## Bắc Triều Tiên hacker truy cập dữ liệu và cập nhật hồ sơ: Nạn trộm cắp tiền mã hóa năm 2025 ở mức độ lịch sử

Ngành công nghiệp tiền mã hóa tiếp tục đối mặt với mối đe dọa tấn công mạng của Bắc Triều Tiên trong năm 2025. Theo khảo sát của các công ty phân tích chuỗi, các hacker Bắc Triều Tiên đã chuyển sang chiến thuật gây thiệt hại lớn hơn với số lần tấn công ít hơn trong năm nay, ghi nhận quy mô trộm cắp lớn nhất trong lịch sử. Sự thay đổi này cho thấy các kẻ tấn công ngày càng nhắm chính xác hơn vào các lỗ hổng bảo mật và phương pháp xâm nhập ngày càng tinh vi hơn.

### Ghi nhận kỷ lục về số tiền trộm cắp: Chuyển từ chất lượng sang số lượng

Từ tháng 1 đến đầu tháng 12 năm 2025, tổng số tiền bị trộm khỏi hệ sinh thái tiền mã hóa vượt quá 3.4 tỷ USD, trong đó nhóm hacker liên quan đến Bắc Triều Tiên chiếm phần lớn. Số tài sản mã hóa bị trộm trong năm này ít nhất đạt 2.02 tỷ USD, tăng 51% so với năm 2024.

Điều đáng chú ý là, mặc dù số vụ tấn công giảm, nhưng số tiền bị trộm cắp lại tăng mạnh. Điều này cho thấy chiến thuật của hacker Bắc Triều Tiên đã thay đổi. Trước đây, họ thường thử nhiều xâm nhập nhỏ lẻ, nhưng hiện nay chuyển sang tấn công tập trung vào các mục tiêu có giá trị cao hơn trong phạm vi hạn chế hơn. Kết quả là, tổng số tiền bị trộm cắp của Bắc Triều Tiên đã đạt 6.75 tỷ USD, lớn nhất trong lịch sử tiền mã hóa.

Chỉ riêng 3 vụ trộm cắp lớn nhất trong năm 2025 đã chiếm 69% tổng số. Khoảng cách giữa thiệt hại của một vụ tấn công đơn lẻ lớn nhất và trung bình đã mở rộng đến mức chưa từng có, đạt tới 1000 lần. Điều này còn vượt xa đỉnh cao của thị trường tăng giá năm 2021.

### Tiến hóa phương pháp tấn công: Từ xâm nhập nội bộ đến lừa đảo cấp cao

Phương thức tấn công của hacker Bắc Triều Tiên không còn đơn thuần là xâm nhập nội bộ, mà đã phát triển thành các kỹ thuật xã hội tinh vi hơn.

Trước đây, họ thường trà trộn vào doanh nghiệp với vai trò nhân viên IT để lấy quyền truy cập đặc quyền. Tuy nhiên, các hoạt động gần đây cho thấy chiến thuật này đã thay đổi căn bản. Nhóm hiện tại giả danh các nhà tuyển dụng của các công ty Web3 lớn hoặc các công ty AI, xây dựng quy trình tuyển dụng giả mạo. Khi nạn nhân tiến tới "phỏng vấn kỹ thuật", hacker yêu cầu thông tin đăng nhập, mã nguồn, truy cập VPN, xác thực đăng nhập một lần (SSO). Một khi đã có được các thông tin mật này, chúng có thể xâm nhập toàn bộ hệ thống.

Thêm vào đó, còn có xu hướng nguy hiểm hơn là các cuộc tấn công xã hội nhắm vào cấp quản lý cấp cao. Giả danh các nhà đầu tư chiến lược hoặc đại diện các công ty mua lại, qua các cuộc họp gọi là "đánh giá thẩm định", chúng cố gắng thu thập thông tin hệ thống và các chi tiết về hạ tầng quan trọng.

Các mô hình tấn công ngày càng tinh vi này cho thấy nhóm Bắc Triều Tiên không chỉ là các tổ chức tội phạm đơn thuần, mà còn là các tổ chức được nhà nước hậu thuẫn, nhắm mục tiêu chiến lược vào các doanh nghiệp quan trọng.

