Các cuộc tấn công tiền mã hóa quy mô công nghiệp của Triều Tiên: Trí tuệ nhân tạo đã biến đổi chiến tranh mạng

Cảnh quan của việc trộm cắp tiền điện tử đã trải qua một sự thay đổi căn bản. Những gì từng là một hoạt động nhỏ lẻ, đòi hỏi các nhóm lập trình viên chuyên môn cao, đã tiến hóa thành một thứ còn nguy hiểm hơn nhiều: một dây chuyền kỹ thuật số do nhà nước hậu thuẫn. Các đơn vị mạng của Triều Tiên đã ứng dụng trí tuệ nhân tạo như vũ khí chủ đạo của họ, cho phép các nhóm nhỏ tiến hành do thám, xác định điểm yếu, sao chép các khai thác lỗ hổng, và rửa tiền với tốc độ và độ chính xác chưa từng có. Theo các chuyên gia mật mã học, khả năng dựa trên AI này hiện đang đặt ra mối đe dọa trực tiếp hơn đối với ngành công nghiệp so với máy tính lượng tử—một mối đe dọa đã gây thiệt hại hàng tỷ đô la tài sản bị đánh cắp.

Lịch năm 2025 đánh dấu một bước ngoặt quan trọng. Hoạt động hack nổi tiếng nhất của Triều Tiên, nhóm Lazarus, đã tổ chức một vụ trộm quy mô lịch sử. Sự cố vào tháng 2 nhắm vào một sàn giao dịch lớn đã dẫn đến hơn 1,5 tỷ đô la rút ra trái phép—là vụ hack tiền điện tử lớn nhất từ trước đến nay. Tuy nhiên, vụ vi phạm đó chỉ là một điểm dữ liệu. Trong suốt cả năm, các hoạt động của các nhân viên Triều Tiên đã trích xuất ước tính khoảng 2 tỷ đô la từ hệ sinh thái tiền điện tử, thiết lập một chuẩn mực mới cho việc trộm cắp mạng do nhà nước hậu thuẫn.

Những gì đã thay đổi: Tăng tốc AI

Cơ chế của các cuộc tấn công tiền điện tử đã thay đổi căn bản với sự xuất hiện của học máy trong quá trình này. Những kẻ tấn công không còn cần các đội ngũ kỹ sư phần mềm để quét thủ công các hợp đồng thông minh và mã blockchain tìm điểm yếu nữa. Các mô hình ngôn ngữ tinh vi—tương tự như GPT và Claude—bây giờ có thể tiêu thụ các mã nguồn mở từ nhiều mạng blockchain, xác định các điểm yếu tiềm năng, và chuyển các vector tấn công thành công từ hệ sinh thái này sang hệ sinh thái khác trong vòng vài phút.

Hãy xem xét lợi ích về hiệu quả: một nhà nghiên cứu an ninh con người phân tích hàng nghìn hợp đồng thông minh là một điểm nghẽn không thực tế. Một hệ thống AI thực hiện cùng một phân tích trong vòng vài phút, phát hiện các lỗi có thể khai thác và tự động điều chỉnh các kỹ thuật đã sử dụng trong các vụ việc trước đó cho các mục tiêu mới. Khả năng này biến một nhóm nhỏ hacker nhà nước thành một hoạt động công nghiệp hoàn toàn tự động. Một chuyên gia kỹ thuật mô tả lợi thế này là khả năng “mở rộng bề mặt tấn công của bạn chỉ với một lệnh nhắc duy nhất.”

Các nhóm do Triều Tiên hậu thuẫn đã tích hợp khả năng học máy này vào toàn bộ chuỗi hoạt động của họ. Việc do thám và truy cập ban đầu dựa vào các chiến dịch phishing do AI tạo ra và các nhân vật deepfake tổng hợp. Phân tích mã sử dụng quét lỗ hổng tự động. Việc khai thác trở nên có hệ thống và xuyên chuỗi. Và quan trọng nhất, việc rửa tiền—có lẽ là giai đoạn phức tạp nhất—bây giờ sử dụng các thuật toán nhận dạng mẫu để chuyển các khoản tiền bị đánh cắp qua các mixer và các nhà môi giới OTC với khả năng vô hình vượt xa các phương pháp phát hiện truyền thống.

