Hàng tỷ USD bị đánh cắp, hàng chục người bị bắt: Tội phạm crypto đang đạt đỉnh hay chưa?

Các hacker có liên hệ với Triều Tiên đã đánh cắp hơn 2 tỷ USD tài sản crypto trong năm 2025 — mức cao nhất từng được ghi nhận. Trong khi đó, lực lượng thực thi pháp luật quốc tế đã thu hồi 439 triệu USD và bắt giữ hàng trăm đối tượng rửa tiền tại 40 quốc gia chỉ trong bốn tháng.

Sự đối đầu giữa các vụ tấn công mạng quy mô nhà nước và chiến dịch truy quét đa phương đang đặt ra một câu hỏi lớn: liệu hacker đang chạm ngưỡng giới hạn hay tiếp tục thích nghi để vượt qua mọi rào cản mà chính phủ dựng lên?

“Stack” tấn công mới: AI và khai thác cầu nối

Vụ hack Bybit hồi tháng 2/2025 đã trở thành dấu mốc lớn của năm, khi FBI xác định nhóm Lazarus (TraderTraitor) — do Triều Tiên hậu thuẫn — là thủ phạm đánh cắp 1,5 tỷ USD.

Nhóm này đã tiến hành chiến dịch spear-phishing và cài mã độc vào các ứng dụng giao dịch bị can thiệp trong chuỗi cung ứng, qua đó chiếm quyền truy cập ví nóng của sàn.

Theo TRM Labs, tài sản bị đánh cắp được rửa bằng cách đổi sang token gốc, nhảy qua cầu nối sang Bitcoin và Tron, rồi tiếp tục phân tán qua các giao thức ẩn danh.

Đến cuối tháng 6, Chainalysis ghi nhận thiệt hại ngành dịch vụ vượt 2,17 tỷ USD, chủ yếu đến từ vụ Bybit.

Elliptic sau đó nâng con số lên hơn 2 tỷ USD, riêng các vụ tấn công có liên hệ với Triều Tiên, đồng thời nhận thấy “mức độ rửa tiền ngày càng phức tạp nhằm né truy vết.”

Mặt trận tấn công đang dịch chuyển từ ví nóng sang cầu nối và hệ thống validator, nơi chỉ cần một điểm lỗi cũng có thể mở ra dòng tài sản khổng lồ.

Elliptic cho biết nhiều tài sản bị đánh cắp hiện được di chuyển qua hơn 3, 5, thậm chí 10 chuỗi để che giấu dấu vết.

Interpol dẫn đầu chiến dịch truy quét toàn cầu

Chiến dịch HAECHI VI của Interpol, diễn ra từ tháng 4 đến tháng 8/2025, đã thu hồi 439 triệu USD, trong đó có 97 triệu USD tài sản số, và bắt giữ hàng trăm nghi phạm tại 40 quốc gia.

Đây là chiến dịch kế tiếp HAECHI V năm 2024 – vốn từng lập kỷ lục về quy mô truy tố và thu giữ tài sản.

Song song, Europol mở rộng điều tra các mạng lưới rửa tiền và lừa đảo crypto, trong khi Lực lượng Đặc nhiệm Hành động Tài chính (FATF) công bố rằng 85 quốc gia đã triển khai quy định Travel Rule, siết chặt việc chia sẻ dữ liệu giao dịch xuyên biên giới.

Các biện pháp trừng phạt và truy tố giờ đây nhắm thẳng vào những người hỗ trợ hacker.

Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) Mỹ trong tháng 7/2025 đã trừng phạt các chuỗi doanh thu của lao động CNTT Triều Tiên, còn Bộ Tư pháp Mỹ buộc tội các hacker và cộng sự trong các vụ rửa tiền crypto.

Hệ sinh thái rửa tiền tập trung bị thu hẹp, thay vào đó là mạng lưới phi tập trung, đa chuỗi và phân mảnh.

Tuy nhiên, khi các mixer như Blender và Sinbad bị cấm, dòng tiền lại chuyển sang DEX xuyên chuỗi, USDT corridor, và OTC tại Đông Nam Á — nơi quy định còn lỏng lẻo.

