Triều Tiên lập kỷ lục về số tiền điện tử bị đánh cắp trong năm nay lên tới 2 tỷ đô la, nâng tổng số tiền bị đánh cắp từ trước đến nay lên 6,75 tỷ đô la.

Tóm lại

• Các hacker Triều Tiên đã đánh cắp 2,02 tỷ đô la tiền điện tử trong năm 2025, tăng 51% so với năm trước, nâng tổng số tiền họ đánh cắp được lên 6,75 tỷ đô la bất chấp số vụ tấn công ít hơn.
• Triều Tiên đang thực hiện các vụ trộm lớn hơn với số lượng sự cố ít hơn, thường bằng cách cài cắm nhân viên công nghệ thông tin vào các dịch vụ mã hóa hoặc sử dụng các chiến thuật mạo danh tinh vi nhắm vào các giám đốc điều hành.
• Triều Tiên thể hiện rõ sự ưu tiên đối với các dịch vụ rửa tiền bằng tiếng Trung, các dịch vụ trung gian và các giao thức trộn tiền, với chu kỳ rửa tiền 45 ngày sau các vụ trộm lớn.
• Số vụ xâm phạm ví điện tử cá nhân tăng vọt lên 158.000 vụ, ảnh hưởng đến 80.000 nạn nhân khác nhau vào năm 2025, mặc dù tổng giá trị bị đánh cắp (713 triệu đô la) đã giảm so với năm 2024.
• Mặc dù Tổng giá trị bị khóa (TVL) - VAT) trong DeFi đã tăng lên, nhưng thiệt hại do các vụ tấn công mạng vẫn được kiềm chế trong giai đoạn 2024-2025, cho thấy các biện pháp bảo mật được cải thiện đang tạo ra sự khác biệt đáng kể.

Báo cáo tội phạm tiền điện tử năm 2026 của Chainalysis

Đặt trước bản sao của bạn

Năm 2025 là một năm đầy thách thức đối với hệ sinh thái tiền điện tử, với số tiền bị đánh cắp tiếp tục gia tăng. Phân tích của chúng tôi cho thấy sự thay đổi trong mô hình trộm cắp tiền điện tử, được đặc trưng bởi bốn diễn biến chính: Persistence của Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) như một tác nhân đe dọa chính, mức độ nghiêm trọng ngày càng tăng của các cuộc tấn công riêng lẻ vào các dịch vụ tập trung, sự gia tăng các vụ xâm phạm ví cá nhân và sự phân kỳ bất ngờ trong xu hướng tấn công tài chính phi tập trung (DeFi).

Những mô hình này hiện rõ từ dữ liệu và cho thấy những thay đổi đáng kể trong cách thức xảy ra hành vi trộm cắp tiền điện tử trên các loại nền tảng và nhóm nạn nhân khác nhau. Khi việc sử dụng tài sản kỹ thuật số mở rộng và giá trị đạt đến những tầm cao mới, việc hiểu rõ những mối đe dọa an ninh đang phát triển này ngày càng trở nên quan trọng.

Tóm lại: Hơn 3,4 tỷ đô la đã bị đánh cắp trong năm 2025.

Ngành công nghiệp tiền điện tử đã chứng kiến ​​hơn 3,4 tỷ đô la bị đánh cắp từ tháng 1 đến đầu tháng 12 năm 2025, riêng vụ tấn công mạng vào Bybit hồi tháng 2 đã chiếm 1,5 tỷ đô la trong tổng số đó.

Ngoài con số thống kê ban đầu, dữ liệu còn cho thấy những thay đổi quan trọng trong thành phần của các vụ trộm này. Các vụ xâm phạm ví cá nhân đã tăng đáng kể, từ chỉ 7,3% tổng giá trị bị đánh cắp năm 2022 lên 44% năm 2024. Năm 2025, tỷ lệ này sẽ là 37% nếu không có tác động quá lớn từ vụ tấn công Bybit .

