Hacker Triều Tiên đang tận hưởng một "năm bội thu": các vụ trộm cắp đạt kỷ lục vào năm 2025, với chu kỳ rửa tiền khoảng 45 ngày.

avatar
MarsBit
Bài viết này được dịch máy
Xem bản gốc

Tác giả: Chainalysis

Biên soạn bởi: Felix, PANews

Trước sự gia tăng các cuộc tấn công vào ngành công nghiệp crypto của hacker Triều Tiên, Báo cáo Hacker năm 2025 của Chainalysis tập trung vào phân tích các phương thức tấn công của hacker Triều Tiên. Chi tiết như sau.

Những điểm chính:

  • Hacker Triều Tiên đã đánh cắp số crypto trị giá 2,02 tỷ đô la trong năm 2025, tăng trưởng 51% so với năm trước. Mặc dù số lượng các cuộc tấn công giảm, tổng số tiền bị đánh cắp đã lên tới 6,75 tỷ đô la.
  • Hacker Triều Tiên đã đánh cắp được nhiều crypto hơn với số lượng cuộc tấn công ít hơn, thường bằng cách cài cắm nhân viên IT vào các dịch vụ crypto hoặc sử dụng các chiến thuật mạo danh tinh vi nhắm vào các giám đốc điều hành.
  • Hacker Triều Tiên rõ ràng ưa chuộng các dịch vụ rửa tiền bằng tiếng Trung, dịch vụ cầu nối xuyên chuỗi và các giao thức trộn tiền điện tử. Sau một vụ trộm lớn, chu kỳ rửa tiền của chúng kéo dài khoảng 45 ngày.
  • Năm 2025, số vụ trộm ví cá nhân tăng vọt lên 158.000 vụ, ảnh hưởng đến 80.000 người dùng, mặc dù tổng giá trị bị đánh cắp (713 triệu đô la) giảm so với năm 2024.
  • Mặc dù tổng giá trị bị khóa (TVL) trong DeFi tăng lên, nhưng thiệt hại hacker ra trong năm 2024 và 2025 vẫn ở mức thấp, cho thấy những cải tiến trong các biện pháp bảo mật đang phát huy tác dụng đáng kể.

Năm 2025, hệ sinh thái crypto phải đối mặt với một thách thức nghiêm trọng khác, khi số tiền bị đánh cắp tiếp tục gia tăng. Phân tích đã chỉ ra bốn đặc điểm chính của các mô hình trộm cắp crypto: hacker Triều Tiên vẫn là nguồn đe dọa chính; các cuộc tấn công riêng lẻ nhằm vào các dịch vụ tập trung ngày càng trở nên nghiêm trọng; các vụ trộm ví cá nhân tăng vọt; và xu hướng hacker DeFi bất ngờ phân nhánh.

Tình hình chung: Hơn 3,4 tỷ đô la đã bị đánh cắp trong năm 2025 .

Từ tháng 1 đến đầu tháng 12 năm 2025, ngành công nghiệp crypto đã chịu thiệt hại hơn 3,4 tỷ đô la do các vụ trộm cắp, trong đó Bybit đã bị tấn công gây thiệt hại 1,5 tỷ đô la vào tháng 2.

DeFi

Dữ liệu cũng cho thấy những thay đổi đáng kể trong các vụ trộm cắp này. Số vụ trộm ví cá nhân tăng mạnh, từ 7,3% tổng giá trị bị đánh cắp năm 2022 lên 44% năm 2024. Nếu không có tác động đáng kể của Bybit , tỷ lệ này có thể đã đạt 37% vào năm 2025.

Trong khi đó, các dịch vụ tập trung đang phải chịu tổn thất ngày càng tăng do các cuộc tấn công tinh vi nhắm vào cơ sở hạ tầng private key và quy trình ký kết. Mặc dù sở hữu nguồn lực mạnh mẽ và đội ngũ bảo mật chuyên nghiệp, các nền tảng này vẫn dễ bị tổn thương trước các mối đe dọa có thể vượt qua sự kiểm soát của ví lạnh. Mặc dù các vụ xâm nhập như vậy không thường xuyên (như thể hiện trong hình dưới đây), nhưng khi xảy ra, chúng có thể dẫn đến những vụ trộm cắp lớn, chiếm 88% tổng thiệt hại trong quý đầu tiên năm 2025. Nhiều kẻ tấn công đã phát triển phương pháp để khai thác tích hợp ví của bên thứ ba và lừa người ký ủy quyền các giao dịch độc hại.

