Theo các phương tiện truyền thông địa phương, Hàn Quốc xác nhận rằng Triều Tiên đứng sau vụ trộm 342.000 token Ethereum (ETH). Món loot năm 2019, trị giá khoảng 58 tỷ Won hoặc 41,5 triệu USD, đã bị đánh cắp từ sàn giao dịch crypto Upbit.
Các token bị đánh cắp, nay có giá trị 1,47 nghìn tỷ Won, đại diện cho một trong những vụ cướp tiền điện tử lớn nhất được quy cho Triều Tiên.
Sự liên quan của Triều Tiên được phát hiện
Theo báo cáo, Cơ quan Điều tra Quốc gia của Cơ quan Cảnh sát Quốc gia Hàn Quốc đã thông báo vào ngày 21 tháng 11 rằng hai nhóm tin tặc Triều Tiên, Lazarus và Andariel, đã tổ chức cuộc tấn công. Cả hai nhóm này đều được biết là liên kết với Cục Tình báo Tổng cục của Triều Tiên, một cơ quan nhà nước liên quan đến gián điệp mạng và tội phạm tài chính.
Các nhà điều tra dựa vào một sự kết hợp của các bằng chứng kỹ thuật số, bao gồm theo dõi địa chỉ IP và phân tích luồng tiền điện tử bị đánh cắp. Cuộc điều tra cũng xác định được dấu vết ngôn ngữ của từ vựng Triều Tiên.
"Đã được tiết lộ rằng dấu vết của thuật ngữ Triều Tiên 'Heulhan Il' (một từ có nghĩa là 'vấn đề không quan trọng') đã được tìm thấy trên máy tính được sử dụng trong cuộc tấn công tại thời điểm đó," một phương tiện truyền thông Hàn Quốc địa phương khác xác nhận.
Dấu vết ngôn ngữ này, cùng với các bằng chứng kỹ thuật khác, đã củng cố vụ việc chống lại Triều Tiên. Theo báo cáo, Cục Điều tra Liên bang Hoa Kỳ (FBI) cũng đã hỗ trợ cuộc điều tra. Họ cung cấp thêm bằng chứng liên kết cuộc tấn công với Triều Tiên.
Sau vụ trộm, các thủ phạm đã trao đổi 57% số ETH bị đánh cắp lấy BTC trên ba sàn giao dịch tiền điện tử được cho là do Triều Tiên vận hành. Các giao dịch này đã diễn ra với giá thấp hơn 2,5% so với giá thị trường, có lẽ để tăng tốc độ bán hàng. Sau đó, họ đã phân phối số ETH còn lại trên 51 sàn giao dịch nước ngoài và rửa tiền để che giấu nguồn gốc của chúng.
Diễn biến giá ETH. Nguồn: BeinCryptoVào năm 2020, một số tiền điện tử bị đánh cắp đã được xác định tại một sàn giao dịch crypto Thụy Sĩ. Sau 4 năm nỗ lực chứng minh nguồn gốc của nó với các công tố viên Thụy Sĩ, các cơ quan chức năng Hàn Quốc đã thu hồi được 4,8 BTC (BTC), trị giá khoảng 600 triệu won. Số tiền thu hồi được sau đó đã được trả lại cho Upbit vào tháng 10 năm 2024.
Lo ngại về Triều Tiên và những rắc rối của Upbit
Trong khi đó, sự liên quan của Triều Tiên trong các tội phạm tiền điện tử không phải là mới. Sau một loạt các báo cáo, các cơ quan chức năng đã ghi nhận sự thay đổi trong các chiến thuật. Như BeInCrypto đã báo cáo gần đây, các tin tặc liên kết với chế độ này đang ngày càng nhắm vào các công ty crypto bằng các phương pháp tinh vi hơn. Trong số các kỹ thuật phổ biến nhất là các chiến dịch lừa đảo và tấn công chuỗi cung ứng.
"Chiến dịch, mà chúng tôi gọi là 'Hidden Risk', sử dụng email lan truyền tin giả về xu hướng tiền điện tử để nhiễm mục tiêu thông qua một ứng dụng độc hại được ngụy trang dưới dạng tệp PDF," một báo cáo gần đây cho biết.
Sự thay đổi này trong chiến thuật nổi bật tính cấp thiết của việc tăng cường các biện pháp bảo mật mạng trên toàn ngành. Tuy nhiên, việc xác nhận sự liên quan của Triều Tiên trong vụ hack Upbit năm 2019 đánh dấu một bước phát triển đáng kể.
Trong khi Liên Hợp Quốc (UN) và các chính phủ nước ngoài trước đây đã cáo buộc Triều Tiên tài trợ cho các chương trình vũ khí của họ thông qua việc đánh cắp tiền điện tử, đây là lần đầu tiên các cơ quan chức năng Hàn Quốc chính thức liên kết chế độ này với một vụ trộm tiền điện tử lớn. Sự việc này nổi bật lên những lỗ hổng kép đang đe dọa ngành công nghiệp tiền điện tử.
Thứ nhất, các mối đe dọa bên ngoài từ các tin tặc được nhà nước tài trợ và thứ hai, các rủi ro nội bộ liên quan đến việc tuân thủ quy định không đầy đủ. Đối với vấn đề sau, và như BeInCrypto đã báo cáo, Đơn vị Tình báo Tài chính Hàn Quốc gần đây đã nêu lo ngại về các hệ thống xác minh người dùng không đầy đủ. Cụ thể, đơn vị này đã phát hiện hơn 600.000 vi phạm KYC tiềm năng tại Upbit, sàn giao dịch tiền điện tử lớn nhất Hàn Quốc.
Việc phát hiện ra các vi phạm KYC hàng loạt tại Upbit đặt ra câu hỏi về việc các sàn giao dịch có đang làm đủ để ngăn chặn các hoạt động bất hợp pháp hay không. Việc tăng cường giám sát, kết hợp với việc thực thi nghiêm ngặt hơn các biện pháp chống rửa tiền (AML), có thể giúp ngăn chặn các cuộc tấn công trong tương lai và đảm bảo một môi trường giao dịch an toàn hơn cho các nhà đầu tư.
Sàn giao dịch này cũng đang đối mặt với một cuộc điều tra chống độc quyền của Ủy ban Thương mại Công bằng Hàn Quốc, đang xem xét các hành vi lạm dụng vị trí thống lĩnh thị trường tiềm năng.
