Triều Tiên chiếm 76% tổn thất từ các vụ hack tiền mã hóa năm 2026 với các vụ khai thác Drift và KelpDAO

Các nhóm hacker Triều Tiên chịu trách nhiệm cho 76% tổng thiệt hại từ các vụ tấn công tiền mã hóa trong năm 2026 tính đến tháng Tư, theo báo cáo được TRM Labs công bố. Các sự cố tương tự chỉ chiếm 3% tổng số vụ tấn công. Công ty quy khoảng $577 triệu tiền bị đánh cắp cho hai vụ: vụ vi phạm Drift Protocol vào ngày 1 tháng Tư và vụ khai thác KelpDAO vào ngày 18 tháng Tư.

TRM cho biết hai sự cố này chỉ chiếm một phần nhỏ trong tổng số vụ tấn công năm nay nhưng lại chiếm phần lớn thiệt hại. Báo cáo mô tả một mô hình trong đó một số lượng hạn chế các chiến dịch có giá trị cao gây ra phần lớn thiệt hại, thay vì sự gia tăng rộng rãi về tần suất tấn công.

Tổng thiệt hại từ các vụ trộm tiền mã hóa được quy cho Triều Tiên hiện đã vượt $6 tỷ kể từ năm 2017, dựa trên dữ liệu của TRM.

Tỷ lệ trộm tiền mã hóa của Triều Tiên đã tăng mỗi năm kể từ năm 2020

Dữ liệu của TRM cho thấy tỷ lệ thiệt hại từ các vụ tấn công tiền mã hóa được quy cho Triều Tiên tăng từ dưới 10% vào năm 2020 và 2021 lên 22% vào năm 2022, 37% vào năm 2023, 39% vào năm 2024 và 64% vào năm 2025. Con số 76% cho năm 2026 tính đến nay là tỷ lệ duy trì cao nhất mà TRM từng ghi nhận.

Sự tăng vọt năm 2025 gần như hoàn toàn do vụ vi phạm Bybit vào tháng Hai năm đó, trong đó $1,46 tỷ đã bị đánh cắp từ ví lạnh thông qua giao diện ký Safe{Wallet} bị xâm phạm. TRM cho biết Bybit vẫn là vụ tấn công tiền mã hóa đơn lẻ lớn nhất được ghi nhận.

Nhịp độ tấn công không thay đổi. TRM cho biết các nhóm hacker Triều Tiên tiếp tục thực hiện một số lượng nhỏ các chiến dịch được nhắm mục tiêu chính xác mỗi năm thay vì một chiến dịch có khối lượng lớn.

Theo các nhà phân tích của TRM, điều đã thay đổi là mức độ tinh vi của các chiến dịch. Báo cáo cho biết các nhà phân tích đã bắt đầu suy đoán rằng các nhà điều hành Triều Tiên đang tích hợp các công cụ AI vào quy trình trinh sát và kỹ nghệ xã hội, phù hợp với vụ tấn công Drift, đòi hỏi nhiều tuần thao túng có chủ đích đối với các cơ chế blockchain phức tạp thay vì việc xâm phạm khóa riêng tư đơn giản mà Triều Tiên đã dựa vào trong lịch sử.

Vụ hack Drift Protocol đã rút $285 triệu sau nhiều tháng kỹ nghệ xã hội

TRM quy vụ tấn công Drift cho một nhóm Triều Tiên mà họ đánh giá là khác biệt với TraderTraitor, một tác nhân đe dọa Triều Tiên có liên kết nhà nước được biết đến với việc nhắm mục tiêu các công ty tiền mã hóa thông qua kỹ nghệ xã hội. Nhóm con cụ thể vẫn đang được điều tra.

Chiến dịch bắt đầu nhiều tháng trước vụ trộm và liên quan đến các cuộc gặp trực tiếp giữa các đại lý Triều Tiên và nhân viên Drift, mà TRM cho biết có thể là điều chưa từng có trong lịch sử hack tiền mã hóa của Triều Tiên. Việc dàn dựng on-chain bắt đầu vào ngày 11 tháng Ba với một lệnh rút 10 ETH từ Tornado Cash.

