Nhóm tin tặc liên quan đến Triều Tiên tiếp tục là mối đe dọa lớn nhất đối với thị trường crypto, với số tiền bị đánh cắp lên tới hàng tỷ USD trong gần một thập kỷ.
Dữ liệu hiện có cho thấy các vụ tấn công không chỉ gây thiệt hại lớn cho từng giao thức mà còn phản ánh cách thức vận hành ngày càng có tổ chức, từ xâm nhập nội bộ đến rửa tiền qua nhiều lớp trung gian.
- Triều Tiên liên quan đến khoảng 6,75 tỷ USD bị đánh cắp trong 263 vụ từ 2016 đến đầu 2026.
- Năm 2025, các tác nhân liên quan đến Triều Tiên chiếm 60% trong tổng 3,4 tỷ USD thiệt hại của ngành.
- Các vụ tấn công gần đây cho thấy xu hướng trà trộn vào hệ sinh thái bằng vai trò IT và rửa tiền qua BTC, mixer, DEX, OTC.
Triều Tiên đang chiếm tỷ trọng lớn trong thiệt hại từ hack crypto
CertiK ước tính các tác nhân liên quan đến Triều Tiên đã đánh cắp khoảng 6,75 tỷ USD qua 263 vụ tấn công từ năm 2016 đến đầu 2026. Con số này cho thấy đây không còn là các vụ xâm nhập rời rạc mà là một chuỗi hoạt động kéo dài, có quy mô và mức độ ổn định cao.
Trong năm 2025, các nhóm này được cho là gây ra 2,06 tỷ USD thiệt hại, tương đương 60% tổng 3,4 tỷ USD mất mát của toàn ngành. Sang năm 2026, họ đã liên quan đến 620 triệu USD trong tổng 1,1 tỷ USD bị đánh cắp tính đến hiện tại, tương ứng 55% thiệt hại từ đầu năm.
Với các số liệu hiện có, rủi ro không chỉ nằm ở số tiền bị mất mà còn ở khả năng các nhóm tấn công tiếp tục nhắm vào những mục tiêu có giá trị lớn hơn. Điều này khiến an ninh vận hành và kiểm soát nội bộ trở thành điểm cần theo dõi sát hơn trong toàn bộ hệ sinh thái.
Cách tấn công đã chuyển từ bên ngoài vào bên trong
Các nhóm này được mô tả là đã thay đổi cách tiếp cận, trong đó có việc giả danh nhân sự IT để thâm nhập vào các sàn và nền tảng lớn từ bên trong. Đây là bước chuyển quan trọng vì nó làm giảm hiệu quả của những lớp phòng thủ chỉ tập trung vào tấn công từ bên ngoài.
TRM Labs cho biết vụ rò rỉ 285 triệu USD của Drift xảy ra sau các cuộc gặp trực tiếp giữa các đại diện Triều Tiên và nhân viên giao thức. Cách thức này được đánh giá là chưa từng có trong chiến dịch hack crypto kéo dài của quốc gia này.
Nội dung trích dẫn đã dịch.
– TRM Labs, nhận xét về kỹ thuật được dùng trong vụ Drift
Trong cùng năm, vụ KelpDAO mất 294 triệu USD được mô tả là vụ cướp lớn nhất của họ, do một nhóm mới tách biệt với Lazarus thực hiện. Trong khi đó, vụ Bybit năm ngoái với thiệt hại 1,5 tỷ USD vẫn được gắn với Lazarus, cho thấy hệ sinh thái tác nhân tấn công có thể đang phân nhánh thành nhiều nhóm khác nhau.
Dòng tiền sau hack thường được che giấu như thế nào
Sau mỗi vụ tấn công, các nhóm này thường im lặng một thời gian trước khi bắt đầu giai đoạn rửa tiền. Dòng tài sản thường được chuyển sang BTC rồi đi qua các mixer như Thorchain hoặc Tornado Cash, sau đó tiếp tục qua DEX và bàn OTC.
Cách đi tiền nhiều lớp như vậy khiến quá trình truy vết trở nên khó khăn hơn, đặc biệt khi tiền bị phân tán qua nhiều nền tảng có tính thanh khoản cao. Với các đơn vị an ninh và điều tra on-chain, đây là giai đoạn có vai trò then chốt nếu muốn giảm khả năng tẩu tán tài sản sau hack.
Biện pháp theo dõi sớm đang được chú ý hơn
Trước mức độ thiệt hại ngày càng lớn, các nỗ lực giám sát sớm trên blockchain đang được thúc đẩy để phát hiện rủi ro trước khi tài sản bị rút đi hoàn toàn. Song song với đó, chính phủ Mỹ cũng đang cân nhắc mở rộng việc chia sẻ tình báo đe dọa từ khu vực tài chính sang các công ty crypto.
Điểm đáng theo dõi là khả năng phối hợp giữa các đơn vị an ninh, sàn giao dịch và cơ quan quản lý sẽ ảnh hưởng trực tiếp đến tốc độ phát hiện, đóng băng và truy vết dòng tiền. Trong bối cảnh các nhóm tấn công tiếp tục thay đổi phương thức, phòng thủ sớm đang trở thành lớp bảo vệ quan trọng hơn.
Tổng kết
Các số liệu cho thấy hoạt động của nhóm tin tặc liên quan đến Triều Tiên vẫn là một trong những rủi ro an ninh lớn nhất của thị trường crypto, cả về quy mô thiệt hại lẫn mức độ tinh vi trong cách tấn công và rửa tiền.
