Điệp viên mạng Triều Tiên không còn là mối đe dọa từ xa sau vụ hack Drift 285 triệu USD

Vụ khai thác trị giá 285 triệu USD vào tháng này trên Drift, một sàn giao dịch phi tập trung (DEX), là vụ hack tiền điện tử lớn nhất trong hơn một năm qua, kể từ khi sàn giao dịch Bybit mất 1,4 tỷ USD. Các hacker được nhà nước Triều Tiên bảo trợ đã được nêu tên là những nghi phạm chính trong cả hai cuộc tấn công.

Vào mùa thu năm ngoái, những kẻ tấn công đã giả danh một công ty giao dịch định lượng và tiếp cận trực tiếp đội ngũ giao thức của Drift tại một hội nghị tiền điện tử lớn, Drift cho biết trong một bài đăng trên X vào Chủ nhật.

“Hiện tại chúng tôi hiểu rằng đây dường như là một cách tiếp cận có mục tiêu, nơi các cá nhân từ nhóm này tiếp tục cố tình tìm kiếm và lôi kéo các cộng tác viên cụ thể của Drift, gặp mặt trực tiếp, tại nhiều hội nghị lớn trong ngành ở nhiều quốc gia trong sáu tháng sau đó,” sàn DEX này cho biết.

Cho đến nay, các điệp viên mạng Triều Tiên thường nhắm mục tiêu vào các công ty tiền điện tử trực tuyến, thông qua các cuộc gọi ảo và làm việc từ xa. Một cách tiếp cận trực tiếp tại hội nghị thường không gây nghi ngờ, nhưng vụ khai thác Drift là đủ để những người tham dự phải xem xét lại các mối quan hệ được thiết lập tại các sự kiện gần đây.

Triều Tiên mở rộng kịch bản tiền điện tử ngoài các vụ hack

Công ty phân tích blockchain TRM Labs đã mô tả sự cố này là vụ hack DeFi lớn nhất năm 2026 (tính đến nay) và là vụ khai thác lớn thứ hai trong lịch sử Solana, chỉ sau vụ hack cầu nối Wormhole trị giá 326 triệu USD vào năm 2022.

Liên lạc ban đầu bắt đầu từ khoảng sáu tháng trước, nhưng bản thân vụ khai thác có dấu vết từ giữa tháng 3, theo TRM. Kẻ tấn công bắt đầu bằng việc chuyển tiền từ Tornado Cash và triển khai CarbonVote Token (CVT), đồng thời sử dụng kỹ thuật thao túng tâm lý để thuyết phục những người ký đa chữ ký phê duyệt các giao dịch cấp quyền cao hơn.

Sau đó, chúng tạo ra uy tín giả cho CVT bằng cách đúc một lượng cung lớn và thổi phồng hoạt động giao dịch để mô phỏng nhu cầu thực tế. Các oracle của Drift đã nhận tín hiệu và xử lý token này như một tài sản hợp pháp.

Khi các giao dịch được phê duyệt trước đó được thực hiện vào ngày 1 tháng 4, CVT đã được chấp nhận làm tài sản thế chấp, giới hạn rút tiền được tăng lên và tiền đã được rút dưới dạng tài sản thực, bao gồm USDC.

Theo TRM, tốc độ và sự hung hãn của việc rửa tiền sau đó đã vượt qua những gì được thấy trong vụ hack Bybit.

Triều Tiên được cho là rộng rãi đang sử dụng các vụ trộm tiền điện tử quy mô lớn như các cuộc tấn công Drift và Bybit cùng với các chiến thuật dài hạn hơn, bao gồm việc đưa các đặc vụ vào các vai trò làm việc từ xa tại các công ty công nghệ và tiền điện tử để tạo ra thu nhập ổn định. Hội đồng Bảo an Liên Hợp Quốc đã cho biết những khoản tiền như vậy được sử dụng để hỗ trợ chương trình vũ khí của quốc gia này.

