Hackers Triều Tiên lập kỷ lục 2 tỷ USD tiền mã hóa bị cướp trong năm 2025, mô hình rửa tiền 45 ngày bị phơi bày

Một báo cáo mới từ công ty phân tích blockchain Chainalysis tiết lộ rằng các tin tặc có liên quan đến Triều Tiên đã đánh cắp ít nhất 2 tỷ đô la tiền điện tử vào năm 2025, mức tăng kỷ lục 51% so với cùng kỳ năm ngoái và số vụ trộm tích lũy của họ đã đạt 6,75 tỷ đô la. Mặc dù số lượng sự cố giảm, quy mô của một cuộc tấn công đơn lẻ là rất lớn, với 76% các cuộc tấn công lớp dịch vụ được thực hiện bởi lỗ hổng trị giá 1,4 tỷ đô la của Bybit vào tháng 3.

Lần đầu tiên, báo cáo mô tả một cách có hệ thống con đường rửa tiền độc đáo của tin tặc Triều Tiên: dựa vào các nhà cung cấp dịch vụ và máy trộn của Trung Quốc, và tuân theo chu kỳ rửa tiền điển hình trong 45 ngày. Điều này đánh dấu rằng ngành công nghiệp tiền điện tử đang phải đối mặt với một “siêu mối đe dọa” được nhà nước hậu thuẫn, có tổ chức cao và được tài trợ tốt, đặt ra những thách thức chưa từng có đối với sự hợp tác bảo mật và tuân thủ của các sàn giao dịch và giao thức toàn cầu.

Quy mô trộm cắp đạt một tầm cao mới: từ “giăng lưới rộng” đến “săn bắn và giết chóc”

Bối cảnh trộm cắp tiền điện tử vào năm 2025 đã có một bước ngoặt đáng lo ngại: tổng số vụ trộm cắp toàn cầu đã tăng lên 3,4 tỷ đô la, với gần hai phần ba “tín dụng” thuộc về một tác nhân duy nhất - một nhóm tin tặc có liên quan đến chính phủ Triều Tiên. Theo một báo cáo có thẩm quyền của Chainalysis, những tin tặc này đã đánh cắp ít nhất 2,02 tỷ USD vào năm 2025, tăng 51% so với năm 2024 nhưng cũng gấp gần 6,7 lần so với năm 2020. Quan trọng hơn, “kỷ lục” kỷ lục này xuất hiện trong bối cảnh số lượng các cuộc tấn công đã biết đã giảm đáng kể, nhấn mạnh rằng các chiến thuật của họ đã được nâng cấp từ quấy rối thường xuyên trong quá khứ sang các cuộc tấn công chính xác “phẫu thuật” chống lại các mục tiêu có giá trị cao.

Mô hình “ít hơn nhưng lớn” này được phản ánh sinh động trong dữ liệu. Báo cáo lưu ý rằng tin tặc Triều Tiên sẽ chịu trách nhiệm cho 76% các vụ xâm nhập lớp dịch vụ vào năm 2025, tỷ lệ cao nhất trong lịch sử. “Lớp dịch vụ” ở đây chủ yếu đề cập đến các sàn giao dịch tập trung (CEX), người giám sát và các nền tảng khác nắm giữ một lượng lớn tài sản của người dùng. Sự kiện tiêu biểu nhất là cuộc tấn công 1,4 tỷ USD vào Bybit vào tháng 3/2025, chiếm phần lớn tổng số tin tặc Triều Tiên bị đánh cắp trong suốt cả năm. Andrew Fierman, người đứng đầu bộ phận tình báo an ninh quốc gia tại Chainalysis, phân tích: "Sự phát triển này là sự tiếp nối của một xu hướng dài hạn. Tin tặc Triều Tiên từ lâu đã thể hiện mức độ tinh vi cao và các hoạt động năm 2025 của chúng nhấn mạnh rằng chúng đang tiếp tục phát triển chiến thuật và các mục tiêu ưa thích của mình. "Điều này cho thấy những kẻ tấn công đang theo đuổi tỷ lệ rủi ro-lợi ích tối đa, tập trung nguồn lực vào một mục tiêu duy nhất mang lại lợi nhuận đột phá.