DeFi

Mặc dù đã có những cải tiến crypto trong một số lĩnh vực, nhưng số tiền bị đánh cắp lớn cho thấy tin tặc vẫn có thể thành công bằng nhiều phương thức khác nhau.

Ba vụ tấn công mạng lớn nhất chiếm 69% hacker thiệt hại , trong đó các trường hợp cực đoan có thể lên tới gấp 1000 lần số trung vị.

Trong quá khứ, các vụ trộm cắp quỹ thường do các sự kiện cực đoan gây ra, với hầu hết hacker có quy mô tương đối nhỏ, mặc dù một số ít là rất lớn. Tuy nhiên, tình hình đã trở nên tồi tệ hơn vào năm 2025: tỷ lệ giữa hacker lớn nhất và số trung vị tất cả các vụ việc đã vượt quá 1.000 lần lần đầu tiên. Ngày nay, số tiền bị đánh cắp trong các vụ tấn công lớn nhất gấp 1.000 lần so với số tiền bị đánh cắp trong các vụ việc thông thường, thậm chí còn vượt qua cả mức đỉnh điểm của thị trường bò năm 2021. Các tính toán này dựa trên giá trị bằng đô la của số tiền bị đánh cắp tại thời điểm xảy ra vụ trộm.

DeFi

Khoảng cách ngày càng lớn này dẫn đến sự tập trung cao độ các tổn thất. Ba cuộc tấn hacker hàng đầu sẽ chiếm 69% tổng số tổn thất vào năm 2025, với các sự cố riêng lẻ có tác động đặc biệt đáng kể đến tổng tổn thất hàng năm. Mặc dù tần suất tấn công có thể biến động và tổn thất số trung vị có thể tăng lên khi giá tài sản tăng , nhưng tổn thất tiềm tàng từ các lỗ hổng bảo mật nghiêm trọng riêng lẻ đang tăng với tốc độ thậm chí còn nhanh hơn.

Mặc dù số vụ tấn công được xác nhận đã giảm, Triều Tiên vẫn là mối đe dọa chính.

Mặc dù tần suất các cuộc tấn công giảm đáng kể, Triều Tiên vẫn là quốc gia gây ra mối đe dọa nghiêm trọng nhất đối với an ninh crypto, với các vụ đánh cắp crypto đạt mức cao kỷ lục ít nhất 2,02 tỷ đô la vào năm 2025 (cao hơn 681 triệu đô la so với năm 2024), tăng trưởng 51% so với năm trước. Về số tiền bị đánh cắp, đây là năm tồi tệ nhất về các vụ đánh cắp crypto từ Triều Tiên được ghi nhận, với các cuộc tấn công từ Triều Tiên chiếm 76% tổng số vụ xâm nhập, một Cao nhất mọi thời đại (ATH). Nhìn chung, tổng số crypto bị Triều Tiên đánh cắp ước tính tối thiểu là 6,75 tỷ đô la.

Hacker Triều Tiên ngày càng sử dụng nhân viên công nghệ thông tin – một trong những phương pháp tấn công chính của họ – để giành quyền truy cập crypto và thực hiện các cuộc tấn công quy mô lớn. Số lượng các cuộc tấn công kỷ lục trong năm nay có thể phản ánh một phần sự phụ thuộc ngày càng tăng của Triều Tiên vào việc sử dụng nhân viên công nghệ thông tin để xâm nhập sàn giao dịch, các công ty lưu trữ và các công ty Web3, điều này có thể đẩy nhanh quá trình truy cập ban đầu và di chuyển ngang, từ đó tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu quy mô lớn.

Tuy nhiên, các nhóm hacker liên kết với Triều Tiên gần đây đã hoàn toàn Sự lật đổ mô hình nhân viên CNTT này. Thay vì chỉ đơn giản là nộp đơn xin việc và thâm nhập với tư cách là nhân viên, chúng ngày càng giả mạo các nhà tuyển dụng từ các công ty Web3 và AI có tiếng, tỉ mỉ tạo ra các quy trình tuyển dụng giả mạo. Cuối cùng, dưới vỏ bọc "sàng lọc kỹ thuật", chúng lấy được thông tin đăng nhập, mã nguồn và quyền truy cập VPN hoặc đăng nhập một lần (SSO) của nạn nhân vào hệ thống của công ty hiện tại. Ở cấp điều hành, các chiến thuật kỹ thuật xã hội tương tự được thực hiện dưới hình thức liên hệ từ các nhà đầu tư chiến lược hoặc người mua lại giả mạo. Chúng sử dụng các buổi thuyết trình và thẩm định giả mạo để thăm dò thông tin hệ thống nhạy cảm và cơ sở hạ tầng có giá trị cao - một sự phát triển trực tiếp dựa trên hình thức lừa đảo nhân viên CNTT của Triều Tiên và tập trung vào các công ty AI và blockchain có tầm quan trọng chiến lược.

