Elliptic cho biết hôm thứ Năm rằng vụ tấn công Drift Protocol trị giá 285 triệu USD, lớn nhất trong năm nay, mang "nhiều dấu hiệu" cho thấy sự tham gia của nhóm hacker DPRK được nhà nước Bắc Triều Tiên tài trợ.
Công ty nghiên cứu đặc biệt chỉ ra hành vi onchain, phương pháp rửa tiền và tín hiệu cấp mạng, tất cả đều phù hợp với các cuộc tấn công liên quan đến nhà nước trước đó.
Drift Protocol, với token đã giảm hơn 40% xuống còn khoảng 0,06 USD kể từ vụ hack, là sàn giao dịch hợp đồng tương lai vĩnh viễn phi tập trung lớn nhất trên Solana blockchain.
"Nếu được xác nhận, sự việc này sẽ đại diện cho hành động thứ mười tám của DPRK mà Elliptic đã theo dõi trong năm nay, với hơn 300 triệu USD bị đánh cắp cho đến nay," báo cáo cho biết.
"Đây là sự tiếp nối chiến dịch dai dẳng của DPRK trong việc đánh cắp tài sản tiền mã hoá quy mô lớn, mà chính phủ Mỹ đã liên kết với việc tài trợ cho các chương trình vũ khí của họ. Các tác nhân liên quan đến DPRK được cho là chịu trách nhiệm cho hàng tỷ USD tài sản tiền mã hoá bị đánh cắp trong những năm gần đây," Elliptic bổ sung.
Vài giờ trước đó, dữ liệu Arkham cho thấy hơn 250 triệu USD đã được chuyển từ Drift sang một ví tạm thời, sau đó đến nhiều địa chỉ khác nhau.
Vào tháng 12, một báo cáo của Chainalysis tiết lộ tin tặc DPRK đã đánh cắp kỷ lục 2 tỷ USD crypto vào năm 2025, bao gồm vụ vi phạm Bybit trị giá 1,4 tỷ USD, tăng 51% so với năm trước. Bộ Tài chính Mỹ tháng trước cho biết Bắc Triều Tiên sử dụng tài sản bị đánh cắp để tài trợ cho chương trình vũ khí hủy diệt hàng loạt của quốc gia này.
Thay vì tập trung vào chính vụ tấn công, phân tích của Elliptic nhấn mạnh một mô hình hoạt động quen thuộc. Hoạt động có vẻ "có chủ đích và được dàn dựng cẩn thận," với các giao dịch thử nghiệm sớm và ví được định vị trước đi trước sự kiện chính.
Báo cáo giải thích rằng một khi được thực hiện, tiền được hợp nhất và hoán đổi nhanh chóng, chuyển cross-chain, và chuyển đổi thành tài sản thanh khoản cao hơn, phản ánh một luồng rửa tiền có cấu trúc, có thể lặp lại được thiết kế để che giấu nguồn gốc trong khi vẫn duy trì kiểm soát.
Một thách thức trung tâm, Elliptic lưu ý, là mô hình tài khoản của Solana. Bởi vì mỗi tài sản được giữ trong một tài khoản token riêng biệt, hoạt động gắn với một tác nhân duy nhất có thể xuất hiện phân mảnh trên nhiều địa chỉ. Nếu không liên kết những điều này, các nhà điều tra có nguy cơ chỉ nhìn thấy "những mảnh vỡ của hoạt động của kẻ tấn công, không phải bức tranh hoàn chỉnh."
Đây là nơi báo cáo của Elliptic nhấn mạnh phương pháp phân cụm, kết nối các tài khoản token trở lại với một thực thể duy nhất, cho phép xác định mức độ tiếp xúc bất kể địa chỉ nào được sàng lọc. Trong một sự việc liên quan đến hơn một chục loại tài sản, góc nhìn cấp độ thực thể đó trở nên quan trọng.
Vụ việc cũng nhấn mạnh, Elliptic bổ sung trong báo cáo của mình, cách rửa tiền đã trở nên vốn dĩ là cross-chain. Tiền được chuyển từ Solana sang Ethereum và xa hơn, chứng minh nhu cầu về những gì Elliptic mô tả là "khả năng truy vết cross-chain toàn diện."
Nguồn: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
