Bắc Triều Tiên lập kỷ lục trộm tiền điện tử năm 2025 khi chiếm đoạt 2,02 tỷ USD dù số vụ tấn công ít hơn, cho thấy chiến lược chuyển sang các vụ xâm nhập có chủ đích, giá trị lớn.
Dữ liệu từ Chainalysis mô tả một mô hình rủi ro mới: không còn “đánh nhiều ăn ít”, mà là nhắm thẳng vào tổ chức và con người trong hệ sinh thái crypto, khiến doanh nghiệp, sàn giao dịch và người dùng cá nhân phải điều chỉnh cách phòng thủ.
- Năm 2025, nhóm liên quan tới DPRK đánh cắp 2,02 tỷ USD tiền điện tử dù số vụ việc giảm.
- Chiến thuật chuyển sang xâm nhập có chủ đích: mạo danh, chiếm quyền nhà thầu, truy cập “upstream” để rút tiền.
- Rửa tiền theo chu kỳ 45 ngày và gia tăng “wallet drain” ở người dùng cá nhân dù DeFi giảm exploit cấp giao thức.
Bắc Triều Tiên lập kỷ lục trộm tiền điện tử năm 2025 dù số vụ giảm
Chainalysis ghi nhận năm 2025, các nhóm liên quan tới Bắc Triều Tiên đã đánh cắp 2,02 tỷ USD tiền điện tử, cao nhất từ trước tới nay, trong khi tổng số sự cố lại giảm.
Bức tranh chung cho thấy DPRK đang ưu tiên các vụ xâm nhập “ít nhưng chất lượng”, thay vì lặp lại mô hình khai thác diện rộng như các chu kỳ trước. Theo mô tả trong báo cáo, trọng tâm chuyển sang các cuộc đột nhập sâu, nhắm đúng mục tiêu, nhằm tối đa hóa giá trị thu được trên mỗi chiến dịch.
Đáng chú ý, vụ vi phạm Bybit trị giá 1,5 tỷ USD là yếu tố lớn kéo tổng thiệt hại tăng mạnh, nhưng Chainalysis nhấn mạnh xu hướng này không chỉ đến từ một sự kiện đơn lẻ. Mẫu số chung là “đánh vào tổ chức”, thay vì chỉ tìm lỗ hổng kỹ thuật trong codebase.
Trong các kịch bản được nêu, kẻ tấn công tập trung xâm nhập con người và hệ thống nội bộ: mạo danh lãnh đạo, xâm phạm tài khoản/thiết bị của nhà thầu, hoặc giành quyền truy cập thượng nguồn để mở đường rút tiền. Điều này báo hiệu rủi ro vận hành và rủi ro quản trị đang trở thành bề mặt tấn công quan trọng của doanh nghiệp crypto.
Để theo dõi các tín hiệu thị trường liên quan như biến động giá/volume/thanh khoản và các công cụ phái sinh (OI, funding, thanh lý) trong những giai đoạn có tin tức an ninh mạng, nhà đầu tư thường tham khảo thêm các góc nhìn phân tích và công cụ hỗ trợ trên BingX.
Chiến lược trộm cắp chuyển từ tấn công diện rộng sang xâm nhập có chủ đích
Chainalysis cho biết DPRK đang dịch chuyển từ các exploit tần suất cao sang các vụ xâm nhập chính xác, giá trị lớn, tập trung vào quy trình và con người hơn là chỉ hợp đồng thông minh.
Chainalysis mô tả các nhóm liên quan tới Bắc Triều Tiên ưu tiên “deep, targeted intrusions” thay cho mô hình khai thác rộng. Đây là dấu hiệu của một giai đoạn mới trong khai thác tiền điện tử cấp nhà nước: ít vụ hơn, nhưng mức độ thiệt hại và độ tinh vi cao hơn.