Trong khi đó, các dịch vụ tập trung đang phải chịu tổn thất ngày càng lớn do việc xâm phạm khóa riêng tư. Mặc dù sở hữu nguồn lực dồi dào và đội ngũ bảo mật chuyên nghiệp, các nền tảng này vẫn dễ bị tổn thương do thách thức bảo mật cơ bản này. Mặc dù các vụ xâm phạm như vậy không thường xuyên xảy ra (như biểu đồ bên dưới), nhưng quy mô của chúng vẫn chiếm tỷ lệ khổng lồ trong tổng lượng dữ liệu bị đánh cắp khi xảy ra, chiếm 88% tổng thiệt hại trong quý 1 năm 2025.

Persistence số lượng vụ trộm cắp vẫn ở mức cao cho thấy rằng, mặc dù một số lĩnh vực bảo mật tiền điện tử có thể đang được cải thiện, nhưng tin tặc vẫn tiếp tục thành công trên nhiều phương thức khác nhau.

Ba vụ tấn công mạng hàng đầu chiếm 69% tổng thiệt hại, trong đó các vụ ngoại lệ có mức thiệt hại cao gấp 1.000 lần so với mức trung bình.

Hoạt động đánh cắp quỹ luôn bị chi phối bởi các trường hợp ngoại lệ, với hầu hết các vụ tấn công mạng có quy mô tương đối nhỏ và một số vụ rất lớn. Nhưng năm 2025 cho thấy một sự leo thang đáng kinh ngạc: tỷ lệ giữa vụ tấn công mạng lớn nhất và mức trung bình của tất cả các vụ việc đã vượt qua Threshold 1.000 lần lần đầu tiên. Số tiền bị đánh cắp trong các vụ tấn công lớn nhất hiện nay lớn hơn 1.000 lần so với số tiền bị đánh cắp trong các vụ việc điển hình, thậm chí vượt qua cả đỉnh điểm của thị trường Bull năm 2021. Các tính toán này dựa trên giá trị USD của số tiền bị đánh cắp tại thời điểm xảy ra vụ việc.

Sự chênh lệch ngày càng lớn này đã khiến tổn thất tập trung một cách đáng kể. Ba vụ tấn công mạng lớn nhất năm 2025 chiếm 69% tổng thiệt hại dịch vụ, tạo ra một bức tranh mà các sự cố riêng lẻ có tác động rất lớn đến tổng số hàng năm. Mặc dù số lượng sự cố có thể biến động và tổn thất trung bình tăng theo giá trị tài sản, nhưng nguy cơ xảy ra các vụ vi phạm an ninh mạng nghiêm trọng riêng lẻ đang leo thang nhanh hơn nữa.

Triều Tiên vẫn là tác nhân đe dọa an ninh mạng hàng đầu, bất chấp số vụ việc được xác nhận đã giảm.

Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) tiếp tục là mối đe dọa quốc gia lớn nhất đối với an ninh tiền điện tử, đạt kỷ lục về số tiền bị đánh cắp trong năm 2025 bất chấp đánh giá về sự giảm mạnh tần suất tấn công. Trong năm 2025, tin tặc Triều Tiên đã đánh cắp ít nhất 2,02 tỷ đô la tiền điện tử (nhiều hơn 681 triệu đô la so với năm 2024), tăng 51% so với năm trước. Đây là năm nghiêm trọng nhất được ghi nhận về nạn trộm cắp tiền điện tử của DPRK xét về giá trị bị đánh cắp, với các cuộc tấn công của DPRK cũng chiếm kỷ lục 76% tổng số vụ xâm phạm dịch vụ. Nhìn chung, số liệu năm 2025 đưa ước tính tích lũy tối thiểu về số tiền điện tử bị DPRK đánh cắp lên tới 6,75 tỷ đô la.

