Các khoản lỗ tiền điện tử liên quan đến Triều Tiên tăng 51% vào năm 2025, theo báo cáo phát hiện

Các hacker liên kết nhà nước của Triều Tiên đã gia tăng dấu ấn của họ trong hệ sinh thái tiền điện tử trong năm 2025, gây thiệt hại vượt quá 2 tỷ đô la và ghi nhận mức tăng 51% so với cùng kỳ năm trước, theo Báo cáo Cảnh báo Mối đe dọa Dịch vụ Tài chính năm 2026 của CrowdStrike. Các phát hiện này định vị các tác nhân liên kết với DPRK là mối đe dọa lớn nhất về giá trị tài sản bị đánh cắp, nhấn mạnh sự chuyển hướng sang các mục tiêu có giá trị cao và an ninh hoạt động ngày càng tinh vi hơn.

Theo báo cáo, mạng lưới đe dọa của DPRK đã theo đuổi ít chiến dịch hơn so với các năm trước nhưng đạt được lợi nhuận cao hơn đáng kể bằng cách tập trung vào các mục tiêu có giá trị cao và siết chặt chuỗi từ trộm cắp đến rút tiền mặt. Các khoản thu nhập bị đánh cắp được cho là đã được rửa tiền để tài trợ cho các chương trình quân sự của chế độ, một mô hình mà CrowdStrike nhận định là mục tiêu liên tục của các tác nhân này. Sự nhấn mạnh của nhóm vào các hoạt động tập trung, tác động cao trái ngược với sự phân tán rộng hơn của các vụ việc có giá trị thấp hơn được thấy trong các năm trước.

Những điểm chính

Các tác nhân liên kết nhà nước của DPRK đã gây thiệt hại hơn 2 tỷ đô la trong năm 2025, tăng 51% so với năm trước, theo báo cáo của CrowdStrike năm 2026.

DPRK vẫn là nhóm mối đe dọa lớn nhất về giá trị đô la bị đánh cắp, phản ánh sự chuyển hướng chiến lược sang các mục tiêu có giá trị cao và khả năng kiếm tiền hiệu quả.

Các dự án Web3 và sàn giao dịch tiền điện tử được ưu tiên nhắm mục tiêu do khả năng thanh khoản dễ dàng hơn và tính ẩn danh cao hơn khi rút tiền, theo các phát hiện về cảnh báo mối đe dọa.

Các khoản tiền bị đánh cắp có khả năng đã được rửa để tài trợ cho các chương trình quân sự, với ít chiến dịch hơn nhưng mang lại lợi nhuận rõ rệt cao hơn, báo hiệu sự thay đổi trong kinh tế tấn công.

Nỗ lực xâm nhập và kỹ thuật xã hội mở rộng ra ngoài không gian mạng, với các điểm tiếp xúc ngoại tuyến và trung gian bên thứ ba đóng vai trò trong các hoạt động tinh vi hơn.

Thiệt hại gia tăng và chiến lược lợi nhuận cao

Đánh giá của CrowdStrike làm nổi bật một nghịch lý: ngay cả khi số lượng chiến dịch giảm, tác động tài chính lại tăng vọt vì nhóm này ưu tiên các mục tiêu lớn hơn, sinh lợi hơn. Công ty nhận định rằng các tài sản bị đánh cắp chủ yếu được chuyển vào các kênh tối đa hóa tính ẩn danh và thanh khoản, cho phép chuyển đổi nhanh chóng thành quỹ có thể sử dụng trong khi tránh các kiểm soát tài chính truyền thống. Sự lặp lại của các mô hình này cho thấy một sự chuyển đổi có chủ đích nhằm tối đa hóa giá trị mỗi hoạt động hơn là số lượng các vụ việc.

“Các khoản thu nhập bị đánh cắp gần như chắc chắn được rửa tiền để tài trợ cho các chương trình quân sự của chế độ. So với năm 2024, các đối thủ liên kết DPRK thực hiện ít chiến dịch hơn nhưng đạt được lợi nhuận cao hơn đáng kể bằng cách ưu tiên các mục tiêu có giá trị cao.”