Triều Tiên: đối thủ công nghệ cao và thích nghi nhanh

Các cơ quan tình báo đang dựa vào kết hợp phân tích on-chain, mã độc và tín hiệu hạ tầng mạng để truy nguồn các cuộc tấn công.

Dữ liệu cho thấy phần lớn thiệt hại 2025 đến từ các sàn giao dịch, cầu nối, và validator, thay vì người dùng cá nhân – minh chứng cho việc hacker tập trung vào mục tiêu có đòn bẩy lớn.

Tỷ lệ rút tiền trực tiếp về sàn giảm mạnh – từ khoảng 40% trong giai đoạn 2021–2022 xuống còn 15% giữa năm 2025 – trong khi các hoạt động rửa tiền qua DEX, cầu nối và OTC khu vực tăng nhanh.

Theo Chainalysis, hacker Triều Tiên đang tận dụng “chênh lệch pháp lý giữa các quốc gia” để duy trì các tuyến rửa tiền, đặc biệt tại những khu vực chưa thực thi Travel Rule hoặc kiểm soát lỏng.

Giải pháp bảo mật cho doanh nghiệp

Các chuyên gia khuyến nghị tổ chức nên coi kiểu tấn công của Triều Tiên là rủi ro hoạt động có thể dự đoán được, không phải sự cố hiếm gặp.

Các biện pháp nên triển khai gồm:

• Kiểm tra kỹ quy trình tuyển dụng, hạn chế truy cập từ đối tác kỹ thuật.

• Yêu cầu xác minh chữ ký mã nguồn cho công cụ nội bộ.

• Giới hạn ngân sách ví nóng, tự động áp dụng giới hạn tốc độ rút.

• Luyện tập quy trình ứng phó khẩn cấp: chặn địa chỉ, tạm dừng cầu nối, và báo cáo ngay cho cơ quan chức năng.

Ngoài ra, doanh nghiệp nên sử dụng danh sách cầu nối và DEX được phê duyệt, mở rộng giám sát KYC và phát hiện hành vi nhảy chuỗi hoặc đổi tài sản bất thường.

Theo Philipp Zentner, nhà sáng lập Li.Fi, “một giải pháp on-chain hoàn toàn phi tập trung là không khả thi hiện nay”. Ông cho rằng cơ chế can thiệp bán tập trung, có khả năng phản ứng tức thời khi bị hack, vẫn là lựa chọn thực tế nhất.

Đạt đỉnh hay tiếp tục thích nghi?

Năm 2025, hacker Triều Tiên đánh cắp nhiều hơn bao giờ hết, nhưng để rửa tiền, họ phải di chuyển qua nhiều chuỗi, đổi token ít phổ biến, và dựa vào môi giới OTC thay vì rút trực tiếp ở sàn lớn.

Điều đó cho thấy mặt trận phòng thủ đã tiến bộ: truy vết nhanh hơn, hợp tác quốc tế chặt chẽ hơn, nhưng hacker vẫn thích nghi nhanh hơn tốc độ điều chỉnh của các quy định.

Năm 2026 sẽ là bài kiểm tra then chốt: liệu việc áp dụng Travel Rule chặt chẽ hơn, đóng băng stablecoin nhanh hơn, và phối hợp quốc tế sâu rộng hơn có thể đủ để khiến hacker nhà nước mất khả năng rửa tiền hiệu quả, hay họ sẽ chuyển sang các khu vực yếu giám sát để tiếp tục tài trợ cho hoạt động của mình?

Câu trả lời sẽ định đoạt tương lai của ngành crypto: liệu tuân thủ có đủ để phòng thủ, hay cần thay đổi tận gốc kiến trúc hạ tầng để chống lại các mối đe dọa kiểu Triều Tiên.

• 21 triệu USD từ ví liên kết SBI Crypto bị chuyển vào Tornado Cash, nghi do tin tặc Triều Tiên
• Hacker Triều Tiên biến thư viện phần mềm thành công cụ phát tán mã độc
• Hacker Triều Tiên đánh cắp 2,83 tỷ USD crypto trong chưa đầy hai năm: Báo cáo