Cuộc tấn công khai thác một tính năng của Solana gọi là durable nonce, giúp mở rộng cửa sổ hiệu lực của một giao dịch được ký trước từ khoảng 90 giây đến vô thời hạn. Từ ngày 23 đến ngày 30 tháng Ba, kẻ tấn công đã dụ dỗ các người ký multisig của Security Council của Drift vào việc ủy quyền trước các giao dịch bằng durable nonce. Vào ngày 27 tháng Ba, Drift đã chuyển Security Council của mình sang cấu hình ngưỡng 2/5 với zero timelock, mà kẻ tấn công sau đó đã khai thác.

Song song đó, kẻ tấn công đã tạo ra một token có tên CarbonVote Token (CVT), cung cấp thanh khoản cho nó và thổi phồng giá thông qua giao dịch rửa tiền. Các oracle của Drift coi CVT là tài sản thế chấp hợp lệ.

Vào ngày 1 tháng Tư, các giao dịch được ký trước đã được phát sóng. TRM cho biết 31 lần rút tiền đã được thực hiện trong khoảng 12 phút, rút cạn USDC, JLP (token nhà cung cấp thanh khoản Jupiter) và các tài sản khác. Phần lớn tiền đã được chuyển qua cầu nối cross-chain sang Ethereum trong vài giờ và không di chuyển kể từ đó.

KelpDAO mất $292 triệu do lỗ hổng LayerZero Single-Verifier

Vụ vi phạm KelpDAO vào ngày 18 tháng Tư nhắm vào cầu nối cross-chain rsETH LayerZero của dự án trên Ethereum. rsETH là token liquid restaking của KelpDAO, đại diện cho ETH được restake trên nhiều giao thức.

Theo TRM, những kẻ tấn công đã xâm phạm hai nút RPC nội bộ và thay thế phần mềm nút để khiến chúng báo cáo dữ liệu blockchain sai. Sau đó chúng tung ra cuộc tấn công DDoS chống lại các nút RPC bên ngoài không bị xâm phạm, buộc bộ xác minh của cầu nối phải chuyển sang hai nút nội bộ bị nhiễm độc.

Các nút bị nhiễm độc đã báo cáo sai rằng rsETH đã được đốt trên chuỗi nguồn, mặc dù không có lần đốt nào xảy ra. Bộ xác minh duy nhất đã xác nhận thông điệp cross-chain gian lận là hợp lệ, và kẻ tấn công đã rút khoảng 116.500 rsETH trị giá khoảng $292 triệu từ hợp đồng cầu nối.

TRM cho biết cấu hình single-DVN (Decentralized Verifier Network) là lỗ hổng cốt lõi. LayerZero hỗ trợ cấu hình nhiều bộ xác minh độc lập để xác thực cross-chain, nhưng việc triển khai rsETH của KelpDAO chỉ sử dụng LayerZero Labs DVN. Khi không cần bộ xác minh thứ hai đồng ý, một nguồn dữ liệu bị nhiễm độc là đủ.

TRM quy vụ khai thác cho Triều Tiên dựa trên phân tích on-chain của cả việc tài trợ trước và rửa tiền. Một phần nguồn tài trợ ban đầu được truy xuất về ví Bitcoin năm 2018 do Wu Huihui kiểm soát, một môi giới tiền mã hóa người Trung Quốc bị truy tố vào năm 2023 vì rửa tiền từ các vụ trộm của Lazarus Group, đơn vị hack có liên kết nhà nước Triều Tiên đứng sau một số vụ khai thác tiền mã hóa lớn nhất được ghi nhận. Các khoản tiền khác có nguồn gốc từ vụ hack BTCTurk, một vụ trộm TraderTraitor gần đây khác.

Các vụ hack Drift và KelpDAO tiết lộ các chiến lược rửa tiền tiền mã hóa khác nhau

Drift và KelpDAO thể hiện các phương thức rửa tiền khác nhau được định hình bởi các điều kiện hoạt động khác nhau.

