Sàn giao dịch tiền điện tử lớn nhất Hàn Quốc, Upbit, gần đây đã phải đối mặt với các vấn đề bảo mật mới nổi sau khi phát hiện khoảng 54 tỷ won, tương đương khoảng 36 triệu đô la Mỹ, liên quan đến tài sản liên quan đến Solana. Điều này đã dẫn đến việc công ty ngay lập tức tạm ngừng gửi và rút tiền trong dịch vụ tài sản kỹ thuật số của mình.
Các nhà điều tra ở Seoul đã khởi xướng một cuộc điều tra chính thức, và phân tích ban đầu cho thấy phương pháp này thường được sử dụng bởi Nhóm Lazarus, một trong những nhóm tội phạm mạng khét tiếng nhất thế giới có liên quan đến nhà nước.
Vụ tấn công này là một phần của năm chứng kiến tỷ lệ trộm cắp tiền điện tử đạt mức kỷ lục, và năm 2025 đã trở thành năm gây thiệt hại nặng nề nhất trong lịch sử tội phạm tài sản kỹ thuật số. Khi số tiền bị đánh cắp tăng nhanh hơn so với vài năm trước, vụ vi phạm dữ liệu Upbit là một dấu hiệu nữa cho thấy môi trường giao dịch, người dùng và các nền tảng phi tập trung đang trở nên nguy hiểm hơn.
Vụ tấn công xảy ra sau khi hệ thống của Upbit phát hiện các giao dịch chuyển tiền bất thường từ một số ví liên kết với Solana. Nhà điều hành sàn giao dịch, Dunamu, đã xác nhận việc rút tiền trái phép vài phút sau đó và thiết lập chế độ bảo mật cao.
Upbit khẳng định rằng việc bồi thường cho khách hàng sẽ được thực hiện từ nguồn dự trữ của chính họ và tài sản của các thành viên sẽ không đóng góp vào khoản lỗ dưới bất kỳ hình thức nào. Sàn giao dịch này cũng tuyên bố rằng khoảng 12 tỷ won giá trị token đã bị đóng băng nhờ sự hợp tác với các tổ chức đối tác, và các nỗ lực tiếp theo đang được tiến hành để truy tìm và đóng băng số tiền bị đánh cắp còn lại.
Chính phủ Hàn Quốc ngay lập tức bắt đầu điều tra vụ tấn công, các nhà chức trách cho rằng vụ việc này có nhiều điểm tương đồng với vụ tấn công Upbit năm 2019, gây thiệt hại 58 tỷ won và sau đó bị cáo buộc là do nhóm Lazarus gây ra. Theo các nguồn tin được hãng thông tấn Yonhap trích dẫn, sự kiện gần đây nhất có cùng đặc điểm với các vụ tấn công Lazarus trước đây, chẳng hạn như sự khác biệt trong định tuyến giao dịch và cấu trúc thời gian rút tiền.
Cơ quan phòng chống tội phạm mạng thuộc Cảnh sát Quốc gia đang tiến hành điều tra bằng phương pháp pháp y, và cộng đồng tình báo Hàn Quốc đang nghiên cứu sự di chuyển của các chuỗi chéo để xác định sự hiện diện của cơ sở hạ tầng Lazarus đã biết.
Hoa Kỳ và nhiều cơ quan châu Âu từ lâu đã cảnh báo về Lazarus, một mối đe dọa mạng rất tinh vi, có khả năng phát hiện các hệ thống tài chính lớn và sử dụng mạng lưới blockchain bằng cả phương pháp kỹ thuật và kỹ thuật xã hội. Vụ việc của Upbit là một ví dụ nữa trong danh sách ngày càng dài các trường hợp mà các tác nhân liên kết với nhà nước đang mở rộng phạm vi nhắm mục tiêu vào các sàn giao dịch có tính thanh khoản cao và quy mô lớn.
Tháng 11 tiếp tục ghi nhận một tháng đắt đỏ nữa về nạn trộm cắp tiền điện tử.
Vụ tấn công mạng vào Upbit xảy ra trong một tháng vốn đã tồi tệ, khi ngành công nghiệp tiền điện tử đã chứng kiến những tổn thất lớn. Trong báo cáo về các mối đe dọa tháng 11 do CertiK phát hành, số lượng các vụ tấn công, lừa đảo và thiệt hại do rò rỉ ví được xác nhận lên tới khoảng 127 triệu đô la. Ước tính ban đầu về thiệt hại là hơn 172 triệu đô la, nhưng con số thực tế đã giảm xuống sau khi thu hồi và đóng băng tài sản.
Sự kiện gây ảnh hưởng lớn nhất là vụ tấn công vào giao thức thanh khoản Balancer, gây thiệt hại hơn 113 triệu đô la. Vụ tấn công đã tác động đến nhiều hệ sinh thái liên quan đến Ethereum và các nền tảng Layer-2, làm gián đoạn các nhóm thanh khoản và ảnh hưởng đến Các ứng dụng phi tập trung (DAPPS) liên quan. Nền tảng BEX của Berachain cũng chịu tổn thất 12 triệu đô la, nhưng đã thông báo rằng số tiền bị đánh cắp có thể được đóng băng hoặc thu hồi thành công, nâng tổng số tiền (45 triệu đô la) bị đóng băng hoặc thu hồi trong suốt tháng lên con số này.
