Các hacker Triều Tiên đánh cắp $6B Crypto từ năm 2017, chiếm 76% số lỗ trong năm 2026

Các hacker Triều Tiên đã đánh cắp gần ba phần tư tổng lượng tiền điện tử mà tội phạm mạng lấy được tính đến nay trong năm 2026, thông qua hai cuộc tấn công được thực hiện chính xác trên các nền tảng tài chính phi tập trung vào tháng 4, theo công ty tình báo blockchain TRM Labs. Hai sự cố—vụ vi phạm trị giá 285 triệu USD của Drift Protocol vào ngày 1/4 và vụ khai thác trị giá 292 triệu USD của Kelp DAO vào ngày 18/4—tính chung chiếm 76% toàn bộ khoản lỗ do hack tiền điện tử được TRM Labs theo dõi cho đến hết tháng 4. Tổng thể, TRM Labs ước tính các hacker có liên quan đến Triều Tiên đã đánh cắp hơn 6 tỷ USD từ các giao thức và dự án crypto kể từ năm 2017.

Phương pháp tấn công và mức độ tinh vi

Cuộc tấn công Drift Protocol nổi bật nhờ chiến dịch lừa đảo xã hội kéo dài. Việc chuẩn bị diễn ra trên chuỗi bắt đầu từ ngày 11/3, và chiến dịch có các cuộc gặp trực tiếp giữa các đối tác trung gian của Triều Tiên và nhân viên của Drift trong suốt nhiều tháng. Kẻ tấn công đã khai thác một tính năng của Solana được gọi là durable nonce, cho phép các giao dịch đã ký trước được giữ lại và triển khai vào thời điểm sau. Vào ngày 1/4, 31 lần rút tiền được thực hiện trong khoảng 12 phút, rút cạn tài sản thực gồm USDC và JLP. Số tiền bị đánh cắp nhanh chóng được chuyển sang Ethereum và đã nằm im kể từ đó.

Cuộc tấn công Kelp DAO đi theo một hướng kỹ thuật khác. Kẻ tấn công đã xâm nhập hai nút RPC nội bộ, rồi triển khai một cuộc tấn công từ chối dịch vụ (DoS) nhắm vào các nút bên ngoài, buộc bộ xác minh đơn lẻ của cầu nối phải dựa vào các nguồn dữ liệu đã bị đầu độc. Những nút này báo cáo sai rằng tài sản cơ sở đã bị đốt trên chuỗi nguồn trong khi không hề có hành động như vậy, và khoảng 116.500 rsETH—tương đương khoảng 292 triệu USD—đã bị rút khỏi hợp đồng cầu nối Ethereum.

Xu hướng gia tăng trộm cắp crypto của Triều Tiên

Các con số phản ánh sự tập trung ngày càng tăng về hành vi đánh cắp tiền điện tử bởi các nhóm vận hành có liên hệ với nhà nước Triều Tiên. Tỷ phần của Pyongyang trong tổng tổn thất do hack crypto đã tăng từ dưới 10% trong năm 2020 và 2021 lên 22% trong 2022, 37% trong 2023, 39% trong 2024 và 64% trong 2025. Con số 76% trong năm 2026 tính đến hết tháng 4 là mức cao nhất trong kỷ lục về tỷ phần duy trì, dù hai sự cố này chỉ chiếm 3% tổng số vụ việc được ghi nhận.

Chuyển tiền và rửa tiền

Sau vụ trộm Kelp DAO, Arbitrum Security Council đã sử dụng quyền khẩn cấp để đóng băng khoảng 75 triệu USD trong số tiền bị đánh cắp còn lưu trên mạng—một can thiệp hiếm hoi đã kích hoạt phản ứng rửa tiền nhanh chóng. Sau đó, khoảng 175 triệu USD ETH được hoán đổi sang Bitcoin, chủ yếu thông qua THORChain, một giao thức thanh khoản xuyên chuỗi không yêu cầu biết khách hàng (no know-your-customer).

THORChain đã xử lý phần lớn dòng tiền thu được từ cả vụ xâm nhập Bybit năm 2025—vụ trộm tồi tệ nhất của ngành, với hơn 1,4 tỷ USD tiền crypto bị đánh cắp—và vụ hack Kelp DAO năm 2026, chuyển đổi hàng trăm triệu USD ETH bị đánh cắp sang Bitcoin mà không có nhà vận hành nào sẵn sàng đóng băng hoặc từ chối chuyển khoản.

Mức độ tinh vi của tấn công ngày càng tăng

Các nhà phân tích của TRM ghi nhận nhóm này có vẻ đang mài sắc công cụ. Họ bắt đầu suy đoán rằng các toán vận hành của Triều Tiên đang tích hợp công cụ AI vào quy trình trinh sát và lừa đảo xã hội, một diễn biến phù hợp với việc các cuộc tấn công ngày càng chính xác như vụ Drift, vốn đòi hỏi nhiều tuần thao túng nhắm mục tiêu vào các cơ chế blockchain phức tạp.