Thay vì chỉ săn lỗi trong hạ tầng on-chain, báo cáo nhấn mạnh các chiến thuật như giả danh (impersonation), khai thác chuỗi cung ứng nhân sự (contractor compromise), và xâm nhập hệ thống nội bộ để tạo quyền truy cập dai dẳng. Khi đã chiếm được điểm tựa trong tổ chức, kẻ tấn công có thể vượt qua nhiều lớp kiểm soát kỹ thuật vốn chỉ tập trung vào “code security”.
Cách tiếp cận này khiến các mô hình phòng thủ cũ dễ hụt: audit hợp đồng và hardening giao thức vẫn cần thiết, nhưng không đủ, nếu quy trình vận hành, quyền truy cập, phê duyệt đa chữ ký, và kỷ luật an ninh của nhân sự không được kiểm soát chặt.
DPRK tăng tốc rửa tiền bằng mạng lưới luân chuyển nhanh theo chu kỳ 45 ngày
Chainalysis nêu DPRK dùng một chu kỳ rửa tiền 45 ngày có thể lặp lại, kết hợp trộn (mixer), “chain-hop” qua bridge, rồi off-ramp qua kênh OTC và instant exchanger.
Báo cáo cho biết quy trình làm sạch dòng tiền thường bắt đầu bằng che giấu nhanh qua mixer, tiếp đến là chuyển chuỗi qua các bridge nhằm làm mờ dấu vết, trước khi đưa ra tiền pháp định hoặc tài sản dễ tiêu thụ thông qua các OTC broker dùng tiếng Trung và các dịch vụ đổi nhanh (instant exchangers).
- Che giấu nhanh qua mixer.
- Chuyển chuỗi qua bridge để “chain-hop”.
- Off-ramp qua OTC tiếng Trung và instant exchanger.
Chainalysis cũng ghi nhận việc sử dụng các kênh off-ramp này của nhóm liên quan DPRK tăng mạnh, trong khoảng 97% đến 1.000% tùy mạng lưới. Điều này nhấn mạnh thách thức cho hoạt động điều tra on-chain và thực thi tuân thủ, vì tốc độ luân chuyển cao làm giảm “cửa sổ” phong tỏa tài sản sau sự cố.
Người dùng cá nhân đối mặt làn sóng “wallet drain” và chiếm đoạt tài khoản
Năm 2025 có 158.000 vụ hack ví cá nhân, gấp ba lần năm 2022; tổng giá trị bị đánh cắp từ ví giảm còn 713 triệu USD nhưng người dùng Solana chịu thiệt hại lớn nhất.
Chainalysis phân biệt rủi ro theo nhóm nạn nhân: tổ chức chịu các vụ mất mát lớn nhất theo giá trị, còn người dùng cá nhân chịu số vụ việc tăng lên dưới dạng chiếm quyền tài khoản và rút sạch ví (mass wallet drains). Dù tổng thiệt hại từ ví giảm so với trước, tần suất sự cố cao phản ánh điểm yếu ở lớp người dùng cuối.
Báo cáo ghi nhận Solana là hệ sinh thái bị ảnh hưởng mạnh nhất ở nhóm ví cá nhân. Điều này cho thấy ngay cả khi một số mảng DeFi cải thiện tư thế an ninh, bề mặt tấn công vẫn “dịch chuyển” sang thói quen bảo mật, phishing, và các điểm chạm ngoài chuỗi của người dùng.
DeFi giảm exploit cấp giao thức, nhưng lớp tổ chức trở thành điểm yếu mới
Chainalysis cho biết các vụ exploit trực tiếp ở cấp giao thức DeFi tương đối thấp, trong khi kẻ tấn công chuyển sang nhắm vào lớp tổ chức quanh nền tảng.
Báo cáo nêu dù TVL DeFi tăng, số vụ khai thác thành công ở cấp “protocol-level” lại thấp một cách đáng chú ý. Thay vào đó, kẻ tấn công tập trung vào mắt xích vận hành và nhân sự, nơi có thể mở đường cho truy cập đặc quyền, thay đổi quy trình phê duyệt, hoặc can thiệp hỗ trợ khách hàng để chiếm đoạt tài sản.