Ngoài ra, các nền tảng khác như Beets và Gana Payment cũng báo cáo những lỗ hổng nghiêm trọng, gây thiệt hại lần lượt hơn 3,8 triệu đô la và 3,1 triệu đô la. Mặc dù nhỏ hơn các vụ vi phạm giao thức lớn, chúng đã làm nổi bật những lỗ hổng chưa được khắc phục trong bảo mật vận hành và bề mặt tấn công nhắm vào người dùng.
Số liệu thống kê tháng 11 cho thấy các nền tảng tài chính phi tập trung (DeFi đã chịu tổn thất hơn 134 triệu đô la do các vụ khai thác được xác nhận, chủ yếu là do sự hiện diện của lỗ hổng trong mã lập trình của hợp đồng thông minh. Khoảng 33 triệu đô la cũng được thêm vào tổng số tiền thiệt hại do việc xâm phạm ví điện tử, thường là do thông tin đăng nhập bị đánh cắp hoặc phần mềm độc hại gây ra.
Mặc dù các vụ tấn công lừa đảo vẫn được báo cáo nhiều, nhưng số vụ tấn công này đã giảm đáng kể. Trong tháng 11, thiệt hại liên quan đến lừa đảo chỉ khoảng 5,8 triệu đô la so với 28 triệu đô la trong tháng 10, nhưng các nhà phân tích cảnh báo rằng sự giảm này không phải là xu hướng dài hạn. Lĩnh vực bị ảnh hưởng nhiều thứ hai là các sàn giao dịch, với Upbit là đơn vị chịu ảnh hưởng lớn tiếp theo, và lần này tổng thiệt hại lên tới gần 29 triệu đô la do các vi phạm hoạt động.
Năm 2025 đã trở thành năm tồi tệ nhất đối với tội phạm tiền điện tử.
Phân tích của Chainalysis về tình hình, được công bố vào giữa năm 2025, cho thấy hơn 2,17 tỷ đô la tiền điện tử đã bị đánh cắp chỉ trong nửa đầu năm 2025. Con số này đã vượt quá tổng số tiền bị đánh cắp trong cả năm 2024 và thể hiện một xu hướng sẽ tiến gần hoặc thậm chí vượt qua 4 tỷ đô la vào cuối năm.
Sự kiện đáng chú ý nhất trong bối cảnh an ninh mạng năm 2025 sẽ là vụ tấn công Bybit trị giá 1,5 tỷ đô la do Triều Tiên gây ra. Đây là vụ trộm tiền điện tử lớn nhất từ trước đến nay, chiếm khoảng 70% tổng giá trị tiền điện tử bị đánh cắp bởi các dịch vụ trong năm nay. Điều đặc biệt đáng chú ý về vụ tấn công này là quy mô và quan trọng hơn là phương thức thực hiện, được cho là bao gồm việc xâm nhập sâu vào hệ thống CNTT của nhân viên thông qua các nỗ lực kỹ thuật xã hội tinh vi. Các vụ tấn công khác có liên hệ với Triều Tiên cũng sử dụng các kỹ thuật xâm nhập tương tự, cho thấy các tổ chức được nhà nước hậu thuẫn đang khai thác nhiều điểm yếu nội bộ của con người hơn, thay vì chỉ tập trung vào việc xâm nhập kỹ thuật.
Các cuộc tấn công nhắm vào dịch vụ hoặc các cuộc tấn công được đánh giá dựa trên mức độ thiệt hại gây ra chiếm ưu thế, nhưng việc xâm phạm ví điện tử cá nhân đang chiếm một phần ngày càng lớn trong tổng hoạt động tội phạm. Chainalysis dự đoán rằng hơn 23% tổng số tiền bị đánh cắp hiện nằm trong ví cá nhân vào năm 2025, cho thấy sự gia tăng các phần mềm độc hại có chủ đích, việc thu thập thông tin đăng nhập và các hoạt động lừa đảo tinh vi.
Tổng số tài sản bị đánh cắp được lưu trữ trong các địa chỉ ví cá nhân do kẻ tấn công kiểm soát hiện nay ước tính khoảng 8,5 tỷ đô la, so với 1,28 tỷ đô la từ các cuộc tấn công cấp dịch vụ trên on-chain. Xu hướng này cho thấy, thông thường, kẻ tấn công thích giữ tiền bị đánh cắp ở trạng thái " Intercontinental Exchange (ICE)", không nhất thiết phải rửa tiền ngay lập tức, có lẽ vì chúng tự tin hơn vào khả năng không bị phát hiện hoặc đang hành động vào thời điểm thuận lợi dựa trên các yếu tố thị trường.