Những kết luận này xuất hiện khi cảnh báo mối đe dọa cho thấy sự trưởng thành của các hoạt động liên kết DPRK, với các nhà điều tra chỉ ra bộ công cụ ngày càng mở rộng kết hợp xâm nhập truyền thống với kỹ thuật xã hội và các cuộc tấn công kiểu chuỗi cung ứng. Báo cáo cũng nhấn mạnh rằng sự sẵn sàng của nhóm trong việc khai thác các điểm yếu của các công ty crypto—từ nhóm dự án đến các sàn giao dịch—cho thấy một chiến lược nhắm mục tiêu rộng nhằm tối đa hóa cả khả năng tiếp cận và kiếm tiền.

Tại sao Web3 và các sàn giao dịch vẫn là điểm trọng tâm

Thứ Tư, các cuộc thảo luận về an ninh xung quanh các tác nhân DPRK tập trung vào kinh tế của việc trộm cắp tiền điện tử. Báo cáo ghi nhận rằng các ví có giá trị cao và các sàn tập trung cung cấp khả năng thanh khoản sâu hơn và các lối thoát nhanh hơn, giúp giảm thời gian các khoản tiền bị theo dõi và bị tịch thu. Trong bối cảnh này, sức hút của các dự án Web3 và nền tảng crypto không chỉ đơn thuần về việc trộm cắp mà còn về khả năng chuyển đổi tài sản bị đánh cắp thành tiền tệ có thể chi tiêu ít trở ngại hơn so với các hệ thống tài chính truyền thống.

Ngoài các vụ trộm trực tiếp, toàn bộ hệ sinh thái cần chú ý đến các chiến lược kỹ thuật xã hội ngày càng tinh vi nhằm khai thác các mạng lưới tin cậy xung quanh các giao thức và quy trình quản trị đang phát triển. Khi mô hình đe dọa trở nên phức tạp hơn, tầm quan trọng của các thực hành an ninh vững chắc—như quản lý rủi ro nhà cung cấp chặt chẽ, xem xét mã nguồn, và xác thực chống lừa đảo—lại càng cấp bách hơn đối với các nhà xây dựng và vận hành trong không gian crypto.

Xâm nhập, trực tuyến và ngoại tuyến: các vụ việc đáng chú ý

Vào tháng Tư, Quỹ Ethereum, tổ chức giám sát phát triển Ethereum, đã công khai cảnh báo về quy mô tham gia của DPRK trong các xâm nhập Web3, xác định một nhóm lớn các nhân viên hậu thuẫn DPRK xâm nhập vào các dự án crypto khác nhau. Điều này ngụ ý rằng nhóm duy trì quyền truy cập liên tục, đa dạng vào các hệ sinh thái mục tiêu, kết hợp các xâm nhập từ xa với các hoạt động mạng lưới trực tiếp để mở rộng ảnh hưởng.

Một vụ việc được nhắc đến nhiều là Drift Protocol, một sàn giao dịch phi tập trung, nơi các hacker được cho là đã xâm nhập và làm hỏng môi trường phát triển sau khi thiết lập mối quan hệ với nhóm dự án. Nhóm Drift Protocol cho biết các hacker đã được giới thiệu với dự án trong một hội nghị ngành công nghiệp crypto nổi bật và đã xây dựng mối quan hệ làm việc trong vòng sáu tháng. Trong quá trình này, phần mềm độc hại đã được triển khai trên các máy của nhà phát triển, gây thiệt hại khoảng 280 triệu đô la. Lãnh đạo Drift nhấn mạnh rằng những người xuất hiện trực tiếp không phải là công dân Triều Tiên, nhưng lưu ý rằng các tác nhân DPRK thường dựa vào trung gian bên thứ ba để tạo điều kiện cho các liên hệ mặt đối mặt.