DeFi

Như đã thấy trong những năm gần đây, các cuộc tấn công mạng liên tục của Triều Tiên có giá trị cao hơn nhiều so với các cuộc tấn công của hacker khác. Như hình dưới đây cho thấy, từ năm 2022 đến năm 2025, hacker của Triều Tiên chiếm phạm vi giá trị cao nhất, trong khi hacker công không phải của Triều Tiên được phân bổ đồng đều hơn trên tất cả các quy mô đánh cắp. Mô hình này càng cho thấy rằng khi hacker Triều Tiên tiến hành các cuộc tấn công, chúng nhắm mục tiêu vào các dịch vụ lớn để tối đa hóa tác động của mình.

DeFi

Mức thiệt hại kỷ lục năm nay bắt nguồn từ sự giảm đáng kể số lượng sự cố đã biết. Sự thay đổi này (ít sự cố hơn nhưng thiệt hại tăng đáng kể) phản ánh tác động của hacker mạng quy mô lớn vào Bybit hồi tháng 2 năm 2025.

Các phương pháp rửa tiền độc đáo của Triều Tiên

Lượng tiền bị đánh cắp lượng lớn vào đầu năm 2025 đã cho thấy cách hacker Triều Tiên rửa crypto trên quy mô lớn. Phương pháp của chúng khác biệt rõ rệt so với các tội phạm mạng khác và đã phát triển theo thời gian.

DeFi

Hoạt động rửa tiền của Triều Tiên thể hiện một mô hình "phân tầng" rõ ràng, với hơn 60% giao dịch tập trung dưới 500.000 đô la. Ngược lại, hơn 60% số tiền được chuyển Chuỗi bởi hacker khác được thực hiện theo từng lô từ 1 triệu đô la đến hơn 10 triệu đô la. Mặc dù Triều Tiên rửa hacker lớn hơn lần , nhưng họ chia nhỏ các khoản chuyển tiền Chuỗi thành lần nhỏ hơn, cho thấy sự phức tạp trong các phương pháp rửa tiền của họ.

So với hacker khác, Triều Tiên thể hiện sự ưu tiên rõ rệt đối với một số quy trình rửa tiền nhất định:

Hacker Triều Tiên thường có xu hướng:

  • Dịch vụ chuyển tiền và ký quỹ bằng tiếng Trung Quốc (+355% đến hơn 1000%): Đây là đặc điểm nổi bật nhất, phụ thuộc rất nhiều vào các dịch vụ ký quỹ bằng tiếng Trung Quốc và các mạng lưới rửa tiền bao gồm nhiều đối tượng rửa tiền với các biện pháp kiểm soát tuân thủ tiềm ẩn yếu kém.
  • Dịch vụ cầu nối xuyên chuỗi(+97%): phụ thuộc rất nhiều vào cầu nối xuyên chuỗi để chuyển tài sản giữa blockchain khác nhau và cố gắng tăng độ khó theo dõi.
  • Dịch vụ trộn tiền (+100%): Việc sử dụng dịch vụ trộn tiền ngày càng thường xuyên hơn nhằm che giấu dòng tiền.
  • Huione và các dịch vụ chuyên nghiệp khác (+356%): Sử dụng chiến lược các dịch vụ cụ thể để tạo điều kiện thuận lợi cho các hoạt động rửa tiền của họ.

