Tấn công Xã hội Tưởng lừa đảo Nhắm vào Người dùng Ledger: Hacker Nhân vật Trộm Crypto trị giá $282 Triệu

Một diễn viên đe dọa đã thành công trong việc thực hiện một cuộc tấn công xã hội có phối hợp, đánh cắp tài sản tiền điện tử trị giá 282 triệu đô la từ nạn nhân sử dụng ví phần cứng. Sự kiện này xảy ra vào ngày 10 tháng 1 lúc 23:00 UTC, đánh dấu sự leo thang đáng kể trong xu hướng các cuộc tấn công nhắm vào người dùng tiền điện tử vào đầu năm 2026. Nhà nghiên cứu blockchain ZachXBT xác định rằng thủ phạm không thuộc nhóm đe dọa của Triều Tiên, mà là một cá nhân độc lập sử dụng chiến lược xã hội tinh vi.

Quy mô thiệt hại và tài sản bị cướp đoạt

Nạn nhân mất 2,05 triệu Litecoin (LTC) và 1.459 Bitcoin (BTC) trong một lần tấn công. Giá trị của các tài sản này tương đương 282 triệu đô la tại thời điểm xảy ra. Với giá LTC hiện tại là 59,11 đô la và BTC là 77,82K đô la (ngày 1 tháng 2 năm 2026), giá trị tài sản bị mất liên tục biến động theo chuyển động của thị trường. Thủ phạm tấn công nhanh chóng bắt đầu quá trình thanh khoản bằng cách chuyển đổi phần lớn số lượng nắm giữ bị đánh cắp thành Monero (XMR), một loại tiền điện tử tập trung vào quyền riêng tư.

Việc chuyển đổi lớn sang Monero tạo ra đà mua mạnh trên thị trường, dẫn đến giá XMR tăng 70% trong vòng bốn ngày sau cuộc tấn công. Chiến lược này cho thấy sự hiểu biết sâu sắc về động thái thị trường tiền điện tử và cách mà khối lượng giao dịch lớn có thể ảnh hưởng đến giá cả. Các diễn viên đe dọa rõ ràng có kinh nghiệm trong việc bảo vệ tài sản bị đánh cắp và giảm thiểu dấu vết kỹ thuật số của họ.

Dấu vết giao dịch xuyên chuỗi blockchain

Phân tích chuỗi (on-chain analysis) cho thấy một phần Bitcoin bị đánh cắp đã được chuyển sang các blockchain công cộng khác qua Thorchain, một giao thức chuỗi chéo hỗ trợ trao đổi xuyên mạng. Một số khoản tiền sau đó được chuyển tiếp sang Ethereum, Ripple, và quay trở lại Litecoin, tạo ra một dấu vết phức tạp và khó truy tìm. Phương pháp phân mảnh tài sản này là kỹ thuật tiêu chuẩn mà các diễn viên đe dọa có kinh nghiệm sử dụng để làm mờ nguồn gốc của quỹ và tránh bị phát hiện bởi các cơ quan chức năng và nền tảng giao dịch.

ZachXBT ghi nhận rằng mặc dù các chuyển khoản xuyên chuỗi này thể hiện sự tinh vi về mặt kỹ thuật, không có bằng chứng nào cho thấy cuộc tấn công này liên quan đến các diễn viên nhà nước hoặc tổ chức có cấu trúc. Phân tích mối đe dọa hướng tới các hoạt động phân tán hơn nhưng vẫn được phối hợp tốt về mặt thực thi và lập kế hoạch.

Tấn công xã hội: Phương pháp chính của các diễn viên đe dọa hiện đại

Các cuộc tấn công xã hội được sử dụng trong vụ việc này liên quan đến kỹ thuật thao túng tâm lý tinh vi. Các diễn viên đe dọa giả danh là đại diện của các tổ chức đáng tin cậy, xây dựng mối quan hệ tin cậy với nạn nhân qua các giao tiếp có cấu trúc, và dần dần lấy lòng tin trước khi yêu cầu cung cấp thông tin nhạy cảm. Nạn nhân sau đó bị thuyết phục gửi khóa riêng tư hoặc các chi tiết đăng nhập quan trọng khác.

Xu hướng năm 2026 cho thấy sự gia tăng đáng kể các cuộc tấn công xã hội như một phương tiện chính của các diễn viên đe dọa so với các phương pháp kỹ thuật thuần túy như khai thác lỗ hổng hoặc phần mềm độc hại. Phương pháp xã hội này dựa vào điểm yếu của con người hơn là điểm yếu của hệ thống, làm cho nó hiệu quả hơn và khó chống đỡ bằng công nghệ đơn thuần. Sự kết hợp giữa niềm tin xây dựng qua giả danh chuyên nghiệp và áp lực tâm lý khiến nạn nhân dễ đưa ra quyết định thiếu thận trọng.

Rò rỉ dữ liệu Ledger: Kết nối với các cuộc tấn công của diễn viên đe dọa

Năm ngày trước khi xảy ra cuộc tấn công quy mô lớn, nhà cung cấp ví phần cứng Ledger đã gặp phải vụ rò rỉ dữ liệu bị lộ vào ngày 5 tháng 1. Sự cố này tiết lộ thông tin cá nhân của người dùng Ledger bao gồm tên đầy đủ, địa chỉ email, số điện thoại và các dữ liệu liên hệ khác. Vụ rò rỉ xuất phát từ truy cập trái phép vào hệ thống của bên thứ ba hợp tác với Ledger trên toàn cầu.

Thời điểm giữa vụ rò rỉ dữ liệu của Ledger và cuộc tấn công xã hội quy mô lớn cho thấy khả năng có mối liên hệ. Dữ liệu bị rò rỉ từ Ledger có thể được các diễn viên đe dọa sử dụng để thực hiện các chiến dịch xã hội một cách hiệu quả hơn. Với tên thật, email và thông tin liên hệ của nạn nhân, các diễn viên có thể thiết kế các tin nhắn cực kỳ cá nhân và thuyết phục, nâng cao khả năng thành công của các thao túng xã hội. Người dùng Ledger bị ảnh hưởng bởi vụ rò rỉ dữ liệu trở thành mục tiêu đặc biệt trong làn sóng tấn công này.

Ảnh hưởng an ninh và các biện pháp phòng ngừa

Sự cố này nhấn mạnh nhu cầu cấp thiết phải vượt ra ngoài bảo mật phần cứng và công nghệ mã hóa. Ngay cả với ví an toàn về mặt kỹ thuật, các diễn viên đe dọa có kỹ năng vẫn có thể truy cập tài sản thông qua thao túng trực tiếp chủ sở hữu. Người dùng cần áp dụng xác thực đa yếu tố (multi-factor authentication), hoài nghi các yêu cầu cung cấp thông tin cá nhân, và liên tục đào tạo nâng cao nhận thức về an ninh.

Các tổ chức như Ledger cần tăng cường các giao thức bảo vệ dữ liệu và minh bạch trong quản lý thông tin người dùng. Các diễn viên đe dọa sẽ tiếp tục khai thác các lỗ hổng trong phòng thủ con người miễn là dữ liệu cá nhân vẫn còn khả năng truy cập hoặc có thể mua bán trên thị trường chợ đen. Sự hợp tác giữa các nhà cung cấp ví, nền tảng giao dịch, và các nhà nghiên cứu an ninh như ZachXBT là rất quan trọng trong việc chống lại xu hướng leo thang này và bảo vệ hệ sinh thái tiền điện tử khỏi các mối đe dọa ngày càng phát triển.