Các hacker đến từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK), đã đánh cắp tổng cộng 2,02 tỷ USD crypto kể từ đầu năm 2025, theo báo cáo do Chainalysis công bố hôm thứ Năm.
Con số này tăng 51% so với năm 2024 và trở thành mức cao nhất từng được ghi nhận đối với các vụ trộm crypto có liên quan đến Triều Tiên. Tổng giá trị crypto bị đánh cắp trên toàn thị trường trong năm nay đạt khoảng 3,4 tỷ USD, đồng nghĩa các cuộc tấn công do hacker DPRK thực hiện chiếm tới 59% tổng thiệt hại.
Chainalysis cho rằng dữ liệu phản ánh một sự “tiến hóa” trong chiến lược của hacker Triều Tiên: số vụ tấn công giảm, nhưng mức độ thiệt hại của mỗi vụ lại tăng mạnh. Vụ hack Bybit trị giá 1,5 tỷ USD hồi tháng 2, mà FBI xác định có liên quan đến DPRK, được xem là ví dụ điển hình cho xu hướng này.
Theo Chainalysis, sự thay đổi này đặt ra yêu cầu cấp thiết đối với ngành crypto trong việc tăng cường bảo vệ các mục tiêu có giá trị lớn, đồng thời cải thiện khả năng phát hiện các mô hình rửa tiền đặc thù của hacker Triều Tiên. Báo cáo nhấn mạnh rằng các nhóm này có xu hướng sử dụng những loại dịch vụ và quy mô giao dịch nhất định, tạo ra dấu vết on-chain riêng biệt, giúp phân biệt họ với các hacker và tội phạm mạng khác.
Mô hình rửa tiền ba giai đoạn
Chainalysis cho biết họ đã xác định được một mô hình rửa tiền đặc trưng kéo dài khoảng 45 ngày, gồm ba giai đoạn, thường xuyên được hacker Triều Tiên áp dụng. Các dấu hiệu bao gồm việc sử dụng các dịch vụ có ngôn ngữ tiếng Trung, phụ thuộc nhiều vào bridge tài sản giữa các blockchain nhằm gây nhiễu hoạt động truy vết, cũng như gia tăng sử dụng các dịch vụ trộn crypto. Mô hình này đã xuất hiện liên tục trong nhiều năm và đủ cơ sở để liên kết các cuộc tấn công với DPRK.
Theo Chainalysis, trong nhiều trường hợp, crypto bị đánh cắp được sử dụng trực tiếp để tài trợ cho các chương trình vũ khí hủy diệt hàng loạt của Triều Tiên. Andrew Fierman, Trưởng bộ phận tình báo an ninh quốc gia tại Chainalysis, cho biết các báo cáo gần đây đã chỉ ra rằng số tiền này được dùng để mua sắm nhiều loại khí tài, từ xe bọc thép cho đến các hệ thống tên lửa phòng không vác vai.
Dữ liệu lịch sử cho thấy mức độ leo thang rõ rệt. Năm 2023, hacker liên kết với Triều Tiên đã đánh cắp khoảng 660,5 triệu USD thông qua 20 vụ tấn công. Sang năm 2024, con số này tăng lên 1,34 tỷ USD qua 47 vụ, tương đương mức tăng gần 103% về giá trị bị chiếm đoạt.
Xâm nhập từ nội bộ và chuỗi cung ứng phần mềm
Ngày càng nhiều cuộc tấn công xuất phát từ các hacker được thuê hoặc tìm cách được tuyển dụng vào các công ty crypto. Sau khi giành được quyền truy cập đặc quyền, các đối tượng này sẽ đánh cắp dữ liệu quan trọng hoặc trực tiếp chiếm đoạt tài sản.
Binance cho biết hacker Triều Tiên tìm cách ứng tuyển vào sàn giao dịch này gần như mỗi ngày. Giám đốc an ninh Jimmy Su tiết lộ rằng các đối tượng thậm chí còn sử dụng video trực tiếp do AI tạo ra và công cụ biến đổi giọng nói trong các cuộc phỏng vấn. Binance đã xác định được nhiều dấu hiệu nhận diện đặc trưng và chia sẻ thông tin này với các sàn giao dịch khác thông qua Telegram và Signal.
Ngoài ra, hacker Triều Tiên còn bị phát hiện cài mã độc vào các gói thư viện mã nguồn mở trên NPM – những thư viện được sử dụng phổ biến trong giới lập trình. Binance thừa nhận mối đe dọa này và cho biết các lập trình viên buộc phải rà soát cực kỳ kỹ lưỡng từng thư viện trước khi tích hợp vào hệ thống.
Một báo cáo khác từ ReversingLabs cho thấy hai gói mã nguồn mở sử dụng smart contract Ethereum để tải mã độc, nằm trong một chiến dịch tấn công tinh vi thông qua các thư viện blockchain bị đầu độc – một vector tấn công mà Binance trước đó từng liên hệ trực tiếp với hacker Triều Tiên.
Cảnh báo cho năm 2026
Chainalysis cảnh báo rằng khi Triều Tiên tiếp tục sử dụng crypto bị đánh cắp để tài trợ cho các ưu tiên chiến lược của nhà nước và né tránh các lệnh trừng phạt quốc tế, ngành crypto cần nhận thức rõ rằng đây là một nhóm hacker hoạt động theo những quy tắc hoàn toàn khác so với tội phạm mạng thông thường.
Báo cáo kết luận rằng kỷ lục trong năm 2025 — đạt được dù số vụ tấn công được ghi nhận giảm tới 74% — cho thấy thị trường có thể mới chỉ nhìn thấy phần nổi của mối đe dọa. Thách thức lớn nhất trong năm 2026 sẽ là phát hiện và ngăn chặn các chiến dịch quy mô lớn trước khi hacker liên kết với DPRK gây ra thêm những sự cố mang tầm vóc tương đương Bybit.
- Hacker Triều Tiên biến thư viện phần mềm thành công cụ phát tán mã độc
- Hacker Triều Tiên đánh cắp 2,83 tỷ USD crypto trong chưa đầy hai năm: Báo cáo
- Hacker Triều Tiên bị bắt quả tang khi giả danh ứng viên crypto tại Mỹ
Thạch Sanh
Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, CoinPhoton.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
Theo dõi chúng tôi ngay:
- Telegram: @coinphoton_vn
X (Twitter): @coinphoton_vi
Discord: @coinphoton_vn
- Thẻ đính kèm:
- Binance
- Bybit
- Chainalysis