Các tác nhân đe dọa từ Triều Tiên ngày càng đạt được những kết quả vượt trội này, thường bằng cách cài cắm các nhân viên CNTT – một trong những phương thức tấn công chính của CHDC Triều Tiên – vào các dịch vụ mã hóa để giành quyền truy cập đặc quyền và thực hiện các vụ xâm nhập có tác động lớn. Một phần của năm kỷ lục này có thể phản ánh sự gia tăng phụ thuộc vào việc thâm nhập của nhân viên CNTT tại các sàn giao dịch, các đơn vị lưu ký và các công ty web3, điều này có thể đẩy nhanh quá trình tiếp cận ban đầu và di chuyển ngang trước khi xảy ra các vụ trộm cắp quy mô lớn.

Tuy nhiên, gần đây, các đối tượng có liên hệ với Triều Tiên đã đảo ngược mô hình nhân viên CNTT này. Thay vì chỉ đơn thuần ứng tuyển vào các vị trí và tự cài cắm vào làm nhân viên, chúng ngày càng giả mạo các nhà tuyển dụng cho các công ty web3 và AI nổi tiếng, dàn dựng các quy trình tuyển dụng giả mạo mà đỉnh điểm là các "bài kiểm tra kỹ thuật" được thiết kế để thu thập thông tin đăng nhập, mã nguồn và quyền truy cập VPN hoặc SSO vào công ty hiện tại của nạn nhân. Ở cấp điều hành, một kịch bản kỹ thuật xã hội tương tự xuất hiện dưới hình thức tiếp cận giả mạo từ các nhà đầu tư hoặc người mua chiến lược được cho là, những người sử dụng các cuộc họp thuyết trình và thẩm định giả mạo để dò tìm thông tin hệ thống nhạy cảm và các đường dẫn truy cập tiềm năng vào cơ sở hạ tầng có giá trị cao - một sự phát triển dựa trực tiếp trên các hoạt động lừa đảo nhân viên CNTT của Triều Tiên và trọng tâm của chúng vào các công ty AI và blockchain có tầm quan trọng chiến lược.

Như chúng ta đã thấy trong những năm qua, CHDC Triều Tiên tiếp tục thực hiện các cuộc tấn công có giá trị cao hơn đáng kể so với các tác nhân đe dọa khác. Như biểu đồ bên dưới cho thấy, từ năm 2022-2025, các vụ tấn công mạng do CHDC Triều Tiên thực hiện chiếm phạm vi giá trị cao nhất, trong khi các vụ tấn công không do CHDC Triều Tiên thực hiện cho thấy sự phân bố bình thường hơn trên tất cả các quy mô thiệt hại. Mô hình này củng cố thêm nhận định rằng khi tin tặc Triều Tiên tấn công, chúng nhắm mục tiêu vào các dịch vụ lớn và hướng đến tác động tối đa.

Số tiền thu được kỷ lục trong năm nay đến từ số vụ việc được biết đến ít hơn đáng kể. Sự thay đổi này — ít vụ việc hơn nhưng mang lại lợi nhuận cao hơn nhiều — phản ánh tác động của vụ tấn công mạng quy mô lớn Bybit hồi tháng 2 năm 2025.

Các mô hình giặt ủi đặc trưng của CHDC Triều Tiên

Lượng tiền bị đánh cắp khổng lồ đổ vào đầu năm 2025 đã cung cấp cái nhìn sâu sắc chưa từng có về cách thức các đối tượng liên kết với Triều Tiên rửa tiền điện tử trên quy mô lớn. Mô hình hoạt động của chúng khác biệt rõ rệt so với các tội phạm mạng khác và phát triển theo thời gian, cho thấy các phương thức hoạt động hiện tại và những điểm yếu tiềm tàng.

Hoạt động rửa tiền của CHDC Triều Tiên cho thấy các mô hình phân bổ ngân sách đặc trưng, ​​với hơn 60% khối lượng giao dịch giao dịch tập trung ở mức dưới 500.000 đô la. Ngược lại, các đối tượng rửa tiền khác gửi hơn 60% số tiền của họ on-chain theo từng đợt, trong khoảng từ 1 triệu đến hơn 10 triệu đô la. Ngay cả khi CHDC Triều Tiên liên tục đánh cắp số tiền lớn hơn các đối tượng rửa tiền khác, họ vẫn cấu trúc các khoản thanh toán on-chain thành các đợt nhỏ hơn, cho thấy sự tinh vi trong hoạt động rửa tiền của họ.

