Lazarus Group đang bị nhà chức trách Hàn Quốc nghi ngờ đứng sau vụ hack 30,4 triệu USD tiền điện tử trên sàn Upbit, chỉ ít ngày sau khi Naver Financial công bố kế hoạch sáp nhập Dunamu, công ty vận hành sàn này.
Vụ việc làm dấy lên câu hỏi về an ninh hệ thống và quản trị nội bộ tại một trong những sàn tiền điện tử lớn nhất Hàn Quốc, đồng thời kéo theo bước kiểm tra hiện trường từ cơ quan quản lý và sự giám sát chặt hơn với dòng vốn số.
- Lazarus bị nghi đứng sau vụ hack 44,5 tỷ won (30,4 triệu USD) trên Upbit.
- Cách thức tấn công giống vụ đánh cắp 342.000 ETH từ Upbit năm 2019.
- Sự cố xảy ra ngay sau khi Naver Financial xác nhận sáp nhập Dunamu.
Lazarus bị nghi đứng sau vụ hack 30,4 triệu USD trên Upbit
Nhà chức trách Hàn Quốc nghi Lazarus Group của Triều Tiên đã thực hiện vụ đánh cắp khoảng 44,5 tỷ won, tương đương 30,4 triệu USD tài sản tiền điện tử từ sàn Upbit, sau khi phát hiện các điểm tương đồng với phương thức tấn công năm 2019.
Theo Yonhap, các nguồn tin chính phủ và ngành công nghiệp cho biết cơ quan chức năng đang chuẩn bị kiểm tra hiện trường tại Upbit, trong bối cảnh niềm tin rằng Lazarus đứng sau vụ tấn công ngày thứ Năm gia tăng. Đây là một trong những vụ tấn công mới nhất nhắm vào cơ sở hạ tầng tiền điện tử Hàn Quốc.
Ban đầu, Upbit báo cáo thiệt hại 54 tỷ won, khoảng 36,8 triệu USD, nhưng sau rà soát đã điều chỉnh xuống khoảng 44,5 tỷ won, tương đương 30,4 triệu USD. Con số cập nhật phản ánh số tài sản thực sự bị rút trái phép sau khi sàn tạm dừng nạp rút và tiến hành kiểm tra nội bộ.
Thiệt hại và tài sản tiền điện tử bị ảnh hưởng
Vụ tấn công nhắm vào các tài sản dựa trên Solana, với dòng rút bất thường được Upbit phát hiện và lập tức chặn lại bằng cách đóng nạp rút. Ước tính tổng thiệt hại khoảng 30,4 triệu USD tiền điện tử, bao gồm SOL và các token được phát hành trên hệ Solana.
Dữ liệu onchain cho thấy ví được cho là gắn với kẻ tấn công đã nhanh chóng hoán đổi Solana sang USDC, sau đó bắt đầu bridge tài sản sang mạng Ethereum, theo nền tảng phân tích blockchain Dethective. Chuỗi động thái này cho thấy nỗ lực xóa dấu vết và phân tán tài sản trên nhiều blockchain.
Cách thức tấn công: tài khoản quản trị bị chiếm quyền
Các quan chức Hàn Quốc cho rằng thay vì tấn công trực tiếp máy chủ, tin tặc nhiều khả năng đã chiếm quyền hoặc mạo danh tài khoản quản trị viên, từ đó hợp thức hóa các lệnh chuyển tài sản. Cách tiếp cận này giúp các giao dịch ban đầu trông giống hoạt động nội bộ hợp pháp.
Mô hình tấn công tập trung vào con người và quy trình phê duyệt nội bộ, thay vì khai thác lỗ hổng hạ tầng kỹ thuật, đặt ra câu hỏi về kiểm soát truy cập, xác thực đa lớp và giám sát hành vi của tài khoản quản trị. Đây là điểm yếu phổ biến trong các tổ chức tài chính số, bao gồm sàn giao dịch tiền điện tử.
Liên hệ với vụ hack 342.000 ETH trên Upbit năm 2019
Các nhà điều tra nhận thấy phương thức tấn công hiện tại giống với vụ đánh cắp 342.000 ETH từ Upbit tháng 11 năm 2019. Năm 2023, cảnh sát Hàn Quốc kết luận Lazarus đứng sau vụ việc, củng cố giả thuyết nhóm này tiếp tục nhắm vào cùng mục tiêu với chiến thuật tương tự.