### Mẫu hình rửa tiền riêng biệt: Bí mật chu kỳ 45 ngày

Hacker Bắc Triều Tiên thể hiện một mô hình xử lý tiền bị trộm khác hẳn các nhóm tội phạm khác. Phân tích hoạt động của họ cho thấy, quá trình chuyển đổi từ trộm cắp sang quy đổi thành tiền pháp định diễn ra theo một chu kỳ nhất quán kéo dài khoảng 45 ngày.

**Giai đoạn ban đầu (0–5 ngày sau trộm cắp)**

Trong giai đoạn hỗn loạn ngay sau tấn công, số tiền bị trộm đổ vào các giao thức DeFi tăng 370%. Đồng thời, việc sử dụng các dịch vụ trộn tiền (mixing) cũng tăng từ 135–150%, tạo thành "lớp thứ nhất" gây khó khăn cho việc truy vết. Thời điểm này, ưu tiên của hacker là che giấu dấu vết trộm cắp nhanh chóng.

**Giai đoạn trung kỳ (6–10 ngày)**

Trong giai đoạn phân tán vốn ra toàn hệ sinh thái, các giao dịch không cần xác thực bắt đầu tăng lên trên các nền tảng giao dịch không xác thực và các sàn tập trung (CEX). Mức sử dụng các dịch vụ này tăng từ 32–37%. Việc chuyển tiền qua cầu chuỗi chéo (cross-chain bridge) giữa các blockchain cũng trở nên sôi động, làm phức tạp thêm việc truy vết.

**Giai đoạn cuối (20–45 ngày)**

Trong giai đoạn này, vốn chuyển vào các nền tảng không cần xác thực, các dịch vụ thế chấp, và mạng lưới rửa tiền bằng tiếng Trung. Tại đây, số tiền cuối cùng sẽ được đổi sang tiền pháp định.

Nhóm Bắc Triều Tiên đặc biệt ưa chuộng các dịch vụ chuyển tiền bằng tiếng Trung và các tổ chức thế chấp (tăng từ 355–1000% trở lên). Điều này cho thấy họ có mối liên hệ chặt chẽ với các mạng lưới tài chính ngầm khu vực Đông Á. Ngược lại, tỷ lệ sử dụng các giao thức cho vay DeFi và các nền tảng P2P thấp hơn nhiều so với các nhóm hacker khác.

Sự nhất quán của mẫu hình này cho thấy Bắc Triều Tiên có cách tiếp cận tổ chức cao trong quy trình rửa tiền, dựa vào các trung gian và khu vực pháp lý lỏng lẻo.

### Tăng đột biến thiệt hại từ ví cá nhân: Cảnh báo cho người dùng tiền mã hóa

Trộm cắp tiền mã hóa ở cấp độ cá nhân đã tăng trưởng chưa từng có trong năm 2025. Số vụ trộm đạt 158.000, gấp gần 3 lần so với 54.000 vụ năm 2022. Số nạn nhân cũng tăng gấp đôi từ 40.000 lên ít nhất 80.000 người.

Sự gia tăng này song hành với việc mở rộng ứng dụng tiền mã hóa, phản ánh việc nhiều người dùng phổ thông sở hữu tài sản mã hóa nhiều hơn. Đặc biệt, trên blockchain Solana, đã ghi nhận khoảng 26.500 nạn nhân, số vụ trộm cắp rất cao.

Điều thú vị là, mặc dù số vụ tăng, nhưng thiệt hại trung bình trên mỗi vụ lại giảm. Tổng thiệt hại năm 2024 là 1.5 tỷ USD, trong khi năm 2025 chỉ còn 713 triệu USD. Điều này cho thấy, trong khi hacker mở rộng đối tượng mục tiêu, số tiền bị trộm của từng nạn nhân trung bình lại giảm.

Khi khảo sát tỷ lệ thiệt hại theo mạng lưới, rủi ro bị trộm của Ethereum và TRON cao nhất, đo bằng tỷ lệ tội phạm trên 100.000 ví. Ngược lại, Base và Solana có số lượng người dùng lớn nhưng tỷ lệ thiệt hại thấp hơn đáng kể. Điều này cho thấy, không chỉ số lượng người dùng mà còn các yếu tố như môi trường ứng dụng, đặc điểm người dùng, hạ tầng tội phạm đều ảnh hưởng đến rủi ro bị trộm.

