Triều Tiên hacker đã trở thành cơn ác mộng lớn nhất trong giới tiền mã hóa. Gần đây tôi xem báo cáo của TRM Labs, dữ liệu khiến tôi cảm thấy rùng mình—chỉ mới qua 4 tháng của năm nay, tổ chức hacker Triều Tiên đã cướp đoạt khoảng 577 triệu USD trong giới tiền mã hóa, chiếm 76% tổng số tiền bị đánh cắp trên toàn cầu trong cùng kỳ. Tỷ lệ này thực sự đáng kinh ngạc.

Thiệt hại chủ yếu đến từ hai sự kiện lớn bùng nổ vào tháng 4. Kelp DAO bị rút sạch 292 triệu USD, Drift Protocol thì bị đánh cắp 285 triệu USD. Thú vị là, hai vụ này chỉ chiếm 3% tổng số cuộc tấn công trong 4 tháng đầu năm, nhưng lại chiếm phần lớn thiệt hại. Điều này cho thấy hacker Triều Tiên đã từ "bắn loạn xạ" chuyển sang nhắm mục tiêu chính xác hơn.

Kelp DAO là do TraderTraitor danh tiếng thực hiện, có mối liên hệ mật thiết với nhóm Lazarus. Trong khi đó, Drift lại do một nhóm hacker Triều Tiên khác chưa được tiết lộ hoàn toàn thực hiện.

Nói về cuộc tấn công của Drift, tôi nghĩ điểm đáng sợ nhất là nó không phải là một cuộc tấn công bất ngờ. TRM tiết lộ đây là một chiến dịch xâm nhập tinh vi kéo dài nhiều tháng. Các đặc vụ Triều Tiên đã tiếp xúc nhiều lần trực tiếp với nhóm Drift, bắt đầu triển khai từ ngày 11 tháng 3, xây dựng các tài khoản nonce lâu dài trên Solana để ký trước các giao dịch, còn dụ dỗ các thành viên đa chữ ký của Ủy ban An ninh Drift cấp phép trước. Đòn chí mạng xảy ra vào ngày 1 tháng 4, ngay sau khi Drift điều chỉnh ngưỡng quyền hạn của ủy ban an ninh và hủy bỏ thời gian khóa, hacker đã kích hoạt 31 lệnh rút tiền đã ký sẵn trong vòng 12 phút, trực tiếp rút sạch tiền. Chiến thuật phối hợp giữa kỹ thuật và xã hội này thật khó phòng ngừa.

Trường hợp của Kelp DAO là một kiểu khác. Hacker đã nhắm vào lỗ hổng trong kiến trúc "người xác thực đơn" của cầu nối LayerZero trong giao thức liên chuỗi, xâm nhập vào hạ tầng RPC để chỉnh sửa logic xác thực. Sau khi buộc hệ thống chuyển quyền xác thực sang các nút bị kiểm soát, hơn 116.000 rsETH đã bị cướp đoạt. Dù chính thức của Arbitrum đã khẩn cấp phong tỏa một phần tài sản, hacker vẫn nhanh chóng chuyển tiền ra ngoài qua các giao thức liên chuỗi như THORChain.

Điều đáng lo hơn là xu hướng. Tỷ lệ hacker Triều Tiên chiếm tổng số tiền bị đánh cắp trong tiền mã hóa toàn cầu đang tăng vọt—từ dưới 10% vào năm 2020, 2021, lên 22% năm 2022, 37% năm 2023, 39% năm 2024, rồi lên tới 64% năm 2025, năm nay còn đạt đỉnh kỷ lục 76%. Từ năm 2017, tổng số tiền mã hóa bị Triều Tiên đánh cắp đã vượt quá 6 tỷ USD.

TRM chỉ ra rằng, vụ hack lớn của một sàn giao dịch lớn vào năm 2025 trị giá 1,46 tỷ USD đã trở thành bước ngoặt trong mô hình phạm tội của hacker Triều Tiên. Sau đó, họ thay đổi chiến thuật, không còn bắn loạn xạ nữa, mà tập trung vào các mục tiêu giá trị cao, tấn công các cầu nối liên chuỗi, hệ thống quản trị đa chữ ký và các hạ tầng quan trọng khác, nhằm tiêu diệt trong một lần.

Điều thú vị là, hai vụ Drift và Kelp DAO cũng phản ánh sự phân hóa trong phương pháp rửa tiền của Triều Tiên. Hacker của Drift rất kiên nhẫn, sau khi chuyển tiền vào Ethereum thì giữ nguyên, có thể dự định "ẩn" tiền trong vài tháng hoặc vài năm, chờ thời cơ thích hợp để rút ra. Ngược lại, hacker của Kelp DAO lại thích chiến thuật nhanh gọn, nhanh chóng đổi ra Bitcoin qua THORChain rồi giao cho các trung gian rửa tiền ngầm xử lý.

Đối mặt với mối đe dọa ngày càng gia tăng này, TRM kêu gọi các nền tảng lớn cần nâng cao giám sát tuân thủ ngay lập tức. Các biện pháp phòng ngừa trọng tâm bao gồm giám sát chặt chẽ các khoản liên chuỗi rút qua THORChain, tăng cường theo dõi các giao dịch đa bước của hạ tầng cầu nối liên chuỗi, và kiểm tra nghiêm ngặt các lộ trình gửi tiền liên quan đến quản trị Solana, đặc biệt là các giao dịch liên quan đến cơ chế nonce lâu dài. Ngoài ra, ngành cần tích cực tham gia các cơ chế phòng thủ liên nền tảng như Beacon Network, để khi phát hiện địa chỉ ví của hacker Triều Tiên, có thể kích hoạt cảnh báo liên nền tảng nhanh chóng, cắt đứt dòng tiền rửa tiền. Cuộc chiến phòng thủ này còn rất dài, cơn ác mộng trong giới tiền mã hóa vẫn chưa chấm dứt.