Đối với Drift, các token bị đánh cắp được chuyển đổi thành USDC qua Jupiter, chuyển qua cầu nối cross-chain sang Ethereum, hoán đổi thành ETH và phân phối qua các ví mới. Tiền không di chuyển kể từ ngày vụ trộm xảy ra. Nhóm chịu trách nhiệm tuân theo một mô hình Triều Tiên đã được ghi nhận là giữ tiền thu được trong nhiều tháng hoặc nhiều năm trước khi thực hiện rút tiền có cấu trúc.

KelpDAO đã đi theo hướng ngược lại. Các hacker TraderTraitor để lại khoảng 30.766 ETH trên Arbitrum, và Arbitrum Security Council đã sử dụng quyền hạn khẩn cấp để đóng băng khoảng $75 triệu trong số đó. Việc đóng băng đã kích hoạt một cuộc tranh giành rửa tiền nhanh chóng.

Khoảng $175 triệu ETH không bị đóng băng đã được hoán đổi thành Bitcoin, chủ yếu thông qua THORChain, một giao thức thanh khoản cross-chain không có yêu cầu KYC. Umbra, một công cụ bảo mật Ethereum, đã được sử dụng để che giấu một số liên kết ví trước khi chuyển đổi. TRM cho biết giai đoạn rửa tiền đang diễn ra được xử lý gần như hoàn toàn bởi các trung gian người Trung Quốc thay vì chính người Triều Tiên.

THORChain đã xử lý phần lớn tiền thu được từ cả vụ vi phạm Bybit năm 2025 và vụ hack KelpDAO năm 2026, chuyển đổi hàng trăm triệu ETH bị đánh cắp thành Bitcoin mà không có sự can thiệp của người vận hành. Vào năm 2025, phần lớn tiền Bybit bị đánh cắp đã được chuyển đổi từ ETH sang BTC qua THORChain từ ngày 24 tháng Hai đến ngày 2 tháng Ba. KelpDAO đã làm theo kịch bản tương tự vào tháng Tư năm 2026.

Các nhà phát triển và người xác thực của THORChain đã nói rằng giao thức này là phi tập trung, không có người vận hành trung tâm và không thể từ chối các giao dịch. Các tuyên bố gần đây trên X của các thành viên dự án gợi ý rằng điều này không phải, hoặc không phải lúc nào cũng, là trường hợp đó.

Những điều TRM cho biết các nhóm tuân thủ nên theo dõi

Báo cáo liệt kê bốn ưu tiên giám sát cho các sàn giao dịch và các giao thức DeFi（Decentralized Finance）.

Các sàn giao dịch nhận dòng BTC từ các pool THORChain nên kiểm tra đối chiếu với các cụm địa chỉ KelpDAO và Lazarus Group đã biết. Việc quy kết các địa chỉ KelpDAO cụ thể vẫn đang tiến hành và TRM khuyến nghị kiểm tra lại các khoản nạp sau 30 ngày, vì việc quy kết cho các địa chỉ liên quan đến KelpDAO vẫn đang được hoàn thiện.

Các giao thức sử dụng Solana Security Council multisig với ủy quyền durable nonce nên coi sự cố Drift là một cuộc tấn công mẫu sẽ được sao chép, vì nó nhắm vào cơ sở hạ tầng quản trị thay vì logic ứng dụng.

Việc kiểm tra địa chỉ first-hop đơn thuần sẽ không bắt được các khoản tiền đã đi qua các ví trung gian trước khi đến sàn giao dịch. Cả KelpDAO lẫn Bybit đều liên quan đến cơ sở hạ tầng cầu nối hoặc cross-chain, và TRM cho biết phân tích multi-hop là cần thiết.

TRM cũng đề cập đến Beacon Network của mình, có hơn 30 thành viên, bao gồm Coinbase, Binance, Kraken, OKX và Crypto.com, và tự động theo dõi các địa chỉ kẻ tấn công bị gắn cờ theo thời gian thực khi các khoản tiền liên quan đến Triều Tiên đến một tổ chức tham gia.