Các hacker liên quan đến Triều Tiên đang tăng cường các cuộc tấn công vào lĩnh vực tiền điện tử, và một cuộc điều tra gần đây đã tiết lộ các phương pháp tinh vi của nhóm Lazarus.
Nhà phân tích On-chain ZachXBT đã tiết lộ một loạt các sự kiện liên quan đến các hoạt động mạng của chế độ này. Các sự kiện này bao gồm các hồ sơ nhà phát triển giả mạo và các chiến lược rửa tiền phức tạp.
Hacker Lazarus đánh cắp hàng triệu đô la... Triều Tiên tăng cường các cuộc tấn công tiền điện tử
Vào ngày 29 tháng 6, thám tử On-chain ZachXBT cho biết nhóm Lazarus đã lừa đảo 3,2 triệu đô la tài sản kỹ thuật số từ một người dùng vào ngày 16 tháng 5.
Các quỹ bị đánh cắp đã nhanh chóng được chuyển đổi từ Solana sang Ethereum. Sau đó, hacker đã gửi 800 ETH vào Tornado Cash, một giao thức quyền riêng tư để che giấu các giao dịch tiền điện tử.
Tại thời điểm báo cáo, khoảng 1,25 triệu đô la vẫn còn trong ví Ethereum chứa DAI và ETH.
Mặt khác, cuộc tấn công này là một phần trong loạt hoạt động của nhóm Lazarus, những người đang nhắm đến các tài sản tiền điện tử ngày càng có giá trị cao hơn.
Vào ngày 27 tháng 6, ZachXBT cho biết nhóm này đã liên quan đến một cuộc tấn công chính ảnh hưởng đến nhiều dự án NFT liên quan đến Matt Furie, người sáng lập Pepe. Các dự án như ChainSaw và Favrr cũng bị ảnh hưởng.
1/ Nhiều dự án liên quan đến người sáng lập Pepe Matt Furie & ChainSaw cũng như một dự án khác là Favrr đã bị khai thác trong tuần qua, dẫn đến việc đánh cắp khoảng 1 triệu đô la
— ZachXBT (@zachxbt) Tháng 6 27, 2025
Phân tích của tôi liên kết cả hai cuộc tấn công với cùng một nhóm nhân viên CNTT của CHDCND Triều Tiên, những người có khả năng đã được thuê một cách vô tình như các nhà phát triển. pic.twitter.com/85JRm5kLQO
Các cuộc tấn công này bắt đầu từ ngày 18, với nhiều hacker chiếm quyền kiểm soát các hợp đồng NFT, phát hành và đổ bán NFT, gây thiệt hại khoảng 1 triệu đô la cho các dự án.
Cuộc điều tra của ZachXBT tiết lộ rằng các hacker đã di chuyển các quỹ bị đánh cắp đến ba ví. Cuối cùng, họ đã chuyển đổi một số ETH thành stablecoin và chuyển đến sàn giao dịch tập trung MEXC.
Mặt khác, các mẫu chuyển khoản stablecoin được kết nối với các địa chỉ gửi MEXC cụ thể cho thấy các kẻ tấn công đã tham gia vào nhiều dự án tiền điện tử.
Ngoài ra, phân tích đã tiết lộ kết nối với các tài khoản GitHub có cài đặt tiếng Hàn và múi giờ phù hợp với hoạt động của Triều Tiên.
"Các chỉ số khác trong nhật ký nội bộ chỉ ra sự bất thường trong sơ yếu lý lịch của các nhân viên CNTT Triều Tiên đáng ngờ. Tại sao một nhà phát triển tuyên bố sống ở Hoa Kỳ lại có cài đặt tiếng Hàn, sử dụng Astral VPN và có múi giờ Châu Á/Nga?" ZachXBT đã đặt câu hỏi.
Trong trường hợp của Favrr, các điều tra viên nghi ngờ Alex Hong, giám đốc kỹ thuật của dự án, có thể là một nhân viên CNTT của Triều Tiên. ZachXBT cũng báo cáo rằng hồ sơ LinkedIn của Hong đã bị xóa gần đây và không thể xác minh được hồ sơ nghề nghiệp của anh.
Thực tế, những sự kiện này nhấn mạnh vai trò liên tục của Triều Tiên trong việc đánh cắp tiền điện tử. Công ty phân tích blockchain TRM Labs gần đây đã liên kết các hacker Triều Tiên với việc đánh cắp khoảng 1,6 tỷ đô la, chiếm khoảng 70% tổng số tài sản tiền điện tử bị đánh cắp trong năm nay.
