Vì sao Triều Tiên liên tục đánh cắp hàng tỷ đô la tiền điện tử — sự thật đã được phơi bày

Triều Tiên đã thực hiện chiến dịch xâm nhập kéo dài sáu tháng vào Drift, gây chấn động một ngành tiền mã hóa vốn đã chao đảo vì những vụ khai thác trị giá hàng tỷ đô la.

Nhưng khi tin tức lắng xuống, một câu hỏi lớn hơn dần hiện rõ: vì sao Triều Tiên cứ liên tục quay lại với tiền mã hóa, và vì sao cách tiếp cận của nước này lại khác biệt đến vậy so với mọi chiến dịch tấn công do nhà nước hậu thuẫn khác trên thế giới?

Theo các chuyên gia an ninh, câu trả lời ngắn gọn là tiền mã hóa giúp chế độ này có một nguồn doanh thu và duy trì sự sống.

“Triều Tiên không có cái xa xỉ của sự kiên nhẫn,” Dave Schwed, giám đốc vận hành tại SVRN và là người sáng lập chương trình thạc sĩ an ninh mạng tại Đại học Yeshiva, cho biết. “Họ đang chịu các lệnh trừng phạt quốc tế toàn diện và cần ngoại tệ cứng để tài trợ cho các chương trình vũ khí. Liên Hợp Quốc và nhiều cơ quan tình báo đã xác nhận rằng trộm cắp tiền mã hóa là cơ chế tài trợ chủ yếu cho việc phát triển vũ khí hạt nhân và tên lửa đạn đạo của họ.”

Sự cấp bách đó lý giải một động lực từ lâu đã khiến các nhà điều tra bối rối: vì sao các tin tặc Triều Tiên lại thực hiện những vụ trộm quy mô lớn, có thể truy vết trên các chuỗi khối công khai, thay vì âm thầm dùng tiền mã hóa để né tránh trừng phạt như các tác nhân nhà nước khác vẫn làm.

Câu trả lời, theo Schwed, mang tính cấu trúc. Nga vẫn có một nền kinh tế: dầu mỏ, khí đốt, xuất khẩu hàng hóa và các đối tác thương mại sẵn sàng tìm cách lách luật. Nước này cần tiền mã hóa như một đường thanh toán, nhưng không vì nhiều mục đích khác. Iran cũng có hàng hóa để luân chuyển — dầu mỏ bị trừng phạt, các mạng lưới tài trợ cho lực lượng ủy nhiệm, những trung gian sẵn sàng hợp tác khắp Trung Đông. Triều Tiên thì gần như không còn gì để bán.

“Hoạt động xuất khẩu của họ gần như hoàn toàn bị trừng phạt. Họ không có một nền kinh tế vận hành bình thường cần một đường thanh toán. Họ cần doanh thu trực tiếp,” Schwed nói. “Trộm cắp tiền mã hóa cho họ quyền tiếp cận ngay lập tức với giá trị thanh khoản, trên toàn cầu, mà không cần một đối tác chấp nhận làm ăn với họ.”

Sự khác biệt đó — tiền mã hóa như hạ tầng so với tiền mã hóa như mục tiêu — là điều khiến Triều Tiên khác không chỉ với Nga mà còn với cả Iran. Trong khi Nga chuyển tiền qua tiền mã hóa để lách trừng phạt, và Iran dùng nó để tài trợ cho các mạng lưới ủy nhiệm trên khắp Trung Đông, Triều Tiên đang vận hành một thứ gần giống với một chiến dịch cướp bóc do nhà nước hậu thuẫn.

“Mục tiêu của họ là các sàn giao dịch, nhà cung cấp ví, các giao thức DeFi và những kỹ sư, nhà sáng lập cá nhân có quyền ký hoặc quyền truy cập vào hạ tầng,” Alexander Urbelis, giám đốc an ninh thông tin tại ENS Labs và là giáo sư an ninh mạng tại King’s College London, cho biết. “Nạn nhân là bất kỳ ai nắm giữ khóa hoặc có quyền truy cập vào hạ tầng lưu giữ các khóa đó.”