- Nhà thầu IT.
- Giám đốc điều hành.
- Nhân sự chăm sóc khách hàng.
- Quản trị viên hệ thống nội bộ.
- Trọng tâm tấn công chuyển sang con người thay vì smart contract.
Hàm ý thực tiễn là các mô hình bảo mật truyền thống vốn ưu tiên audit code và tăng cường hợp đồng thông minh không còn bao phủ đầy đủ các lỗ hổng bị khai thác nhiều nhất. Kiểm soát truy cập, phân tách nhiệm vụ, giám sát nội bộ, đào tạo chống mạo danh và quy trình phản ứng sự cố trở thành yêu cầu cốt lõi.
Rủi ro an ninh tiền điện tử toàn cầu bước sang giai đoạn mới
Chainalysis cảnh báo hoạt động mạng của DPRK đã đạt mức tinh vi đòi hỏi cách tiếp cận an ninh mới; tổng trộm cắp trọn đời đạt 6,75 tỷ USD.
Với tổng số tiền điện tử bị đánh cắp lũy kế được nêu là 6,75 tỷ USD, Chainalysis đánh giá Bắc Triều Tiên vẫn là tác nhân cấp nhà nước nguy hiểm nhất đối với ngành. Điểm mấu chốt không chỉ nằm ở quy mô thiệt hại, mà ở khả năng thích nghi chiến thuật: chọn mục tiêu chính xác, khai thác quy trình tổ chức, rồi rửa tiền nhanh theo mô hình có thể lặp.
Trong bối cảnh này, “an ninh crypto” cần được hiểu là bài toán tổng thể gồm công nghệ, con người, và vận hành. Các tổ chức nên ưu tiên giảm rủi ro mạo danh, quản trị nhà thầu, quản lý khóa và quyền hạn, đồng thời chuẩn hóa giám sát giao dịch bất thường để rút ngắn thời gian phát hiện và ngăn chặn.
Những câu hỏi thường gặp
Năm 2025 Bắc Triều Tiên đã đánh cắp bao nhiêu tiền điện tử?
Theo Chainalysis, các nhóm liên quan tới DPRK đã đánh cắp 2,02 tỷ USD tiền điện tử trong năm 2025, mức cao nhất từng ghi nhận.
Vì sao số vụ tấn công giảm nhưng thiệt hại lại lập kỷ lục?
Báo cáo cho rằng chiến lược đã chuyển sang các vụ xâm nhập có chủ đích và giá trị lớn, nhắm vào con người và hệ thống nội bộ như mạo danh, chiếm quyền nhà thầu và truy cập thượng nguồn để rút tiền.
Chu kỳ rửa tiền 45 ngày được mô tả gồm những bước nào?
Chainalysis nêu chu kỳ gồm che giấu nhanh qua mixer, chuyển chuỗi qua bridge để “chain-hop”, sau đó off-ramp thông qua OTC broker dùng tiếng Trung và các dịch vụ instant exchanger.
Người dùng cá nhân bị ảnh hưởng ra sao trong năm 2025?
Có 158.000 vụ hack ví cá nhân trong năm 2025 (gấp ba lần 2022) và tổng giá trị bị đánh cắp từ ví là 713 triệu USD; người dùng Solana chịu thiệt hại lớn nhất theo báo cáo.
Vì sao DeFi “an toàn hơn” nhưng tổ chức lại trở thành điểm yếu?
Số vụ exploit cấp giao thức được ghi nhận là thấp, trong khi kẻ tấn công chuyển sang nhắm vào lớp tổ chức quanh nền tảng như nhà thầu IT, lãnh đạo, hỗ trợ khách hàng và quản trị hệ thống, tức các điểm yếu về quy trình và con người.