Sự lặp lại về mô hình rút tài sản, đường đi của dòng tiền và dấu vết kỹ thuật đã khiến cơ quan chức năng đặt Lazarus vào tâm điểm điều tra. Đây là một trong những nhóm tin tặc nhà nước bị cáo buộc sử dụng tiền điện tử làm kênh tài trợ cho hoạt động của Triều Tiên, theo nhiều báo cáo quốc tế.
Bối cảnh sáp nhập Naver Financial – Dunamu
Vụ hack diễn ra ngay sau khi Naver Financial chính thức xác nhận sáp nhập Dunamu, công ty vận hành Upbit, biến Dunamu thành công ty con sở hữu hoàn toàn. Thương vụ được quảng bá là bước đi chiến lược nhằm củng cố năng lực tăng trưởng trong lĩnh vực tài sản số.
Thông qua việc tích hợp Dunamu, Naver Financial đặt mục tiêu “bảo đảm động lực tăng trưởng tương lai dựa trên tài sản số”.
– Naver Financial, thông cáo sáp nhập Dunamu
Thời điểm vụ tấn công khiến giới quan sát đặt câu hỏi về rủi ro an ninh mạng trong giai đoạn tái cấu trúc doanh nghiệp. Tuy nhiên, chưa có bằng chứng cho thấy thương vụ sáp nhập liên quan trực tiếp đến lỗ hổng bị khai thác trong sự cố này.
Tác động với thị trường tiền điện tử Hàn Quốc
Vụ hack gây áp lực lên niềm tin đối với hệ sinh thái tiền điện tử Hàn Quốc, nhiều khả năng kéo theo các đợt thanh tra, yêu cầu tuân thủ nghiêm ngặt hơn và đầu tư bổ sung vào an ninh, trong khi hoạt động giao dịch vẫn tiếp tục duy trì trên các sàn lớn.
Trong ngắn hạn, Upbit đối mặt với rủi ro danh tiếng và chi phí khắc phục, bao gồm bồi thường khách hàng nếu cần thiết. Về phía cơ quan quản lý, sự cố này củng cố lập trường siết chặt giám sát, đồng thời thúc đẩy yêu cầu tiêu chuẩn hóa các quy trình bảo mật với tài khoản quản trị và hệ thống giám sát onchain.
Về dài hạn, thị trường Hàn Quốc có thể chứng kiến sự phân hóa giữa các nền tảng đầu tư mạnh vào an ninh và các sàn nhỏ khó đáp ứng tiêu chuẩn mới. Số vụ việc lớn gắn với Lazarus cũng khiến Hàn Quốc trở thành một trong những tâm điểm toàn cầu về rủi ro an ninh mạng trong lĩnh vực tiền điện tử.
Những câu hỏi thường gặp
Ai bị nghi đứng sau vụ hack Upbit mới nhất?
Nhà chức trách Hàn Quốc nghi Lazarus Group của Triều Tiên là thủ phạm vụ hack mới nhất trên Upbit, dựa trên sự tương đồng về phương thức tấn công và dòng tiền với vụ đánh cắp 342.000 ETH từ sàn này vào năm 2019.
Thiệt hại ước tính trong vụ hack Upbit là bao nhiêu?
Upbit ban đầu ước tính thiệt hại khoảng 54 tỷ won, tương đương 36,8 triệu USD, nhưng sau kiểm tra đã điều chỉnh xuống khoảng 44,5 tỷ won, khoảng 30,4 triệu USD, chủ yếu đến từ các tài sản tiền điện tử trên hệ Solana bị rút trái phép.
Nhà chức trách Hàn Quốc đang phản ứng thế nào sau vụ hack?
Cơ quan chức năng Hàn Quốc đang chuẩn bị kiểm tra hiện trường tại Upbit, đồng thời phân tích dữ liệu onchain để lần theo dòng tiền nghi gắn với Lazarus, qua đó xem xét siết chặt thêm các quy định và chuẩn an ninh mạng với sàn giao dịch tiền điện tử.