So với các đối tượng tham nhũng khác trong việc rửa tiền, CHDC Triều Tiên thể hiện sự ưu tiên rõ ràng đối với một số điểm tiếp xúc nhất định:

Các hacker Triều Tiên thường ưa thích:

• Dịch vụ chuyển tiền và bảo lãnh bằng tiếng Trung (+355% đến +1000%+): Đặc điểm nổi bật nhất của chúng cho thấy sự phụ thuộc lớn vào các dịch vụ bảo lãnh bằng tiếng Trung và các mạng lưới rửa tiền bao gồm nhiều đối tượng rửa tiền khác nhau, có thể có các biện pháp kiểm soát tuân thủ yếu hơn.
• Dịch vụ cầu nối (chênh lệch +97%): Phụ thuộc nhiều vào Cầu nối liên mạng (Cross-Chain Bridges) để chuyển tài sản giữa các blockchain và cố gắng làm phức tạp việc truy vết.
• Dịch vụ trộn tiền (chênh lệch +100%): Sử dụng nhiều hơn các dịch vụ trộn tiền nhằm che giấu dòng tiền.
• Các dịch vụ chuyên biệt như Huione (+356%): Sử dụng chiến lược các dịch vụ cụ thể để hỗ trợ hoạt động rửa tiền của họ.

Các đối tượng khác tham gia vào hành vi chiếm đoạt quỹ thường có xu hướng ưa thích:

• Các giao thức cho vay (-80% chênh lệch): CHDC Triều Tiên tránh sử dụng các dịch vụ DeFi này, cho thấy sự hội nhập hạn chế với hệ sinh thái DeFi rộng lớn hơn.
• Không có giao dịch Kiểm Tra Danh Tính (KYC) (chênh lệch -75%): Điều đáng ngạc nhiên là các tác nhân đe dọa khác sử dụng các giao dịch không yêu cầu KYC nhiều hơn CHDC Triều Tiên.
• Trao đổi P2P (chênh lệch -64%): CHDC Triều Tiên thể hiện sự quan tâm hạn chế đối với các nền tảng ngang hàng (peer-to-peer).
• Trao đổi tập trung (-25% chênh lệch): Các tội phạm khác thể hiện sự tương tác trực tiếp hơn với các nền tảng trao đổi thông thường.
• Sàn giao dịch phi tập trung (DEX) (-42% chênh lệch): Các tác nhân đe dọa khác ưa chuộng DEX hơn vì tính thanh khoản và khả năng ẩn danh của chúng.

Những mô hình này cho thấy Triều Tiên hoạt động dưới những ràng buộc và mục tiêu khác biệt so với các tội phạm mạng không được nhà nước hậu thuẫn. Việc họ sử dụng rộng rãi các dịch vụ rửa tiền chuyên nghiệp bằng tiếng Trung và các nhà giao dịch OTC (giao dịch phi tập trung) cho thấy các tác nhân đe dọa từ Triều Tiên có sự liên kết chặt chẽ với các tác nhân bất hợp pháp trên khắp khu vực châu Á - Thái Bình Dương, và phù hợp với việc Bình Nhưỡng từng sử dụng các mạng lưới có trụ sở tại Trung Quốc để tiếp cận hệ thống tài chính quốc tế.

Diễn biến vụ rửa tiền bị đánh cắp sau vụ tấn công mạng vào Triều Tiên.

