CertiK: các nhóm được Triều Tiên hậu thuẫn đã đánh cắp 6,75 tỷ USD qua 263 vụ từ 2016, biến trộm cắp tài sản mã hóa thành cơ chế tạo nguồn thu cho nhà nước.
Các nhóm tin tặc được Triều Tiên hậu thuẫn đã trở thành mối đe dọa lớn nhất đối với hệ sinh thái tài sản số toàn cầu, chịu trách nhiệm cho khoảng 60% tổng thiệt hại do trộm cắp tài sản mã hóa trong năm 2025, tương đương 2,06 tỷ USD, theo báo cáo mới từ công ty bảo mật blockchain CertiK. Xu hướng này tiếp diễn sang năm 2026 khi các tin tặc Triều Tiên chiếm 55% tổng thiệt hại tài sản mã hóa toàn cầu tính từ đầu năm.
Từ tấn công cơ hội đến cỗ máy tài chính nhà nước quy mô công nghiệp
Phân tích Skynet của CertiK ghi nhận sự chuyển đổi căn bản trong cách Bình Nhưỡng tiếp cận lĩnh vực này: từ các vụ tấn công cơ hội rời rạc sang một cơ chế tạo nguồn thu có hệ thống cho nhà nước, với tổng thiệt hại lũy kế đạt 6,75 tỷ USD qua 263 vụ kể từ năm 2016.
Công ty phân tích blockchain TRM Labs mô tả đây là mối đe dọa mang tính công nghiệp, tận dụng hoạt động mạng, hỗ trợ tình báo, hạ tầng tài chính bất hợp pháp và mạng lưới đối tác ở nước ngoài.
Kỹ nghệ thao túng tâm lý nổi lên là phương thức tấn công chủ đạo, theo báo cáo của Taylor Monahan. Vụ hack Drift Protocol trị giá 285 triệu USD hồi tháng 4, vụ tấn công DeFi lớn nhất năm 2026, là minh chứng điển hình: các tin tặc Triều Tiên đã dành sáu tháng thâm nhập nền tảng bằng cách giả danh một công ty giao dịch định lượng trước khi ra tay.
Trước đó, vụ xâm nhập Bybit vào ngày 21/2/2025, nơi 1,46 tỷ USD bị đánh cắp chỉ qua hai giao dịch, vẫn là vụ tấn công tài sản mã hóa lớn nhất mọi thời đại, với hơn 1 tỷ USD từ vụ này đã được rửa thông qua cùng hạ tầng xuyên chuỗi được CertiK mô tả trong báo cáo.
Tốc độ và quy mô rửa tiền là điểm đáng lo ngại nhất. Mạng lưới mà các nhà nghiên cứu gọi là “Chinese Laundromat”, bao gồm chủ ngân hàng ngầm, môi giới OTC, đơn vị chuyển tiền và trung gian rửa tiền thương mại, cho phép Triều Tiên xử lý tài sản đánh cắp với tốc độ chưa từng có: trong một vụ việc lớn, CertiK ghi nhận 86% số tiền đã được rửa chỉ trong vòng một tháng thông qua các sàn giao dịch phi tập trung và cầu nối xuyên chuỗi.
Về phía phản ứng, Bộ Tư pháp Mỹ đã nộp đơn kiện dân sự tịch thu nhằm vào 7,7 triệu USD liên quan đến mạng lưới lao động công nghệ thông tin Triều Tiên, trong khi hồ sơ tòa án cho thấy một ví do đại diện Ngân hàng Ngoại thương Triều Tiên kiểm soát đã nhận hơn 24 triệu USD tài sản mã hóa chỉ trong giai đoạn 2021-2023.
CertiK khuyến nghị các tổ chức có nguy cơ cao áp dụng phỏng vấn video bắt buộc, chính sách tuyển dụng zero-trust và tăng cường bảo mật kỹ thuật cho các điểm yếu phổ biến như cầu nối xuyên chuỗi và ví nóng, những biện pháp phòng thủ mà khoảng cách với mức độ tinh vi của kẻ tấn công vẫn đang nới rộng từng ngày.
