Hacker Triều Tiên thâm nhập hơn 40 giao thức DeFi, đánh cắp 7 tỷ USD

Một nhà phân tích an ninh mạng đã tiết lộ rằng các nhân viên CNTT Triều Tiên đã thâm nhập thành công vào hơn 40 giao thức tài chính phi tập trung (DeFi) trong bảy năm qua, nhúng mình vào các dự án từ thời kỳ “mùa hè DeFi” năm 2020. Các hoạt động này có liên quan đến các nhóm hacker do nhà nước bảo trợ như Lazarus Group, nhóm được ước tính đã đánh cắp 7 tỷ USD kể từ năm 2017.

“Rất nhiều nhân viên CNTT của CHDCND Triều Tiên đã xây dựng các giao thức mà bạn biết và yêu thích, từ thời mùa hè DeFi,” nhà phát triển MetaMask và nhà nghiên cứu bảo mật Taylor Monahan cho biết trong một bài đăng trên mạng xã hội vào Chủ nhật. Monahan nói thêm rằng “bảy năm kinh nghiệm phát triển blockchain” được liệt kê trên một số hồ sơ “không phải là lời nói dối.”

Những tiết lộ này kết nối các chiến lược thâm nhập dài hạn với một số vụ trộm lớn nhất trong ngành tiền điện tử. Theo các nhà phân tích tại R3ACH Network, Lazarus Group có liên quan đến các vụ khai thác lớn bao gồm vụ hack Ronin Bridge trị giá 625 triệu USD vào năm 2022 và vụ khai thác 280 triệu USD gần đây của Drift Protocol dựa trên Solana. Chiến dịch kéo dài này làm nổi bật một vector đe dọa dai dẳng và đang phát triển đối với toàn bộ hệ sinh thái DeFi.

Sự thâm nhập dài hạn này gây ra rủi ro an ninh vận hành đáng kể cho ngành tiền điện tử, buộc các giao thức phải đánh giá lại quy trình tuyển dụng và xác minh đối tác của họ. Việc sử dụng các trung gian tinh vi, không mang quốc tịch Triều Tiên cho thấy rằng các bước kiểm tra lý lịch đơn giản không còn đủ để ngăn chặn các cuộc tấn công có thể đã được lên kế hoạch trong nhiều tháng hoặc thậm chí nhiều năm.

Chiến thuật thâm nhập phát triển

Vụ khai thác 280 triệu USD gần đây nhắm vào Drift Protocol đã làm sáng tỏ các phương pháp đang phát triển được các nhóm liên kết với nhà nước này sử dụng. Trong một bài phân tích sau sự cố, nhóm Drift cho biết họ có “niềm tin từ trung bình đến cao” rằng cuộc tấn công được thực hiện bởi một nhóm Triều Tiên. Tuy nhiên, các nhà phát triển giao thức lưu ý rằng những cá nhân họ gặp trực tiếp không phải là công dân Triều Tiên.

Thay vào đó, những kẻ tấn công đã sử dụng “các bên trung gian thứ ba”, những người có “danh tính được xây dựng đầy đủ bao gồm lịch sử làm việc, chứng chỉ công khai và mạng lưới chuyên nghiệp.”

Chiến thuật này đã được xác nhận bởi Tim Ahhl, người sáng lập Titan Exchange, người đã kể lại trải nghiệm trước đây khi phỏng vấn một ứng viên sau đó được xác định là đặc vụ Lazarus. “Chúng tôi đã phỏng vấn một người hóa ra là đặc vụ Lazarus,” Ahhl nói, lưu ý rằng ứng viên “đã thực hiện các cuộc gọi video và có trình độ cực kỳ cao” nhưng đã từ chối phỏng vấn trực tiếp. Văn phòng Kiểm soát Tài sản Ngoại gia (OFAC) của Hoa Kỳ duy trì một danh sách trừng phạt mà các doanh nghiệp tiền điện tử có thể sử dụng để sàng lọc, nhưng các chiến thuật kỹ thuật xã hội đang phát triển này làm phức tạp việc tuân thủ.

Đánh giá mối đe dọa

Nhà phân tích blockchain ZachXBT cảnh báo không nên gộp tất cả các mối đe dọa mạng liên quan đến Triều Tiên lại với nhau. Ông giải thích rằng Lazarus Group là một thuật ngữ chung cho “tất cả các tác nhân mạng do nhà nước CHDCND Triều Tiên bảo trợ”, nhưng mức độ phức tạp của các cuộc tấn công của họ khác nhau.

Các mối đe dọa đến qua các bài đăng tuyển dụng, LinkedIn hoặc email là “cơ bản và không có gì tinh vi,” ZachXBT nói, đồng thời cho biết thêm rằng lợi thế chính của họ là “không ngừng nghỉ.” Ông lập luận rằng việc mắc bẫy những âm mưu như vậy vào năm 2026 cho thấy một mức độ cẩu thả nhất định. Các cuộc tấn công tinh vi hơn, như cuộc tấn công vào Drift Protocol, liên quan đến nhiều tháng chuẩn bị có tính toán và kỹ thuật xã hội, đại diện cho một mối đe dọa nguy hiểm hơn nhiều.

Thành công liên tục của các nhóm này nhấn mạnh một lỗ hổng quan trọng trong không gian DeFi, nơi đặc tính ẩn danh có thể bị khai thác. Đối với các dự án, đặc biệt là những dự án có đội ngũ giả danh, báo cáo là một lời nhắc nhở rõ ràng về nhu cầu an ninh vận hành mạnh mẽ, kiểm tra kỹ lưỡng những người đóng góp và cách tiếp cận không tin cậy (zero-trust) đối với việc phát triển và quản trị giao thức.

Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.