Phân tích của chúng tôi về hoạt động on-chain sau các vụ tấn công mạng được cho là do Triều Tiên thực hiện cho thấy một mô hình nhất quán về cách các sự kiện này liên quan đến việc di chuyển các khoản tiền bị đánh cắp trong toàn bộ hệ sinh thái tiền điện tử. Sau các vụ trộm lớn diễn ra từ năm 2022 đến năm 2025, các khoản tiền bị đánh cắp tuân theo một lộ trình rửa tiền nhiều đợt có cấu trúc, diễn ra trong khoảng 45 ngày:

Đợt 1: Thoa lớp ngay lập tức (ngày 0-5)

Trong những ngày đầu sau vụ tấn công mạng, chúng tôi nhận thấy sự gia tăng đột biến về hoạt động tập trung vào việc ngay lập tức tách tiền khỏi nguồn gây ra vụ trộm:

• Các giao thức DeFi chứng kiến ​​sự gia tăng mạnh nhất (+370%) về dòng tiền bị đánh cắp, đóng vai trò là điểm vào chính.
• Các dịch vụ trộn dữ liệu trải qua sự gia tăng đáng kể khối lượng giao dịch (+135-150%), tạo ra lớp che giấu đầu tiên.
• Giai đoạn này thể hiện những nỗ lực “bước đi đầu tiên” cấp bách nhằm tạo khoảng cách với vụ trộm ban đầu.

Giai đoạn 2: Hội nhập ban đầu (ngày 6-10)

Khi tuần thứ hai bắt đầu, chiến lược chuyển hướng sang các dịch vụ có thể giúp tích hợp nguồn vốn vào hệ sinh thái rộng lớn hơn:

• Các sàn giao dịch có Kiểm Tra Danh Tính (KYC) hạn chế (+37%) và các sàn giao dịch tập trung (+32%) bắt đầu nhận được dòng tiền
• Các dịch vụ trộn cấp hai (+76%) tiếp tục quá trình giặt tẩy với cường độ giảm.
• Cầu nối liên mạng (Cross-Chain Bridges) như XMRt (+141%) giúp phân mảnh và che giấu việc chuyển tiền giữa các chuỗi khối.
• Giai đoạn này thể hiện thời kỳ chuyển tiếp quan trọng, nơi các quỹ bắt đầu chuyển hướng đến các lối thoát tiềm năng.

Sóng 3: Tích hợp đuôi dài (ngày 20-45)

Giai đoạn cuối cùng cho thấy sự ưu tiên rõ ràng đối với các dịch vụ có thể tạo điều kiện thuận lợi cho việc chuyển đổi cuối cùng thành tiền pháp định hoặc các tài sản khác:

• Các sàn giao dịch không yêu cầu KYC (+82%) và các dịch vụ bảo lãnh như Tudou Danbao (+87%) ghi nhận sự gia tăng đáng kể.
• Các sàn giao dịch tức thời (+61%) và các nền tảng tiếng Trung như Huione (+45%) đóng vai trò là điểm chuyển đổi cuối cùng.
• Các sàn giao dịch tập trung (+50%) cũng nhận được tiền, cho thấy những nỗ lực tinh vi nhằm hòa trộn với các dòng tiền hợp pháp.
• Các khu vực pháp lý ít được quản lý hơn, được đại diện bởi các nền tảng như mạng lưới rửa tiền bằng tiếng Trung (+33%) và Grinex (+39%), hoàn thiện mô hình này.

Khoảng thời gian 45 ngày chung cho các hoạt động rửa tiền này cung cấp thông tin tình báo quan trọng cho các cơ quan thực thi pháp luật và các nhóm tuân thủ. Persistence của mô hình này trong nhiều năm cho thấy những hạn chế về mặt hoạt động mà các đối tượng liên kết với CHDC Triều Tiên phải đối mặt, có thể liên quan đến việc họ hạn chế tiếp cận cơ sở hạ tầng tài chính và cần phối hợp với các bên trung gian cụ thể.

Mặc dù các đối tượng này không phải lúc nào cũng tuân theo đúng trình tự thời gian này—một số khoản tiền bị đánh cắp vẫn nằm im trong nhiều tháng hoặc nhiều năm—nhưng mô hình này thể hiện hành vi on-chain khi tích cực rửa tiền. Điều quan trọng là phải thừa nhận những điểm mù tiềm tàng trong phân tích này, vì một số hoạt động như chuyển khóa riêng tư hoặc mua bán tiền điện tử lấy tiền pháp định trên thị trường OTC sẽ không hiển thị on-chain nếu không có thông tin xác thực.