Ngược lại, Nga và Iran xem tiền mã hóa chỉ là yếu tố phụ, là phương tiện phục vụ các mục tiêu địa chính trị rộng lớn hơn.

“Nga nhắm vào bầu cử, hạ tầng năng lượng và các hệ thống chính phủ. Iran thì nhắm vào những người bất đồng chính kiến và các đối thủ trong khu vực,” Urbelis nói. “Khi một trong hai nước này chạm vào tiền mã hóa, đó là để chuyển tiền, chứ không phải để trộm nó từ hệ sinh thái.”

Chính sự tập trung đơn nhất đó đã thúc đẩy các tác nhân Triều Tiên áp dụng những chiến thuật thường gắn với các cơ quan tình báo hơn là với tin tặc tội phạm: xây dựng quan hệ trong nhiều tháng, tạo danh tính giả và xâm nhập chuỗi cung ứng.

Chiến dịch tại Drift chỉ là ví dụ gần đây nhất.

“Bạn không đang phòng thủ trước một email lừa đảo từ một kẻ lừa đảo ngẫu nhiên,” Urbelis nói. “Bạn đang phòng thủ trước một người đã dành sáu tháng để xây dựng quan hệ, cụ thể nhằm xâm nhập vào một người duy nhất đang có quyền truy cập mà bạn cần bảo vệ.”

Bản thân kiến trúc của tiền mã hóa khiến nó trở thành một mảnh đất săn mồi đặc biệt hấp dẫn. Trong tài chính truyền thống, ngay cả khi vụ tấn công thành công, nó vẫn gặp ma sát dưới dạng kiểm tra tuân thủ, kiểm tra ngân hàng đại lý, độ trễ quyết toán và khả năng đảo ngược các giao dịch chuyển tiền gian lận. Khi tin tặc Triều Tiên thực hiện vụ cướp Ngân hàng Bangladesh năm 2016, vụ trộm mất nhiều ngày để xử lý và phần lớn số tiền cuối cùng đã được thu hồi hoặc bị chặn. Trong tiền mã hóa, không có lớp bảo vệ nào như vậy ở cấp giao thức.

“Một khi giao dịch đã được ký và xác nhận, nó là cuối cùng,” Urbelis nói. Vụ khai thác Bybit vào đầu năm ngoái đã chuyển 1,5 tỷ đô la chỉ trong khoảng 30 phút, một tốc độ và quy mô gần như không thể trong hệ thống ngân hàng truyền thống.

Tính không thể đảo ngược đó làm thay đổi hoàn toàn phép tính an ninh. Trong ngân hàng, có thể xây dựng một cơ chế phòng thủ hợp lý dựa trên phòng ngừa, phát hiện và ứng phó, vì luôn có một khoảng thời gian để đóng băng tiền hoặc đảo ngược một lệnh chuyển khoản. Trong tiền mã hóa, khoảng thời gian đó gần như không tồn tại, nghĩa là ngăn chặn một cuộc tấn công trước khi nó xảy ra không chỉ là lựa chọn tốt hơn — mà về cơ bản là lựa chọn duy nhất.

Và trong khi các ngân hàng hoạt động dưới hàng thập kỷ hướng dẫn pháp lý và yêu cầu kiểm toán, nhiều dự án tiền mã hóa vẫn đang làm theo kiểu ứng biến — thường ưu tiên tốc độ và đổi mới hơn là quản trị và kiểm soát.

Khoảng trống đó tạo ra một môi trường mà ngay cả các đội ngũ tinh vi cũng có thể bị tổn thương, đặc biệt trước kiểu xâm nhập dài hạn mà Triều Tiên đã và đang tinh chỉnh.

“Đây là vấn đề an ninh vận hành khó nhất trong tiền mã hóa hiện nay,” Urbelis nói về thách thức sàng lọc các danh tính giả tinh vi và các trung gian bên thứ ba. “Tôi không nghĩ ngành này đã giải quyết được nó.”