### Hi vọng trong lĩnh vực DeFi: Hiệu quả của đầu tư an ninh

Từ 2024 đến 2025, xu hướng trong lĩnh vực DeFi đã phá vỡ các quy tắc cũ. Giá trị khóa (TVL) của DeFi đã phục hồi đáng kể từ mức thấp nhất trong quá khứ, dù thiệt hại do hack vẫn duy trì ở mức thấp ổn định.

Trong lịch sử, khi quy mô tài sản rủi ro tăng, thiệt hại do hack cũng tăng theo. Điều này đã thể hiện rõ từ 2020–2021, và trong giai đoạn suy thoái 2022–2023 cũng có mối tương quan tương tự. Tuy nhiên, trong giai đoạn phục hồi từ 2024–2025, quy luật này đã không còn đúng nữa.

Sự thay đổi này cho thấy các protocol DeFi đã thực sự nâng cao an ninh, mang lại hiệu quả rõ rệt. Các nhóm phát triển protocol đã tăng cường giám sát, triển khai hệ thống phát hiện theo thời gian thực, và xây dựng cơ chế phản ứng nhanh, giúp giảm tỷ lệ thành công của các cuộc tấn công.

**Nghiên cứu điển hình: Thành công phòng thủ của Venus protocol**

Vụ tấn công vào Venus vào tháng 9 năm 2025 đã chứng minh hiệu quả của hệ thống an ninh được nâng cấp. Hacker đã xâm nhập hệ thống qua tấn công vào client Zoom, cố gắng thuyết phục người dùng phê duyệt 13 triệu USD quyền ủy thác.

Tuy nhiên, Venus đã triển khai hệ thống giám sát an ninh trước đó 1 tháng. Hệ thống này phát hiện bất thường 18 giờ trước khi tấn công bắt đầu, và cảnh báo ngay lập tức khi có các giao dịch đáng ngờ. Nhờ đó, các phản ứng sau đã được thực hiện:

- **Trong vòng 20 phút**: Ngừng hoạt động khẩn cấp protocol, ngăn chặn rò rỉ vốn
- **Trong vòng 5 giờ**: Kiểm tra an ninh, khôi phục một phần chức năng
- **Trong vòng 7 giờ**: Thanh lý các vị thế của hacker
- **Trong vòng 12 giờ**: Thu hồi toàn bộ số tiền bị trộm, khôi phục dịch vụ hoàn toàn

Đặc biệt, còn có việc phong tỏa tài sản trị giá 3 triệu USD của hacker qua cơ chế quản trị, khiến chúng không thể thu lợi mà còn mất sạch tài sản.

Trường hợp này chứng minh rằng an ninh DeFi không chỉ là các biện pháp kỹ thuật đơn thuần, mà còn là hệ sinh thái tích hợp giám sát, phản ứng và quản trị.

### Tương lai và các biện pháp đối phó với mối đe dọa truy cập dữ liệu

Dữ liệu năm 2025 cho thấy, mối đe dọa từ Bắc Triều Tiên đã có sự thay đổi về chất lượng. Số vụ tấn công giảm, nhưng sức công phá tăng, và phương pháp ngày càng kiên nhẫn, tinh vi hơn. Dựa trên ảnh hưởng của các vụ lớn tháng 2, có xu hướng các nhóm này sau khi thành công trong trộm cắp quy mô lớn, tạm thời giảm tốc độ và tập trung vào rửa tiền.

Ngành công nghiệp tiền mã hóa đối mặt với nhiều thách thức. Cần nâng cao cảnh giác với các mục tiêu giá trị cao, nhận thức rõ các phương pháp rửa tiền đặc trưng của Bắc Triều Tiên, và nhận diện mẫu hình chu kỳ 45 ngày đặc thù. Những đặc điểm này giúp phân biệt các nhóm tội phạm khác, nâng cao khả năng phát hiện và phản ứng.

Đối với Bắc Triều Tiên, vẫn duy trì hoạt động trộm cắp tiền mã hóa như một phương thức tránh các lệnh trừng phạt quốc gia, có thể chỉ là phần nổi của tảng băng chìm. Thách thức lớn nhất sau năm 2026 là làm thế nào để phản ứng chủ động trước các cuộc tấn công quy mô lớn tiếp theo.