Các nguy cơ xâm phạm ví cá nhân: Mối đe dọa ngày càng gia tăng đối với người dùng cá nhân.

Thông qua phân tích các mô hình on-chain , cùng với báo cáo từ các nạn nhân và đối tác trong ngành, chúng ta có thể hiểu được mức độ nghiêm trọng của các vụ xâm phạm ví cá nhân, mặc dù con số thực tế có thể lớn hơn nhiều. Dựa trên ước tính thấp nhất của chúng tôi, các vụ xâm phạm ví cá nhân hiện chiếm 20% tổng giá trị bị đánh cắp trong năm 2025, giảm từ 44% tổng số trong năm 2024, cho thấy sự thay đổi cả về quy mô và mô hình. Tổng số vụ trộm cắp tăng vọt lên 158.000 vụ trong năm 2025, gần gấp ba lần so với 54.000 vụ được ghi nhận vào năm 2022. Số nạn nhân duy nhất tăng từ 40.000 người vào năm 2022 lên ít nhất 80.000 người vào năm 2025. Sự gia tăng mạnh mẽ này có thể là do việc sử dụng tiền điện tử ngày càng phổ biến. Ví dụ, Solana, một trong những blockchain có số lượng ví cá nhân hoạt động lớn nhất, có số vụ việc lớn nhất từ ​​trước đến nay (~26.500 nạn nhân).

Tuy nhiên, bất chấp số vụ việc và nạn nhân tăng lên, tổng giá trị USD bị đánh cắp từ từng nạn nhân lại giảm từ mức đỉnh 1,5 tỷ USD năm 2024 xuống còn 713 triệu USD năm 2025. Điều này cho thấy tin tặc đang nhắm mục tiêu vào nhiều người dùng hơn, nhưng lại đánh cắp số tiền nhỏ hơn từ mỗi nạn nhân.

Dữ liệu về nạn nhân cụ thể theo từng mạng cung cấp thêm thông tin chi tiết về những lĩnh vực nào tiềm ẩn rủi ro lớn nhất đối với người dùng tiền điện tử. Biểu đồ bên dưới trình bày dữ liệu về nạn nhân đã được điều chỉnh theo số lượng ví cá nhân đang hoạt động trên các mạng. Khi đo lường tỷ lệ tội phạm trên 100.000 ví vào năm 2025, Ethereum và TRON cho thấy tỷ lệ trộm cắp cao nhất. Quy mô lớn của Ethereum cho thấy cả tỷ lệ trộm cắp cao và số lượng nạn nhân cao, trong khi vị thế của Tron cho thấy tỷ lệ trộm cắp cao mặc dù số lượng ví hoạt động ít hơn. Ngược lại, Base và Solana cho thấy tỷ lệ nạn nhân thấp hơn mặc dù có số lượng người dùng đáng kể.

Những khác biệt có thể đo lường được này cho thấy rủi ro bảo mật ví cá nhân không đồng nhất trong toàn bộ hệ sinh thái tiền điện tử. Sự khác biệt về tỷ lệ nạn nhân giữa các chuỗi có kiến ​​trúc kỹ thuật tương tự cho thấy các yếu tố ngoài công nghệ — chẳng hạn như nhân khẩu học người dùng, các ứng dụng phổ biến và cơ sở hạ tầng tội phạm — đóng vai trò quan trọng trong việc xác định tỷ lệ trộm cắp.

Các vụ hack DeFi : Mô hình phân kỳ báo hiệu sự dịch chuyển của thị trường

Lĩnh vực DeFi thể hiện một mô hình độc đáo trong dữ liệu tội phạm năm 2025, cho thấy sự khác biệt rõ rệt so với các xu hướng lịch sử.

