Bất ngờ! Tổ chức hacker cấp quốc gia càn quét 500 triệu USD trong một tháng, thế giới tiền mã hóa đang đối mặt với một cuộc “chiến tranh bất đối xứng”, tài sản của bạn có an toàn không?

Trong ba tuần qua, một tổ chức hacker liên quan đến một quốc gia đã đánh cắp hơn 500 triệu USD từ các nền tảng tài chính phi tập trung. Phương thức tấn công đã có sự chuyển biến căn bản, họ không còn tấn công trực diện vào hợp đồng thông minh cốt lõi nữa mà chuyển sang khai thác các điểm yếu của hạ tầng bên ngoài.

Với hai vụ tấn công lớn nhắm vào Drift Protocol và KelpDAO, tổ chức này đã thu về hơn 700 triệu USD tài sản mã hóa bất hợp pháp trong năm nay. Sau những thiệt hại lớn, chiến thuật của họ đã được nâng cấp rõ rệt: ngày càng tận dụng các lỗ hổng phức tạp và các nhân viên tiềm ẩn sâu trong hệ thống, nhằm vượt qua các lớp phòng thủ an ninh tiêu chuẩn.

Vào ngày 20 tháng 4, nhà cung cấp hạ tầng chuỗi chéo LayerZero xác nhận rằng KelpDAO đã bị tấn công vào ngày 18 tháng 4, thiệt hại khoảng 290 triệu USD, trở thành vụ trộm tài sản mã hóa lớn nhất trong năm nay tính đến thời điểm hiện tại. Bằng chứng sơ bộ của cuộc điều tra trực tiếp chỉ ra TraderTraitor, một nhóm đặc nhiệm thuộc tổ chức khét tiếng Lazarus Group.

Chỉ vài tuần trước, vào ngày 1 tháng 4, sàn giao dịch hợp đồng vĩnh viễn phi tập trung dựa trên Solana là Drift Protocol đã bị trộm khoảng 286 triệu USD. Công ty phân tích blockchain Elliptic nhanh chóng liên kết các phương thức rửa tiền, chuỗi giao dịch và chữ ký mạng trên chuỗi với các đường dẫn tấn công đã biết của quốc gia này, và cho biết đây là vụ thứ 18 cùng loại trong năm nay mà họ theo dõi được.

Các phương pháp tấn công trong tháng 4 cho thấy các cuộc tấn công vào DeFi đã bước vào giai đoạn trưởng thành hơn. Hacker không còn tấn công trực diện vào trung tâm nữa mà tìm cách khai thác các lỗ hổng cấu trúc ở các rìa của hệ thống. Ví dụ về vụ tấn công KelpDAO, hacker đã xâm nhập hạ tầng RPC phía dưới của mạng xác thực phi tập trung LayerZero Labs.

Bằng cách chỉnh sửa các dữ liệu quan trọng này, hacker có thể điều khiển hoạt động của giao thức mà không làm hỏng các thuật toán mã hóa cốt lõi. LayerZero đã vô hiệu hóa các nút bị ảnh hưởng và khôi phục toàn diện mạng xác thực, nhưng thiệt hại tài chính đã không thể cứu vãn. Phương thức tấn công gián tiếp này cho thấy hướng phát triển đáng sợ của chiến tranh mạng.

Công ty an ninh chuỗi khối Cyvers cho biết, các hacker liên quan đến quốc gia này ngày càng trở nên tinh vi, đầu tư nhiều hơn vào chuẩn bị và thực thi các cuộc tấn công. Công ty bổ sung rằng, hacker luôn có khả năng xác định chính xác các điểm yếu nhất, và lần này điểm đột phá là các thành phần bên thứ ba, chứ không phải hạ tầng cốt lõi của giao thức.

Chiến lược này rất giống với hoạt động gián điệp mạng truyền thống của các doanh nghiệp, đồng thời cho thấy các cuộc tấn công ngày càng khó phòng ngừa hơn. Các sự kiện gần đây, như việc các nhà nghiên cứu của Google phát hiện chuỗi cung ứng phần mềm npm Axios phổ biến bị xâm nhập, liên quan đến tổ chức đe dọa đặc biệt của quốc gia này là UNC1069, cho thấy hacker đang tiến hành phá hoại hệ thống phần mềm trước khi chúng gia nhập hệ sinh thái blockchain.

Ngoài các đột phá về công nghệ, quốc gia này còn tiến hành xâm nhập quy mô lớn, có tổ chức vào thị trường lao động tiền mã hóa toàn cầu. Mô hình đe dọa đã chuyển từ các cuộc tấn công từ xa sang việc cài đặt nhân viên độc lập vào các công ty Web3 không đề phòng.

Dự án Ketman của chương trình an ninh ETH Rangers thuộc Quỹ Ethereum, sau sáu tháng điều tra, đã đưa ra kết luận đáng kinh ngạc: khoảng 100 nhân viên mạng của quốc gia này đang ẩn náu trong nhiều công ty blockchain. Họ sử dụng danh tính giả, dễ dàng vượt qua các quy trình tuyển dụng tiêu chuẩn để truy cập vào các kho mã nguồn nội bộ nhạy cảm, rồi âm thầm hoạt động trong nhiều tháng hoặc nhiều năm, trước khi thực hiện các cuộc tấn công chính xác.

