Cuộc Tấn Công Của Nhóm Lazarus
Vào tháng 4 năm 2026, Nhóm Lazarus của Triều Tiên đã thực hiện hai cuộc tấn công lớn, đánh cắp tổng cộng 577 triệu USD, chiếm 76% tổng số vụ trộm tiền điện tử trong năm nay. Cả hai cuộc tấn công đều không sử dụng khai thác hợp đồng thông minh. Những kẻ tấn công đã dành sáu tháng để giả mạo là một công ty giao dịch, tham dự các hội nghị tiền điện tử trực tiếp và xây dựng mối quan hệ thực sự với các kỹ sư tại Drift Protocol trước khi lấy được chữ ký cần thiết để rút 285 triệu USD chỉ trong vòng mười hai phút.
Chi Tiết Cuộc Tấn Công
Vào lúc 16:06:09 UTC ngày 1 tháng 4 năm 2026, một kẻ tấn công đã rút cạn các kho lớn của Drift Protocol, sàn giao dịch hợp đồng tương lai vĩnh viễn phi tập trung lớn nhất trên Solana, với khoảng 285 triệu USD tài sản của người dùng. Lần rút đầu tiên đã chuyển 41,72 triệu token JLP, và lần cuối cùng chuyển 2.200 ETH đã được bọc. Toàn bộ kho bạc đã bị rút cạn trong vòng mười hai phút, khoảng thời gian cần thiết để viết một tin nhắn dài.
Tuyên bố công khai đầu tiên của nhóm, được đăng trên X trong vòng vài giờ, đã yêu cầu cộng đồng xác nhận rằng hoạt động bất thường mà họ đang thấy không phải là một trò đùa ngày Cá tháng Tư. Nó không phải. Đó là sự kết thúc của sáu tháng chuẩn bị có phương pháp của các điệp viên làm việc cho chính phủ Triều Tiên.
Mới cập nhật: Drift Protocol thông báo rằng tất cả các ví bị ảnh hưởng bởi cuộc tấn công ngày 1 tháng 4 sẽ nhận được token phục hồi, mỗi token đại diện cho tổn thất đã được xác minh và yêu cầu phục hồi.
Mười bảy ngày sau, vào ngày 18 tháng 4, những kẻ tấn công đã rút 292 triệu USD từ KelpDAO, một giao thức tái staking, bằng cách thao túng một cấu hình xác thực đơn trong cầu LayerZero của nó. Hai cuộc tấn công kết hợp đã chiếm khoảng 95% trong tổng số 625 triệu USD trộm tiền điện tử trong tháng 4, khiến tháng 4 năm 2026 trở thành tháng tồi tệ nhất về an ninh tiền điện tử trong lịch sử đã ghi nhận.
Nhóm Lazarus và Các Hoạt Động Tấn Công
Đối tượng đe dọa đó là Nhóm Lazarus, tên gọi chung mà các cơ quan tình báo phương Tây sử dụng cho các hoạt động hack do nhà nước tài trợ được điều hành từ Cục Tình báo Tổng hợp, cơ quan tình báo chính của Triều Tiên. Kể từ năm 2017, Lazarus và các đơn vị con của nó đã đánh cắp hơn 6 tỷ USD tiền điện tử. Theo số liệu của Chainalysis, 2,06 tỷ USD trong số đó đã bị đánh cắp chỉ trong năm 2025, chủ yếu do cuộc tấn công Bybit thảm khốc trị giá 1,5 tỷ USD vào tháng 2 của năm đó, vụ trộm tiền điện tử lớn nhất trong lịch sử.
Đây không phải là một câu chuyện an ninh tiền điện tử theo bất kỳ nghĩa thông thường nào. Những mối đe dọa mà các giao thức DeFi phải đối mặt ngày nay không phải là những mối đe dọa mà chúng được thiết kế để bảo vệ. Mối lo ngại vào thời kỳ 2020 là các lỗi hợp đồng thông minh và các cuộc tấn công vay nhanh, những lỗ hổng trong mã. Thực tế năm 2026 là các hoạt động kéo dài, đa quốc gia, nhiều tháng do các chuyên gia tình báo điều hành, những người không cần khai thác mã vì họ đã có chìa khóa. Họ chỉ cần thuyết phục ai đó giao chúng cho họ.
Chiến Lược Tấn Công
Đó là những gì cuộc tấn công Drift đã diễn ra. Và việc hiểu điều đó là giáo dục an ninh quan trọng nhất mà bất kỳ người nắm giữ, nhà xây dựng hoặc giám đốc tiền điện tử nào cũng có thể nhận được ngay bây giờ. Báo cáo sau khi sự cố của Drift Protocol, được công bố vào đầu tháng 4, đọc giống như một báo cáo phản gián hơn là một thông báo an ninh.
