Kelp DAO đã bị tấn công với thiệt hại 292 triệu USD vào thứ Bảy, vượt qua Drift để trở thành vụ khai thác tiền mã hoá lớn nhất từ đầu năm đến nay. Các hacker có liên hệ với Bắc Triều Tiên bị nghi là thủ phạm đứng sau vụ tấn công.
Kelp DAO cho biết vào thứ Hai rằng vụ khai thác xuất phát từ sự cố của cơ sở hạ tầng giao thức nhắn tin Cross-chain LayerZero. LayerZero cho biết lỗ hổng được kích hoạt do Kelp DAO sử dụng cấu hình xác minh đơn lẻ để phê duyệt các tin nhắn Cross-chain.
LayerZero cho biết "các chỉ số sơ bộ" quy vụ khai thác cho TraderTraitor, một nhánh của đơn vị tin tặc do nhà nước Bắc Triều Tiên hậu thuẫn được gọi là Lazarus Group.
Kết quả điều tra của nhà nghiên cứu blockchain Tanuki42 cũng tìm thấy mối liên hệ với TraderTraitor. Tanuki42 cho biết vào thứ Ba rằng các quỹ bị đánh cắp trong vụ Kelp DAO đã được trộn lẫn với các vụ khai thác trước đây liên quan đến cùng một nhóm.
Trong khi hoạt động mạng của Bắc Triều Tiên nhắm vào các nền tảng tài chính phi tập trung đã tăng tốc vào tháng Tư, các chiến thuật của họ cũng đặt ra mối đe dọa cho các công ty và người dùng cuối.
Các quỹ từ vụ khai thác Kelp DAO đã được trộn lẫn với các ví liên quan đến vụ hack Bybit trị giá 1,4 tỷ USD vào tháng 2/2025. Nguồn: Tanuki42
Các kế hoạch tiền mã hoá của Bắc Triều Tiên trở lại tâm điểm
Vụ khai thác vào Ngày Cá tháng Tư trên sàn giao dịch phi tập trung Drift lên tới 285 triệu USD, đưa tổng số tiền mã hoá bị đánh cắp nghi do Bắc Triều Tiên liên quan lên ít nhất 578 triệu USD trong các sự cố lớn trong suốt tháng.
Hai vụ tấn công này là những vụ trộm tiền mã hoá lớn nhất được quy cho các tác nhân Bắc Triều Tiên kể từ vụ hack Bybit.
Đến nay, ngành công nghiệp tiền mã hoá đã nhận ra rằng các điệp viên liên quan đến DPRK giả mạo làm nhà phát triển IT để kiếm việc làm từ xa tại các công ty công nghệ. Các nhà nghiên cứu bảo mật và Liên Hợp Quốc cho biết chiến thuật này tạo ra hàng triệu đô la để hỗ trợ các chương trình vũ khí của Bắc Triều Tiên.
Kiểm tra lý lịch yếu kém cho phép các công nhân IT Bắc Triều Tiên kiếm được việc làm từ xa. Nguồn: Tanuki42
Liên quan: Gián điệp mạng Bắc Triều Tiên không còn chỉ là mối đe dọa từ xa
Vào tháng Ba, Bộ Tài chính Hoa Kỳ đã trừng phạt sáu cá nhân và hai tổ chức vì vai trò bị cáo buộc của họ trong các kế hoạch lừa đảo công nhân IT Bắc Triều Tiên. FBI cũng ban hành hướng dẫn vào tháng Sáu, khuyến nghị các nhà tuyển dụng xác minh lịch sử nghề nghiệp của ứng viên và yêu cầu gặp mặt trực tiếp.
Tuy nhiên, vụ khai thác Drift cho thấy các điệp viên mạng của Bình Nhưỡng đang thích nghi. Nền tảng DeFi cho biết các cộng tác viên của họ đã bị tiếp cận trực tiếp bởi những cá nhân giả mạo làm một công ty giao dịch định lượng tại một hội nghị tiền mã hoá lớn vào tháng Mười Một. Những kẻ tấn công tiếp tục liên lạc và xây dựng lòng tin trước khi xảy ra vụ xâm phạm.
Các cuộc tấn công quy mô nhỏ hơn vẫn tiếp tục song song. Nhà cung cấp ví tiền mã hoá Zerion cho biết các tác nhân liên quan đến DPRK đã sử dụng kỹ thuật xã hội hỗ trợ bởi AI để đánh cắp khoảng 100,000 USD trong một sự cố riêng biệt.
Bắc Triều Tiên hiếm khi phản hồi những cáo buộc như vậy, mặc dù Bộ Ngoại giao nước này đã ra tuyên bố vào tháng 5/2020 phủ nhận sự tham gia vào các cuộc tấn công mạng và cáo buộc Hoa Kỳ cố gắng bôi nhọ hình ảnh của họ.
Lừa đảo tiền mã hoá bán lẻ tăng vọt khi chiến thuật DPRK lan rộng
Cục Điều tra Liên bang (FBI) báo cáo mức tăng 21% trong các khiếu nại tội phạm liên quan đến tiền mã hoá trong báo cáo Trung tâm Khiếu nại Tội phạm Internet (IC3) năm 2025. FBI ra mắt IC3 vào năm 2000 như một cổng thông tin để các nạn nhân tại Hoa Kỳ báo cáo lừa đảo qua mạng.