Sự thay đổi này đặt ra mối đe dọa cấu trúc đối với hệ sinh thái tiền điện tử. Khi những kẻ tấn công nhắm mục tiêu vào các nền tảng dịch vụ cốt lõi, quan trọng về mặt hệ thống, thành công của chúng không chỉ gây ra tổn thất tài chính lớn mà còn làm suy yếu nghiêm trọng niềm tin của thị trường, gây ra cuộc khủng hoảng tin cậy và giám sát theo quy định. Không giống như các vụ trộm cắp vặt nhắm vào ví cá nhân, những cuộc tấn công này làm lung lay nền tảng của cơ sở hạ tầng của ngành.

Kỹ thuật rửa tiền: tiết lộ dây chuyền lắp ráp “dọn dẹp” quỹ 45 ngày

Trộm cắp chỉ là bước đầu tiên, và làm thế nào để rửa “tiền đen” và cuối cùng là kiếm tiền từ nó là chìa khóa cho vòng lặp khép kín của các hoạt động của tin tặc. Một đóng góp cốt lõi khác của báo cáo Chainalysis là phác thảo rõ ràng các mô hình rửa tiền chuyên môn cao và được thiết kế của các băng nhóm tin tặc Triều Tiên, khác biệt đáng kể so với các băng nhóm tội phạm mạng thông thường.

Trước hết, về chiến lược chuyển tiền, tin tặc Triều Tiên đã thể hiện ý thức chống điều tra mạnh mẽ. Họ có xu hướng chia số tiền khổng lồ bị đánh cắp thành các đợt nhỏ dưới 500.000 đô la cho các giao dịch chuyển tiền trên chuỗi, với hơn 60% giao dịch được kiểm soát dưới ngưỡng này. Ngược lại, tin tặc có xuất thân ngoài nhà nước thích thực hiện các giao dịch chuyển tiền lớn hàng triệu hoặc thậm chí hàng chục triệu đô la. Cách tiếp cận “chia nó thành nhiều mảnh” này làm tăng đáng kể độ phức tạp và chi phí của việc theo dõi trên chuỗi, một dấu hiệu của sự phức tạp ngày càng tăng của bảo mật hoạt động (OPSEC).

Thứ hai, về lựa chọn dịch vụ, sở thích của họ cho thấy sự phụ thuộc địa lý và những ràng buộc cụ thể của họ. Tin tặc Triều Tiên sử dụng rộng rãi các dịch vụ bảo lãnh, nhà môi giới và mạng lưới OTC của Trung Quốc, đồng thời phụ thuộc nhiều vào các cầu nối và bộ trộn chuỗi chéo như Tornado Cash để làm xáo trộn dòng tiền. Điều thú vị là họ có rất ít hoặc không tham gia vào các giao thức cho vay DeFi và sàn giao dịch phi tập trung (DEX) thường được sử dụng bởi những tên tội phạm khác. Chainalysis lưu ý rằng những mô hình này cho thấy các tác nhân Triều Tiên bị ràng buộc khác nhau và gắn chặt với các mạng lưới dịch vụ bất hợp pháp cụ thể ở khu vực châu Á - Thái Bình Dương, điều này có thể bắt nguồn từ thực tế lịch sử bị cô lập khỏi hệ thống tài chính chính thống toàn cầu.

Quy trình rửa tiền tiêu chuẩn 45 ngày đối với tin tặc Triều Tiên

Giai đoạn 1: Nhầm lẫn nhanh (Ngày 0-5)

• Mục tiêu cốt lõi: Ngay lập tức cắt đứt liên kết trực tiếp của tiền bị đánh cắp với địa chỉ nguồn.
• Công cụ chính: Coin mixer, giao thức DeFi (để chuyển đổi nhanh các loại tài sản).
• Mục đích: Tạo rào cản theo dõi ban đầu để câu giờ cho các hành động tiếp theo.

