế, các công ty cần giảm phụ thuộc vào các nhân viên cá nhân, hạn chế quyền đặc quyền, củng cố các nhà cung cấp, và tăng cường kiểm tra các hạ tầng giữa hợp đồng cốt lõi và thế giới bên ngoài.

Hàng phòng thủ thứ hai là tốc độ. Một khi tiền bị trộm qua chuỗi chéo, cầu nối hoặc vào mạng rửa tiền, khả năng truy đuổi sẽ giảm mạnh. Kwok nói: các sàn giao dịch, nhà phát hành stablecoin, công ty phân tích blockchain và cơ quan thực thi pháp luật phải phối hợp nhanh chóng trong vài phút hoặc vài giờ đầu sau cuộc tấn công để nâng cao khả năng chặn đứng dòng tiền.

Lời ông phản ánh thực tế ngành: điểm yếu nhất của hệ thống tiền mã hóa thường nằm ở điểm giao nhau giữa mã nguồn, nhân sự và vận hành. Một chứng cứ bị trộm, một nhà cung cấp yếu kém, hoặc một lỗ hổng quyền hạn bị bỏ qua cũng đủ gây thiệt hại hàng trăm triệu USD.

Thách thức của DeFi không còn chỉ là viết hợp đồng thông minh vững chắc nữa, mà còn là bảo vệ an toàn vận hành ở các điểm yếu xung quanh giao thức trước khi kẻ tấn công khai thác.