Các vụ án liên quan đến tiền mã hoá gắn liền với 181,565 khiếu nại vào năm 2025, dẫn đến thiệt hại 11,37 tỷ USD, chiếm hơn một nửa tổng số.
Các nhà đầu tư từ 60 tuổi trở lên báo cáo nhiều khiếu nại liên quan đến tiền mã hoá nhất vào năm 2025. Nguồn: FBI
Liên quan: Gián điệp Bắc Triều Tiên lộ tẩy, tiết lộ mối liên hệ trong cuộc phỏng vấn việc làm giả mạo
Người Mỹ lớn tuổi từ 60 tuổi trở lên đã nộp số lượng khiếu nại liên quan đến tiền mã hoá cao nhất. Lừa đảo đầu tư là danh mục lớn nhất, tạo ra 61,559 khiếu nại, trong đó có 13,685 từ những người từ 60 tuổi trở lên.
Điều đó không có nghĩa là lĩnh vực bán lẻ không bị ảnh hưởng bởi các hoạt động nghi do Bắc Triều Tiên thực hiện. Một cuộc điều tra được công bố vào tháng Mười Một năm ngoái cho thấy các điệp viên liên quan đến DPRK cũng tuyển dụng các cá nhân để hỗ trợ các kế hoạch công nhân IT từ xa.
Trong suốt năm 2025, Heiner García, một chuyên gia tình báo mối đe dọa mạng tại Telefónica, đã tiếp xúc với một điệp viên nghi là người Bắc Triều Tiên.
García trước đây đã nói với Cointelegraph rằng cá nhân đó đã cố gắng sử dụng anh như một proxy để vượt qua các hạn chế VPN được thiết lập bởi các nền tảng freelance. Chiến thuật này bao gồm việc sử dụng thiết bị của nạn nhân trong phạm vi quyền tài phán địa phương bằng cách cài đặt phần mềm truy cập từ xa như AnyDesk.
Vào tháng 8/2024, Bộ Tư pháp Hoa Kỳ đã bắt giữ Matthew Isaac Knoot vì điều hành một "trang trại laptop" cho phép các công nhân IT DPRK xuất hiện như nhân viên có trụ sở tại Hoa Kỳ bằng cách sử dụng danh tính bị đánh cắp. Vào tháng 7/2025, Christina Chapman bị kết án hơn tám năm tù vì vai trò của cô trong việc giúp các công nhân IT Bắc Triều Tiên kiếm hơn 17 triệu USD.
Sự đánh đổi đằng sau việc đóng băng các quỹ bị đánh cắp bởi các tác nhân DPRK bị nghi ngờ
Một yếu tố độc đáo của vụ hack Kelp DAO là quyết định của Hội đồng Bảo mật Arbitrum đóng băng 30,766 ETH liên quan đến vụ khai thác.
Tinh thần của tiền mã hoá là phi tập trung, nhưng các phản ứng trước các vụ hack lớn vẫn tiếp tục chia rẽ ngành. Một số dự án nghiêng về can thiệp tối thiểu, ngay cả khi các chuyên gia bảo mật kêu gọi hành động, không đạt được sự đồng thuận về thời điểm thích hợp để can thiệp.
Nhà phát hành USDC Circle đã bị chỉ trích từ các bên trong ngành vì không hành động trong vụ hack Drift. Nguồn: James Seyffart
CTO của Ledger Charles Guillemet cho biết vào thứ Ba rằng kết quả "có thể" là tốt, nhưng không thoải mái. Việc đóng băng các quỹ có khả năng đã ngăn chặn thêm thiệt hại. Sự khó chịu đến từ những gì hành động này làm rõ ràng.
Hội đồng Bảo mật Arbitrum không khai thác lỗi hay phát hiện cửa hậu. Họ thực hiện quyền hạn được thiết kế sẵn để ghi đè trạng thái. Quyền hạn đó tồn tại theo thiết kế và nằm trong mâu thuẫn với ý tưởng về cơ sở hạ tầng trung lập đáng tin cậy. Trong thực tế, các tài sản trên các rollup hiện nay vẫn có thể bị ảnh hưởng bởi các quyết định quản trị trong một số điều kiện nhất định.
Guillemet liên kết sự đánh đổi đó với môi trường mối đe dọa. Vụ khai thác Kelp DAO không dựa vào lỗi hợp đồng thông minh mới lạ. Nó đã phơi bày các điểm yếu trong cơ sở hạ tầng và cấu hình, cho thấy cách các cuộc tấn công đang di chuyển ra ngoài mã vào các hệ thống hỗ trợ nó.
Đồng thời, các nhóm liên quan đến Bắc Triều Tiên đã phát triển thành những đối thủ được trang bị tốt, kiên định, có khả năng thăm dò các hệ thống đó trên nhiều mặt trận.
Điều đó khiến ngành bị chia rẽ giữa việc chấp nhận can thiệp hoặc chấp nhận những tổn thất không thể hoàn tác.
Tạp chí: Adam Back cho biết nhu cầu hiện tại 'gần như' đủ để đưa Bitcoin lên 1 triệu USD
- #Cryptocurrencies
- #Hackers
- #North Korea
- #Cybersecurity
- #DeFi
- #Features
- #Industry