Hồ sơ thành tích của nhóm Lazarus năm 2025

Phạm vi hoạt động của Triều Tiên trong năm 2025 phản ánh sự chuyển đổi công nghệ này. Vụ vi phạm sàn giao dịch tháng 2 là vụ hack tiền điện tử lớn nhất được ghi nhận trong lịch sử với một khoảng cách rõ rệt. Nhưng các vụ việc riêng lẻ chỉ kể một phần câu chuyện. Con số 2 tỷ đô la cho toàn bộ năm thể hiện một hoạt động trộm cắp có hệ thống, liên tục chứ không chỉ là khai thác cơ hội.

Các nhà nghiên cứu an ninh tại các công ty danh tiếng như Microsoft và Mandiant đã ghi nhận một mô hình nhất quán: các nhân viên Triều Tiên ngày càng tinh vi trong việc xã hội hóa. Họ sử dụng deepfake video và giọng nói để giả mạo các nhân viên công nghệ phương Tây hợp pháp. Họ tạo các đơn xin việc tổng hợp để xâm nhập các công ty tiền điện tử. Và họ làm điều đó quy mô lớn, cho thấy mức độ tự động hóa và phối hợp cao, trực tiếp phản ánh việc tích hợp học máy.

Tại sao AI vượt qua Quang học như một mối đe dọa tồn tại

Ngành công nghiệp tiền điện tử từ lâu đã tập trung vào máy tính lượng tử như kịch bản tận thế tối thượng. Trong lý thuyết, các máy lượng tử đủ mạnh để phá vỡ mã SHA-256 có thể khiến hàng triệu ví Bitcoin không hoạt động trở thành dễ bị đánh cắp. Tuy nhiên, mối đe dọa này vẫn còn mang tính giả thuyết và xa vời—các nhà mật mã học đáng tin cậy cho rằng các mối đe dọa thực tế ở cấp độ lượng tử ít nhất còn khoảng một thập kỷ nữa mới có thể xảy ra.

Ngược lại, AI đang hoạt động ngay bây giờ. Nó đang phá vỡ các hệ thống bảo mật và cho phép các cuộc tấn công với tốc độ gia tăng. Các nền tảng DeFi đặc biệt dễ bị tổn thương vì kiến trúc mã nguồn mở của chúng cho phép các mô hình học máy xác định các điểm yếu phản chiếu trên các giao thức liên kết với nhau. Nếu một cơ chế oracle thất bại do một lỗi cụ thể, các hệ thống so khớp mẫu có thể ngay lập tức xác định cùng một điểm yếu trong hàng chục hợp đồng thông minh khác sử dụng thiết kế giống hoặc tương tự.

Hệ quả ngay lập tức rõ ràng: các cơ quan quản lý có thể sẽ bắt buộc kiểm tra an ninh liên tục, nhận thức về AI, đối với tất cả các sàn giao dịch lớn và nền tảng hợp đồng thông minh. Điều này đồng nghĩa với việc có các đội ngũ an ninh thường xuyên chạy lại các đánh giá lỗ hổng mỗi khi các phiên bản lớn của các mô hình ngôn ngữ mới được phát hành. Mỗi cập nhật AI lớn đều giới thiệu các phương pháp tấn công mới và các cách mới để thăm dò phòng thủ. Các tổ chức thực hiện đánh giá an ninh hàng quý hoặc hàng năm sẽ không thể theo kịp.

Xây dựng các phòng thủ nhận thức AI

Khung phản ứng phải đồng bộ và tự động hóa một cách tương đương. Việc tích hợp an ninh dựa trên AI vào ví, dịch vụ ủy thác, và các sàn giao dịch là yêu cầu tối thiểu. Các hợp đồng thông minh cần được kiểm tra lại liên tục và thử nghiệm căng thẳng dựa trên khả năng học máy mới nhất. Chuyển đổi sang máy tính lượng tử, dù còn xa, cũng đòi hỏi sự chuẩn bị ngay lập tức—các công ty như Mysten Labs đã phát triển các lộ trình di chuyển cho phép chuyển tiền vào các tài khoản chống lượng tử trước khi mối đe dọa lượng tử thực tế xuất hiện.

