Báo cáo về hoạt động trộm cắp tiền điện tử của Triều Tiên
Theo báo cáo mới nhất từ công ty bảo mật blockchain CertiK, các tin tặc Triều Tiên đã đánh cắp tổng cộng 6,75 tỷ USD tiền điện tử qua 263 sự cố kể từ năm 2016. Điều này cho thấy việc trộm cắp do nhà nước tài trợ đã trở thành một mối đe dọa nghiêm trọng đối với lĩnh vực tài chính phi tập trung.
Phân tích và thống kê
Phân tích từ hệ thống Skynet của CertiK cho thấy các nhóm hacker liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đã chuyển mình từ những kẻ tấn công cơ hội thành những lực lượng chủ chốt trong tội phạm tiền điện tử, chịu trách nhiệm cho khoảng 60% tổng thiệt hại do trộm cắp chỉ trong năm 2025, tương đương 2,06 tỷ USD. Sự thống trị này tiếp tục kéo dài sang năm 2026, với các tin tặc Triều Tiên chiếm 55% tổng thiệt hại tiền điện tử toàn cầu kể từ đầu năm.
Kỹ thuật tấn công và rửa tiền
Kỹ thuật xã hội được xác định là “kênh tấn công chính“, theo tác giả của báo cáo, Taylor Monahan. Một ví dụ điển hình là vụ hack Drift Protocol trị giá 285 triệu USD vào tháng 4, trong đó các tin tặc DPRK đã mất tới sáu tháng để xâm nhập vào nền tảng DeFi bằng cách giả mạo một công ty giao dịch định lượng.
Điều đáng lo ngại nhất là tốc độ mà các quỹ bị đánh cắp biến mất, khi các tin tặc Triều Tiên tận dụng “cơ sở hạ tầng rửa tiền quy mô lớn” bao gồm các sàn giao dịch phi tập trung và cầu nối chuỗi chéo để nhanh chóng làm mờ dấu vết của tiền. Trong một trường hợp lớn, CertiK lưu ý rằng 86% quỹ đã được rửa trong chỉ một tháng.
Mối đe dọa đang diễn ra
Những phát hiện này cho thấy việc trộm cắp tiền điện tử của Triều Tiên đang phát triển thành “cơ chế doanh thu chính của nhà nước“, cho phép họ rút hàng tỷ USD từ hệ sinh thái tiền điện tử trong khi vẫn đi trước các nỗ lực thực thi pháp luật. Thời điểm báo cáo được công bố nhấn mạnh mối đe dọa đang diễn ra, khi các tin tặc DPRK duy trì cuộc tấn công không ngừng vào cơ sở hạ tầng tiền điện tử.
Cuộc tấn công Drift Protocol vào tháng 4 đã đánh dấu vụ hack DeFi lớn nhất năm 2026, nhưng ngay cả 285 triệu USD bị đánh cắp trong sự cố đó cũng trở nên nhỏ bé so với vụ vi phạm Bybit kỷ lục năm 2025, nơi các tin tặc đã rút 1,46 tỷ USD chỉ trong hai giao dịch vào ngày 21 tháng 2.
Các công ty bảo mật blockchain báo cáo rằng hơn 1 tỷ USD trong số quỹ Bybit đã được rửa qua cùng một cơ sở hạ tầng chuỗi chéo được nêu trong các phát hiện của CertiK. Các chuyên gia bảo mật mô tả các hoạt động tiền điện tử của Triều Tiên là chưa từng có về quy mô và độ tinh vi, với công ty phân tích blockchain TRM Labs mô tả mối đe dọa này như một mối đe dọa “quy mô công nghiệp” tận dụng “hoạt động mạng, hỗ trợ tình báo, cơ sở hạ tầng tài chính bất hợp pháp và quan hệ đối tác với các nhà trung gian nước ngoài.”
Đối phó với mối đe dọa
Mạng lưới rửa tiền của chế độ—được các nhà nghiên cứu gọi là “Chinese Laundromat“—bao gồm các ngân hàng ngầm, môi giới OTC, người chuyển tiền và các trung gian rửa tiền dựa trên thương mại. Các cơ quan chức năng của Mỹ đã tăng cường nỗ lực để phá vỡ các hoạt động này thông qua việc tịch thu tài sản có mục tiêu.
Bộ Tư pháp đã đệ đơn khiếu nại tịch thu dân sự vào tháng 6 năm ngoái nhắm vào 7,7 triệu USD tiền điện tử liên quan đến các mạng lưới rửa tiền của nhân viên CNTT Triều Tiên. Tài liệu tòa án tiết lộ một ví do Sim Hyon Sop, một đại diện của Ngân hàng Thương mại Đối ngoại Triều Tiên bị trừng phạt, kiểm soát đã nhận được hơn 24 triệu USD tiền điện tử giữa tháng 8 năm 2021 và tháng 3 năm 2023.
Trong khi đó, các công ty bảo mật đang chạy đua để phát triển các công cụ và kỹ thuật nhằm đối phó với độ tinh vi của các kỹ thuật rửa tiền chuỗi chéo, với CertiK khuyến nghị rằng các công ty có nguy cơ nên áp dụng quy trình xác minh ID nghiêm ngặt bao gồm phỏng vấn video, chính sách tuyển dụng không tin tưởng và “củng cố kỹ thuật” cơ sở hạ tầng DeFi như cầu nối và ví nóng.