Nhà nghiên cứu bảo mật Taylor Monahan cho biết việc xâm nhập vào các giao thức DeFi có từ thời “mùa hè DeFi,” đồng thời nói thêm rằng khoảng 40 giao thức đã có liên hệ với các đặc vụ bị nghi ngờ là của CHDCND Triều Tiên.

Truyền thông nhà nước Triều Tiên đưa tin vào thứ Năm rằng quốc gia này đã thử nghiệm một vũ khí điện từ và một tên lửa đạn đạo tầm ngắn, được gọi là Hwasong-11, được trang bị đầu đạn đạn chùm.

Mạng lưới xâm nhập thúc đẩy doanh thu tiền điện tử ổn định

Một cuộc điều tra riêng biệt đã tiết lộ cách một mạng lưới các công nhân công nghệ thông tin liên quan đến Triều Tiên đã tạo ra hàng triệu USD thông qua việc xâm nhập kéo dài.

Dữ liệu thu được từ một nguồn ẩn danh được chia sẻ bởi ZachXBT cho thấy mạng lưới này giả danh các nhà phát triển và nhúng mình vào các công ty tiền điện tử và công nghệ, tạo ra khoảng 1 triệu USD mỗi tháng và hơn 3,5 triệu USD kể từ tháng 11.

Nhóm này đã đảm bảo công việc bằng cách sử dụng danh tính giả, chuyển các khoản thanh toán qua một hệ thống chung, sau đó chuyển đổi tiền sang tiền pháp định và gửi đến các tài khoản ngân hàng Trung Quốc thông qua các nền tảng như Payoneer.

Hoạt động này dựa trên cơ sở hạ tầng cơ bản, bao gồm một trang web dùng chung với mật khẩu chung và bảng xếp hạng nội bộ theo dõi thu nhập.

Các đặc vụ đã nộp đơn xin việc một cách công khai bằng cách sử dụng VPN và các tài liệu giả mạo, cho thấy một chiến lược dài hạn hơn trong việc đưa các đặc vụ vào để trích xuất doanh thu ổn định.

Phòng thủ tiến hóa khi các chiến thuật xâm nhập lan rộng

Cointelegraph đã gặp một kế hoạch tương tự trong một cuộc điều tra năm 2025 do Heiner García dẫn đầu, người đã dành nhiều tháng liên lạc với một đặc vụ bị nghi ngờ.

Cointelegraph sau đó đã tham gia vào cuộc phỏng vấn giả của García với một nghi phạm tự xưng là “Motoki,” người tuyên bố là người Nhật. Nghi phạm đã tức giận ngắt cuộc gọi sau khi không giới thiệu được bản thân bằng phương ngữ bản địa giả định của mình.

Cuộc điều tra cho thấy các đặc vụ đã vượt qua các hạn chế về địa lý bằng cách sử dụng quyền truy cập từ xa vào các thiết bị đặt tại các quốc gia như Mỹ. Thay vì VPN, họ trực tiếp vận hành những máy móc đó, khiến hoạt động của họ có vẻ như là ở địa phương.

Đến nay, những người săn đầu người trong ngành công nghệ đã nhận ra rằng người ở đầu bên kia của một cuộc phỏng vấn xin việc trực tuyến thực sự có thể là một điệp viên mạng Triều Tiên. Một chiến lược phòng thủ lan truyền là yêu cầu các nghi phạm xúc phạm Kim Jong Un. Cho đến nay, chiến thuật này đã mang lại hiệu quả.

Tuy nhiên, khi Drift bị tiếp cận trực tiếp và những phát hiện của García cho thấy các đặc vụ đang tìm ra những phương pháp sáng tạo để vượt qua các hạn chế địa lý, các tác nhân Triều Tiên đã tiếp tục thích nghi với cuộc chơi mèo vờn chuột này.

Yêu cầu những người được phỏng vấn gọi lãnh đạo tối cao của Triều Tiên là một “con lợn béo” là một chiến lược hiệu quả vào thời điểm hiện tại, nhưng các nhà nghiên cứu bảo mật cảnh báo rằng điều này sẽ không có tác dụng mãi mãi.