Các nhà điều tra blockchain độc lập như ZachXBT còn xác nhận rõ hơn về hoạt động ẩn nấp kiểu cơ quan tình báo này. Gần đây, anh đã phơi bày một mạng lưới đặc biệt của quốc gia này, hoạt động qua các danh tính giả để làm việc từ xa, trung bình thu lợi khoảng 1 triệu USD mỗi tháng. Các khoản chuyển tiền này qua các kênh tài chính toàn cầu hợp pháp để chuyển đổi từ tiền mã hóa sang tiền pháp định, đã xử lý hơn 3,5 triệu USD kể từ cuối năm 2025.

Theo các chuyên gia trong ngành, tổng số nhân viên IT của quốc gia này hiện mang lại thu nhập hàng tháng hàng triệu USD. Điều này tạo ra hai nguồn thu nhập chính: lương ổn định và các vụ trộm cắp lớn do nội bộ thực hiện.

Quy mô hoạt động tài sản số của quốc gia này đã vượt xa bất kỳ nhóm tội phạm mạng truyền thống nào. Theo dữ liệu của công ty phân tích chuỗi khối Chainalysis, chỉ riêng năm 2025, hacker liên quan đến quốc gia này đã trộm hơn 2 tỷ USD, chiếm 60% tổng số tiền bị trộm trong toàn ngành tiền mã hóa năm đó. Với các cuộc tấn công dữ dội trong năm nay, tổng tài sản mã hóa bị đánh cắp của họ đã lên tới 6,75 tỷ USD.

Sau khi lấy được tiền, nhóm Lazarus thể hiện mô hình rửa tiền đặc thù, có tính khu vực rõ rệt. Khác với các tội phạm mã hóa bình thường thường xuyên sử dụng các sàn giao dịch phi tập trung và các giao thức cho vay P2P, hacker của quốc gia này cố tình tránh xa các kênh đó.

Dữ liệu trên chuỗi cho thấy họ phụ thuộc nhiều vào các dịch vụ đảm bảo giao dịch của khu vực Trung Quốc, mạng môi giới ngoại tuyến sâu và các dịch vụ trộn chuỗi chéo phức tạp. Sở thích này phản ánh các hạn chế về cấu trúc và địa lý trong việc chuyển đổi tài sản, chứ không phải tiếp cận không giới hạn vào hệ thống tài chính toàn cầu.

Các nhà nghiên cứu an ninh và lãnh đạo ngành cho rằng, các cuộc tấn công có thể phòng ngừa được, nhưng các công ty tiền mã hóa cần giải quyết các điểm yếu vận hành đã lộ rõ qua các vụ tấn công lớn. Người sáng lập Humanity, Terence Kwok, nói với truyền thông rằng các cuộc tấn công liên quan đến quốc gia này vẫn chủ yếu khai thác các lỗ hổng phổ biến, chứ không phải hình thức xâm nhập mạng mới hoàn toàn.

Ông cho rằng, các hacker đang nâng cao khả năng xâm nhập và chuyển tiền bất hợp pháp, nhưng nguyên nhân gốc rễ vẫn là kiểm soát truy cập kém và rủi ro vận hành tập trung. Ông giải thích rằng, thật sốc khi thiệt hại vẫn chủ yếu do các vấn đề cũ như kiểm soát truy cập và điểm yếu đơn điểm, cho thấy ngành vẫn chưa giải quyết được các vấn đề an ninh cơ bản.

Theo đó, Kwok nhấn mạnh rằng, lớp phòng thủ đầu tiên của ngành là nâng cao độ khó trong việc chuyển tài sản, bằng cách kiểm soát chặt chẽ hơn các khoá riêng, quyền truy cập nội bộ và quyền của bên thứ ba. Trong thực tế, các doanh nghiệp cần giảm phụ thuộc vào các nhân viên vận hành cá nhân, hạn chế quyền đặc quyền, củng cố các nhà cung cấp dịch vụ, và tăng cường các biện pháp kiểm tra trong hạ tầng của các giao thức cốt lõi và các thành phần bên ngoài.

Lớp phòng thủ thứ hai là tốc độ. Một khi tiền bị đánh cắp vượt qua chuỗi, qua cầu hoặc vào mạng rửa tiền, khả năng truy đòi sẽ giảm mạnh. Kwok nói rằng, các sàn giao dịch, nhà phát hành stablecoin, công ty phân tích blockchain và cơ quan thực thi pháp luật cần phối hợp nhanh chóng trong vài phút hoặc vài giờ đầu sau cuộc tấn công để nâng cao khả năng chặn đứng dòng tiền.

Lời ông phản ánh thực tế ngành: điểm yếu nhất của hệ thống mã hóa thường nằm ở điểm giao nhau giữa mã nguồn, nhân viên và vận hành. Một chứng cứ bị đánh cắp, một nhà cung cấp yếu kém, hoặc một lỗ hổng quyền hạn bị bỏ qua cũng đủ gây thiệt hại hàng trăm triệu USD. Thách thức của DeFi không còn chỉ là viết hợp đồng thông minh vững chắc nữa, mà còn là bảo vệ an toàn vận hành của các giao thức bên ngoài trước các điểm yếu mà kẻ tấn công có thể khai thác tiếp theo.