Giai đoạn 2: Tích hợp và phổ biến (Ngày 6-20)

• Mục tiêu cốt lõi: Đưa tiền vào hệ sinh thái rộng lớn hơn để mở đường cho việc kiếm tiền.
• Công cụ chính: Sàn giao dịch tập trung, cầu nối chuỗi chéo và dịch vụ trộn tiền thứ cấp với yêu cầu KYC lỏng lẻo.
• Mục đích: Chuyển giữa các chuỗi khác nhau, tài sản khác nhau và nền tảng dịch vụ khác nhau, làm mờ hơn nữa con đường và bắt đầu liên hệ với các kênh thoát hiểm tiềm năng.

Giai đoạn 3: Kiếm tiền cuối cùng (Ngày 21-45)

• Mục tiêu cốt lõi: Chuyển đổi tài sản tiền điện tử thành tiền pháp định hoặc các hình thức khác khó theo dõi.
• Công cụ chính: Không có sàn giao dịch KYC, nền tảng trao đổi tức thì, nhà cung cấp dịch vụ OTC của Trung Quốc và được trộn lại vào CEX chính thống để kết hợp lưu lượng giao dịch hợp pháp.
• Mục đích: Hoàn thành bước cuối cùng của rửa tiền để nhận ra giá trị kinh tế của hành vi trộm cắp.

Cuộc cách mạng chiến thuật: Trao quyền cho AI và “xâm nhập nội bộ” trở thành những kẻ giết người mới

Trộm cắp quy mô lớn và rửa tiền hiệu quả như vậy không còn được giải thích bằng các phương tiện kỹ thuật truyền thống. Các báo cáo của Chainalysis và các tín hiệu trong ngành chỉ ra rằng tin tặc Triều Tiên có thể đang thực hiện một “cuộc cách mạng chiến thuật” trên hai mặt trận, giành được lợi thế bất đối xứng.

Đầu tiên là ứng dụng chuyên sâu trí tuệ nhân tạo (AI). Andrew Fierman nói rõ với giới truyền thông rằng Triều Tiên đang sử dụng AI như một “siêu cường” cho các hoạt động hack của mình, đặc biệt là trong liên kết rửa tiền. “Việc Triều Tiên sử dụng tính nhất quán và tính linh hoạt để tạo điều kiện thuận lợi cho việc rửa tiền điện tử bị đánh cắp cho thấy việc sử dụng AI”, ông nói. Cơ chế cấu trúc của quá trình dọn dẹp và quy mô hoạt động, tạo ra một quy trình làm việc kết hợp các bộ trộn coin, giao thức DeFi và cầu nối chuỗi chéo… Để đánh cắp một lượng lớn tiền điện tử một cách hiệu quả như vậy, Triều Tiên cần một mạng lưới rửa tiền lớn và các cơ chế được sắp xếp hợp lý để tạo điều kiện thuận lợi cho việc rửa tiền, có thể dưới dạng các ứng dụng AI. "AI có thể được sử dụng để tự động tạo và chuyển đổi địa chỉ ví, tối ưu hóa đường dẫn giao dịch để phá vỡ các mô hình giám sát và thậm chí mô phỏng hành vi bình thường của người dùng để hòa nhập vào các sàn giao dịch, làm tăng đáng kể độ khó của các biện pháp đối phó.

Thứ hai là vectơ tấn công “xâm nhập nhân sự” chưa từng có. Báo cáo chỉ ra rằng tin tặc Triều Tiên đang giành được quyền truy cập đặc quyền bằng cách đặt các nhà khai thác vào các vị trí kỹ thuật trong các công ty tiền điện tử (chẳng hạn như sàn giao dịch, người giám sát, công ty Web3). Vào tháng 7, ZachXBT, một nhà điều tra on-chain nổi tiếng, tiết lộ rằng các nhân viên có liên quan đến Triều Tiên có thể đã thâm nhập vào 345 đến 920 vị trí trong ngành công nghiệp tiền điện tử toàn cầu. Cuộc tấn công “Trojan” này có thể tháo dỡ các đường an ninh bên ngoài mạnh nhất từ bên trong và trực tiếp mở cửa sau cho các giao dịch chuyển tiền quy mô lớn. Ngoài ra, tin tặc đã cải trang thành người sử dụng lao động hoặc người liên hệ trong ngành để lừa đảo thông qua các hội nghị truyền hình giả mạo và các phương tiện khác, và đã đánh cắp hơn 300 triệu đô la trong năm nay. Sự kết hợp của các phương tiện này khiến người bảo vệ khó đối phó không chỉ với các lỗ hổng mã mà còn với những điểm yếu về nhân văn và niềm tin.