Dữ liệu cho thấy ba giai đoạn riêng biệt:

• Giai đoạn 1 (2020-2021): Tổng giá trị bị khóa (TVL) (Tổng giá trị khóa (TVL) ) DeFi và tổn thất do hack tăng song song.
• Giai đoạn 2 (2022-2023): Cả hai chỉ số đều giảm cùng nhau.
• Giai đoạn 3 (2024-2025): Tổng giá trị khóa (TVL) đã phục hồi trong khi thiệt hại do tấn công mạng vẫn được kiểm soát.

Hai giai đoạn đầu tiên tuân theo một quy luật trực quan: giá trị rủi ro càng lớn thì giá trị để đánh cắp càng cao và nỗ lực của tội phạm càng lớn khi nhắm mục tiêu vào các giao thức có giá trị cao. Như tên cướp ngân hàng khét tiếng Willie Sutton từng nói: "Vì tiền ở đó."

Điều này càng làm nổi bật sự khác biệt của Giai đoạn 3 so với tiền lệ lịch sử. Tổng giá trị khóa (TVL) DeFi đã phục hồi đáng kể so với mức thấp nhất năm 2023, nhưng tổn thất do hack lại không theo kịp. Việc số vụ hack DeFi duy trì ở mức thấp ngay cả khi hàng tỷ đô la đã quay trở lại các giao thức này thể hiện một sự thay đổi có ý nghĩa.

Có hai yếu tố có thể giải thích sự khác biệt này:

• Bảo mật được cải thiện : Tỷ lệ tấn công mạng liên tục giảm bất chấp Tổng giá trị khóa (TVL) ngày càng tăng cho thấy các giao thức DeFi có thể đang triển khai các biện pháp bảo mật hiệu quả hơn so với giai đoạn 2020-2021.
• Thay đổi mục tiêu : Sự gia tăng đồng thời các vụ trộm ví cá nhân và các vụ xâm nhập dịch vụ tập trung cho thấy sự chú ý của kẻ tấn công có thể đang chuyển sang các mục tiêu thay thế.

Nghiên cứu trường hợp: Phản ứng bảo mật của Giao thức Venus

Sự cố Venus Protocol vào tháng 9 năm 2025 là một ví dụ điển hình cho thấy việc cải thiện các biện pháp bảo mật đang tạo ra sự khác biệt rõ rệt. Khi tin tặc sử dụng một máy khách Zoom bị xâm nhập để giành quyền truy cập hệ thống và thao túng người dùng để cấp quyền ủy quyền quản trị một tài khoản trị giá 13 triệu đô la, hậu quả có thể đã rất thảm khốc. Tuy nhiên, chỉ một tháng trước đó, Venus đã tích hợp nền tảng giám sát bảo mật của Hexagate .

Nền tảng này đã phát hiện hoạt động đáng ngờ 18 giờ trước khi cuộc tấn công diễn ra và tạo ra một cảnh báo khác ngay khi giao dịch độc hại xảy ra. Trong vòng 20 phút, Venus đã tạm dừng giao thức của mình, ngăn chặn mọi chuyển động tiền tệ. Phản ứng phối hợp này đã chứng minh sự phát triển của bảo mật DeFi :

• Trong vòng 5 giờ: Một phần chức năng được khôi phục sau khi kiểm tra bảo mật.
• Trong vòng 7 giờ: Buộc thanh lý ví của kẻ tấn công.
• Trong vòng 12 giờ: Khôi phục hoàn toàn số tiền bị đánh cắp và khôi phục dịch vụ.

Đáng chú ý nhất, Venus đã thông qua một đề xuất quản trị nhằm đóng băng 3 triệu đô la tài sản vẫn do kẻ tấn công kiểm soát; kẻ tấn công không những không thu được lợi nhuận mà còn thực sự bị thua lỗ.

Sự cố này minh họa những cải tiến rõ rệt trong cơ sở hạ tầng bảo mật DeFi . Sự kết hợp giữa giám sát chủ động, khả năng phản hồi nhanh chóng và các cơ chế quản trị có thể hành động dứt khoát đã làm cho hệ sinh thái trở nên linh hoạt và kiên cường hơn. Mặc dù các cuộc tấn công vẫn xảy ra, nhưng khả năng phát hiện, phản hồi và thậm chí đảo ngược chúng thể hiện một sự thay đổi cơ bản so với thời kỳ đầu DeFi , khi các vụ tấn công thành công thường đồng nghĩa với những tổn thất vĩnh viễn.