Câu chuyện rộng hơn về trinh sát ngoại tuyến và tuyển dụng trực tiếp được củng cố bởi các báo cáo riêng của ngành, trong đó có các ghi nhận về các nhân viên CNTT của DPRK liên hệ với các công ty công nghệ và tận dụng các kênh tuyển dụng hợp pháp để thực hiện các hoạt động phi pháp. Các nhà nghiên cứu như ZachXBT đã làm nổi bật các trường hợp các nhân viên CNTT liên kết DPRK kiếm được khoản tiền lớn hàng tháng trong các kế hoạch liên quan, nhấn mạnh tính xuyên suốt của mối đe dọa qua cả môi trường trực tuyến và ngoại tuyến.

Đối với các nhà đầu tư, nhà xây dựng và nhà vận hành, các vụ việc này báo hiệu một cuộc chạy đua vũ trang liên tục giữa các tác nhân đe dọa và các đội an ninh bảo vệ các nền tảng crypto. Vụ Drift đặc biệt cho thấy cách các điểm chân của hacker có thể được thiết lập qua các kênh phát triển đáng tin cậy, biến chuỗi cung ứng phần mềm cốt lõi thành các vector gây thiệt hại lớn. Cảnh báo rộng hơn rõ ràng: ngay cả các tương tác cộng đồng và các trung gian bên thứ ba tưởng chừng đáng tin cậy cũng có thể trở thành các bề mặt rủi ro nếu không duy trì thẩm định và vệ sinh an ninh một cách chặt chẽ.

Điều gì tiếp theo cho thị trường và chiến lược phòng thủ

Khi cảnh báo mối đe dọa ngày càng rõ nét về các hoạt động liên kết DPRK, các nhà tham gia thị trường nên dự kiến sẽ tiếp tục tập trung vào trộm cắp có giá trị cao và các kỹ thuật kiếm tiền tinh vi hơn. Các cơ quan quản lý, các công ty an ninh và nhóm nền tảng có khả năng sẽ tăng cường kiểm soát quản trị, an ninh chuỗi cung ứng và giám sát chặt chẽ các luồng on-chain liên quan đến các ví và thực thể liên kết DPRK đã biết. Sự hội tụ của các cuộc xâm nhập mạng, kỹ thuật xã hội và chiến lược trộm cắp lợi nhuận cao cho thấy một rủi ro liên tục, năng động sẽ thử thách khả năng chống chịu của hạ tầng crypto và các chương trình tuân thủ.

Trong thời gian tới, các nhà quan sát sẽ theo dõi các tiết lộ chi tiết hơn từ các công ty tình báo mối đe dọa và các nhà vận hành nền tảng về các mô hình hoạt động của các tác nhân DPRK, bao gồm cả các biện pháp đối phó mới thành công trong việc phá vỡ các kênh sinh lợi nhất. Việc Quỹ Ethereum xác định hàng trăm nhân viên hậu thuẫn DPRK và phản ánh của Drift Protocol sau sự cố có thể báo trước một xu hướng rộng hơn về minh bạch và phòng thủ chủ động trong toàn bộ hệ sinh thái. Đối với độc giả, câu hỏi then chốt vẫn là làm thế nào ngành công nghiệp có thể nhanh chóng chuyển các hiểu biết này thành các cải tiến an ninh cụ thể nhằm giảm thiểu cả tần suất và tác động của các vi phạm trong tương lai.

Khi năm mới tiếp tục diễn ra, cộng đồng crypto cần theo dõi cả phản ứng quản trị và các biện pháp bảo vệ kỹ thuật. Các nhà đầu tư và người dùng nên duy trì cảnh giác với các cuộc kiểm tra an ninh dự án, các biện pháp bảo vệ tính toán đa bên, và lập kế hoạch phản ứng sự cố vững chắc—những lĩnh vực mà chi phí của sự thiếu hành động có thể đo bằng hàng triệu đô la cùng với thiệt hại danh tiếng lâu dài.