Triển vọng cho năm 2026: Thách thức cuối cùng đối với quốc phòng hợp tác của ngành

Đối mặt với một đối thủ có nguồn lực quốc gia, không ngừng phát triển và liều lĩnh, ngành công nghiệp tiền điện tử sẽ phải đối mặt với bài kiểm tra căng thẳng cuối cùng trong lĩnh vực bảo mật vào năm 2026. Báo cáo của Chainalysis đưa ra một cảnh báo rõ ràng: với sự phụ thuộc ngày càng tăng của Triều Tiên vào hành vi trộm cắp tiền điện tử để tài trợ cho các ưu tiên quốc gia và phá vỡ các lệnh trừng phạt quốc tế, ngành công nghiệp phải nhận ra rằng logic và ràng buộc của hành động của tác nhân đe dọa này về cơ bản khác với tội phạm mạng thông thường.

Các vectơ tấn công trong tương lai có thể đa dạng hơn. Trong khi các sàn giao dịch tập trung lớn như Bybit và Upbit vẫn là mục tiêu có giá trị cao, các giao thức DeFi hoạt động lâu dài (chẳng hạn như sự cố Balancer và Yearn được đề cập trong báo cáo) cũng có thể xâm nhập vào tầm nhìn của kẻ tấn công. “Mặc dù chúng tôi không thể dự đoán điều gì sẽ xảy ra vào năm 2026, nhưng chúng tôi biết rằng Triều Tiên sẽ tìm cách tối đa hóa lợi nhuận mục tiêu của mình - có nghĩa là các dịch vụ có dự trữ cao phải duy trì các tiêu chuẩn an ninh cao để đảm bảo chúng không trở thành lỗ hổng tiếp theo”, Fierman nhấn mạnh. ”

Để đáp ứng thách thức này, chỉ một cơ quan duy nhất chiến đấu một mình là không còn đủ. Báo cáo kêu gọi một cơ chế phản ứng phối hợp nhanh chóng trên toàn ngành. Fierman bình luận: "Triều Tiên đang thực hiện một chiến lược rửa tiền nhanh chóng và hiệu quả. Do đó, cần có phản ứng nhanh chóng trên toàn ngành để ứng phó. Cơ quan thực thi pháp luật và khu vực tư nhân, từ các sàn giao dịch đến các công ty phân tích blockchain, cần phối hợp hiệu quả để ngăn chặn bất kỳ cơ hội nào khi tiền chảy qua stablecoin hoặc đến các sàn giao dịch nơi tiền có thể bị đóng băng ngay lập tức. "Điều này bao gồm chia sẻ thông tin tình báo về mối đe dọa theo thời gian thực, chặn chung các địa chỉ đáng ngờ trên các nền tảng và hợp tác tư pháp chặt chẽ hơn với các cơ quan thực thi pháp luật trên toàn thế giới.

Đối với các nhà đầu tư bình thường, báo cáo này là một lời nhắc nhở rủi ro mạnh mẽ rằng rủi ro lưu trữ dài hạn một lượng lớn tài sản trong các dịch vụ tập trung, ngay cả trên các nền tảng hàng đầu, đang tăng lên một cách có hệ thống. Áp dụng ví phần cứng để tự lưu ký, phân cấp lưu trữ tài sản và cảnh giác với bất kỳ thông tin liên lạc nào chưa được xác minh sẽ trở thành thói quen bảo mật cần thiết hơn. Vào năm 2026, cuộc chiến tấn công và phòng thủ giữa thế giới tiền điện tử và các tổ chức hacker cấp nhà nước chắc chắn sẽ trở nên khốc liệt hơn.