Những tác động đối với năm 2026 và những năm tiếp theo

Dữ liệu năm 2025 cho thấy một bức tranh phức tạp về sự phát triển của CHDC Triều Tiên như một tác nhân đe dọa trong lĩnh vực tiền điện tử. Khả năng thực hiện ít cuộc tấn công hơn nhưng gây thiệt hại lớn hơn nhiều của quốc gia này cho thấy sự tinh vi và kiên nhẫn ngày càng tăng. Tác động của vụ việc Bybit đến mô hình hoạt động hàng năm của CHDC Triều Tiên cho thấy rằng khi nước này thực hiện thành công một vụ trộm lớn, họ sẽ giảm tốc độ hoạt động để tập trung vào việc rửa tiền thu được.

Đối với ngành công nghiệp tiền điện tử, sự phát triển này đòi hỏi sự cảnh giác cao độ đối với các mục tiêu có giá trị cao và khả năng phát hiện tốt hơn các mô hình rửa tiền đặc trưng của CHDC Triều Tiên. Việc họ nhất quán lựa chọn một số loại dịch vụ và số tiền chuyển khoản nhất định tạo ra cơ hội phát hiện, giúp phân biệt họ với các tội phạm khác và có thể giúp các nhà điều tra xác định dấu vết hành vi on-chain của họ.

Trong bối cảnh Triều Tiên tiếp tục sử dụng hành vi đánh cắp tiền điện tử để tài trợ cho các ưu tiên của nhà nước và né tránh các lệnh trừng phạt quốc tế, ngành công nghiệp cần nhận ra rằng tác nhân đe dọa này hoạt động theo những quy tắc khác biệt so với tội phạm mạng thông thường. Thành tích kỷ lục năm 2025 của quốc gia này — đạt được với số vụ tấn công được biết đến ít hơn 74% — cho thấy chúng ta có thể chỉ đang chứng kiến ​​phần nổi của các hoạt động của họ. Thách thức trong năm 2026 sẽ là phát hiện và ngăn chặn các hoạt động có tác động lớn này trước khi các tác nhân liên kết với CHDC Triều Tiên gây ra một sự cố quy mô như vụ Bybit.

Báo cáo tội phạm tiền điện tử năm 2026 của Chainalysis

Đặt trước bản sao của bạn

Trang web này chứa các liên kết đến các trang web của bên thứ ba không thuộc quyền kiểm soát của Chainalysis, Inc. hoặc các công ty liên kết của nó (gọi chung là “Chainalysis”). Việc truy cập thông tin đó không ngụ ý sự liên kết, chứng thực, chấp thuận hoặc khuyến nghị của Chainalysis đối với trang web hoặc người điều hành của nó, và Chainalysis không chịu trách nhiệm về các sản phẩm, dịch vụ hoặc nội dung khác được lưu trữ trên đó.

Tài liệu này chỉ mang tính chất thông tin tham khảo và không nhằm mục đích cung cấp tư vấn pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến ​​cố vấn của riêng mình trước khi đưa ra các quyết định thuộc loại này. Chainalysis không chịu trách nhiệm hoặc nghĩa vụ pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành vi hoặc thiếu sót nào khác liên quan đến việc người nhận sử dụng tài liệu này.

Chainalysis không đảm bảo hoặc bảo chứng tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm đối với bất kỳ khiếu nại nào phát sinh từ lỗi, thiếu sót hoặc sự không chính xác khác của bất kỳ phần nào trong tài liệu đó.

Bài đăng " Triều Tiên gây ra vụ trộm tiền điện tử kỷ lục 2 tỷ đô la trong năm nay, đẩy tổng số tiền bị đánh cắp lên 6,75 tỷ đô la" xuất hiện đầu tiên trên Chainalysis .