Drift đã làm rõ rằng những cá nhân tại các cuộc họp trực tiếp đó không phải là công dân Triều Tiên. Các hoạt động của Lazarus gần như luôn sử dụng các trung gian bên thứ ba để liên lạc trực tiếp, với các nhà điều hành kỹ thuật thực sự ở lại trong Triều Tiên hoặc Trung Quốc. Nhà điều tra blockchain ZachXBT, người đã theo dõi các hoạt động tiền điện tử của DPRK trong nhiều năm, đã lưu ý rằng cấu trúc danh tính nhiều lớp này là một trong những đặc điểm xác định của các chiến dịch Lazarus.
Nhóm này không dừng lại sau hội nghị đầu tiên. Trong suốt sáu tháng, cùng một điệp viên, hoặc những điệp viên tự giới thiệu cùng một danh tính, đã xuất hiện tại nhiều sự kiện ngành toàn cầu, làm sâu sắc thêm mối quan hệ với các nhà đóng góp cụ thể của Drift. Một nhóm Telegram đã được thiết lập để thảo luận liên tục về các chiến lược giao dịch và khả năng tích hợp.
Hệ Thống Quản Trị và An Ninh
Đến tháng 2 và tháng 3 năm 2026, các mối quan hệ đã đủ sâu để các nhà đóng góp tin tưởng những đối tác này chia sẻ các kho lưu trữ và ứng dụng. Theo Drift, những kẻ tấn công đã sử dụng hai vector phần mềm độc hại cụ thể. Một trong số đó liên quan đến việc chia sẻ các kho lưu trữ chứa mã mà khi mở trong VSCode hoặc Cursor, có thể kích hoạt việc thực thi mã âm thầm thông qua một lỗ hổng chưa được vá vào thời điểm đó.
Vào ngày 1 tháng 4, trong khi nhóm Drift đang thực hiện một lần rút tiền định kỳ từ quỹ bảo hiểm, những kẻ tấn công đã thực hiện hai trong số các giao dịch đã ký trước cách nhau bốn khối. Các giao dịch đã chiếm quyền kiểm soát quản trị, giới thiệu một tài sản tổng hợp có tên là CarbonVote Token (CVT) vào thị trường giao ngay, thao túng giá của nó thông qua giao dịch rửa trên hai sàn giao dịch phi tập trung để tạo ra vẻ ngoài giá trị hợp pháp, và nâng giới hạn rút tiền USDC của giao thức lên 500 triệu.
Hệ Quả và Tương Lai
Những cám dỗ, khi đọc báo cáo sau khi sự cố của Drift, là coi nó như một sự kiện đơn lẻ phi thường. Một hoạt động kéo dài sáu tháng. Nhiều thiết bị bị xâm phạm. Các giao dịch đã ký trước. Tài sản thế chấp giả mạo đã được giao dịch rửa. Nó đọc như một kịch bản Hollywood. Nhưng nếu nhìn lại, dấu vết kiến trúc của mọi cuộc tấn công DeFi lớn của Lazarus trong ba năm qua đều giống nhau.
Điều khó khăn nhất về câu chuyện Lazarus là nó buộc ngành công nghiệp tiền điện tử phải đối mặt với một sự thật không phù hợp với cách tự nhận thức của nó. Trong hầu hết lịch sử của mình, tiền điện tử đã tự định hình mình như một cuộc đấu tranh giữa những người đổi mới và các nhà quản lý lỗi thời, giữa các hệ thống không cần sự cho phép và những người giữ cửa, giữa mã và sự phân định của con người. Thực tế Lazarus thì khác. Mối đe dọa không phải là áp lực bên ngoài. Mối đe dọa là một đối thủ thù địch do nhà nước tài trợ đã công nghiệp hóa việc khai thác các đặc điểm cấu trúc cụ thể của tiền điện tử.
Ngành công nghiệp đã dành nhiều năm tranh luận về việc liệu nó nên giống như hệ thống tài chính truyền thống hơn hay ít hơn. Vấn đề Lazarus gợi ý rằng câu hỏi thú vị hơn có thể là làm thế nào để xây dựng một phiên bản có thể phòng thủ của hệ thống mà tiền điện tử thực sự đã trở thành: có thể kết hợp, nhanh chóng, chuỗi chéo, và giờ đây, chứng minh được, là một mục tiêu.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên về an ninh hoặc đầu tư. Các sự cố an ninh, việc quy trách nhiệm và nỗ lực phục hồi phát triển nhanh chóng; các số liệu và chi tiết hoạt động được mô tả phản ánh báo cáo có sẵn tính đến giữa tháng 5 năm 2026. Luôn tự nghiên cứu và tham khảo ý kiến các chuyên gia an ninh đủ điều kiện.