Nguyên tắc cốt lõi, như các chuyên gia an ninh nhấn mạnh, là AI phòng thủ phải tương xứng với AI tấn công. Chờ đợi các mối đe dọa trở nên rõ ràng hoàn toàn sẽ đảm bảo tổn thất vĩnh viễn. Mỗi bản phát hành mới của các công cụ AI tạo ra các khả năng tấn công mới; các tổ chức phải kiểm tra phòng thủ của mình đối với các khả năng này cùng lúc với sự phát triển của chúng.

Tập trung chiến lược của Triều Tiên: Xã hội hóa hơn là ước mơ lượng tử

Dù có những suy đoán về các chương trình máy tính lượng tử cấp nhà nước tiềm năng, nhưng hồ sơ đe dọa thực tế của Triều Tiên tập trung vào các vectơ khác nhau. Chế độ này thiếu hạ tầng tính toán và chuyên môn toán học để xây dựng các hệ thống lượng tử. Thay vào đó, các đơn vị mạng của họ đã tối ưu hóa cách tiếp cận của mình vào những gì họ làm xuất sắc: xã hội hóa và lừa đảo dựa trên AI quy mô lớn.

Tập trung này thể hiện một tính toán chiến lược. Học máy cho phép phishing cá nhân hóa cao với số lượng chưa từng có. Deepfake của các nhân vật có uy tín trong ngành có thể tạo ra sự giả hợp pháp sai lệch. Các đơn xin việc tổng hợp và thư từ công việc có thể tạo điều kiện xâm nhập vào các công ty tiền điện tử. Những công cụ này không cần máy tính lượng tử—chúng chỉ cần các mô hình ngôn ngữ tinh vi và hệ thống nhận dạng mẫu, cả hai đều đã có thể vận hành của Triều Tiên.

Như các nhà phân tích an ninh nhận định, chế độ này không cần phá mã lượng tử để đạt được mục tiêu của mình. Các cuộc tấn công dựa trên AI đạt được khả năng vô hình và quy mô theo cách riêng của chúng. Các khoản tiền chảy qua các chuỗi rửa tiền phức tạp mà các hệ thống nhận dạng mẫu dễ dàng điều hướng. Các giao dịch cá nhân trông có vẻ bình thường. Tổng thể, số tiền bị đánh cắp hàng tỷ đô la mỗi năm, nhưng dấu ấn hoạt động vẫn khó phát hiện và xác định danh tính.

Con đường phía trước

Ngành công nghiệp tiền điện tử đang đứng trước một điểm ngoặt. Việc tích hợp học máy vào các hoạt động mạng do nhà nước hậu thuẫn đã tạo ra một môi trường đe dọa mới về chất lượng. Các nhóm nhỏ, trước đây bị giới hạn bởi yêu cầu thủ công trong phân tích mã và khai thác, giờ đây hoạt động với độ chính xác như nhà máy và quy mô công nghiệp. Triều Tiên đã nổi lên như nhà thực hành hàng đầu của khả năng mới này.

Các phản ứng phải phù hợp và liên tục. AI phòng thủ, kiểm tra an ninh liên tục, và lập kế hoạch chuyển đổi lượng tử chủ động là những yêu cầu không thể thương lượng đối với các tổ chức xử lý tài sản kỹ thuật số lớn. Những tổ chức không áp dụng khung an ninh nhận thức AI sẽ không chỉ tụt lại phía sau—họ về cơ bản không còn phòng thủ trước thế hệ tấn công do nhà nước hậu thuẫn hiện tại nữa.

Mối đe dọa ngay lập tức không phải là máy tính lượng tử ngày mai. Đó chính là các hoạt động mạng do Triều Tiên hậu thuẫn dựa trên AI ngày hôm nay, đã lấy đi hàng tỷ đô la từ hệ sinh thái tiền điện tử và liên tục cải thiện kỹ thuật của họ với mỗi phiên bản mô hình AI lớn mới ra mắt.