Hacker khác tham gia vào hoạt động rửa tiền thường có xu hướng:

  • Giao thức cho vay(-80%): Triều Tiên tránh sử dụng các dịch vụ DeFi này, cho thấy tích hợp hạn chế của nước này với hệ sinh thái DeFi rộng lớn hơn.
  • Sàn giao dịch không yêu cầu KYC (-75%): Điều đáng ngạc nhiên là hacker khác sử dụng sàn giao dịch không yêu cầu KYC thường xuyên hơn cả Triều Tiên.
  • Sàn giao dịch P2P (-64%): Triều Tiên thể hiện sự quan tâm hạn chế đối với các nền tảng P2P.
  • CEX (-25%): Tương tác trực tiếp nhiều hơn giữa hacker khác và các nền tảng sàn giao dịch truyền thống
  • DEX (-42%): Hacker khác thích sử dụng DEX vì thanh khoản cao và nặc danh mạnh mẽ của chúng.

DeFi

Những mô hình này cho thấy các hoạt động của Triều Tiên chịu những ràng buộc và mục tiêu khác biệt so với tội phạm mạng không do nhà nước tài trợ. Việc họ sử dụng lượng lớn các dịch vụ rửa tiền chuyên nghiệp bằng tiếng Trung và các nhà giao dịch OTC (giao dịch phi tập trung) cho thấy mối quan hệ mật thiết giữa hacker Triều Tiên và các thế lực bất hợp pháp trong khu vực châu Á - Thái Bình Dương.

Diễn biến vụ rửa tiền sau vụ tấn hacker của Triều Tiên

Phân tích hoạt động Chuỗi sau các vụ hacker được cho là do Triều Tiên thực hiện từ năm 2022 đến năm 2025 cho thấy một mô hình nhất quán với dòng tiền bị đánh cắp trong hệ sinh thái crypto. Sau các vụ trộm lớn, số tiền bị đánh cắp tuân theo một quy trình rửa tiền nhiều giai đoạn có cấu trúc, kéo dài khoảng 45 ngày.

Giai đoạn 1: Phân tầng ngay lập tức ( Ngày 0-5 )

Trong những ngày đầu sau hacker, sê-ri các hoạt động bất thường đã được ghi nhận, tập trung vào việc chuyển tiền ngay lập tức khỏi nguồn gốc của vụ trộm:

  • Các giao thức DeFi chứng kiến ​​sự gia tăng lớn nhất về số tiền bị đánh cắp (+370%), biến chúng trở thành điểm vào quan trọng.
  • Khối lượng giao dịch của các dịch vụ trộn tiền điện tử cũng tăng đáng kể (+135-150%), tạo thành lớp gây nhầm lẫn đầu tiên.
  • Giai đoạn này thể hiện hành động "bước đầu" khẩn cấp nhằm mục đích tách biệt bản thân khỏi hành vi trộm cắp ban đầu.

Giai đoạn hai: Tích hợp ban đầu ( Ngày 6-10 )

Bước sang tuần thứ hai, các chiến lược rửa tiền chuyển hướng sang các dịch vụ có thể giúp tích hợp nguồn vốn vào một hệ sinh thái rộng lớn hơn:

  • Sàn giao dịch có ít hạn chế về KYC hơn (+37%) và CEX (+32%) đã bắt đầu chấp nhận dòng tiền.
  • Dịch vụ trộn tiền cấp hai (+76%) tiếp tục các hoạt động rửa tiền ở cường độ thấp hơn.
  • Việc kết Chuỗi xuyên chuỗi (như XMRt, +141%) giúp phân quyền và che giấu dòng tiền giữa blockchain.
  • Giai đoạn này là thời kỳ chuyển tiếp quan trọng, trong đó dòng vốn bắt đầu chảy vào các kênh thoái vốn tiềm năng.

Giai đoạn 3: Tích hợp đuôi dài ( Ngày 20-45 )

Giai đoạn cuối cùng rõ ràng ưu tiên các dịch vụ có thể chuyển đổi thành tiền tệ pháp định hoặc tài sản khác:

  • Việc sử dụng sàn giao dịch không yêu cầu xác minh danh tính (+82%) và các dịch vụ ký quỹ (như Tudou Danbao, +87%) tăng trưởng đáng kể.
  • Sàn giao dịch tức thời (+61%) và các nền tảng Trung Quốc (như Huiwang, +45%) đã trở thành điểm đổi thưởng tối ưu.
  • Việc CEX (+50%) cũng chấp nhận tiền gửi cho thấy một nỗ lực tinh vi nhằm trộn lẫn tiền gửi với vốn hợp pháp.
  • Các khu vực pháp lý ít bị quản lý hơn, chẳng hạn như những khu vực có mạng lưới rửa tiền của Trung Quốc (+33%) và Grinex (+39%), đã hoàn thiện mô hình này.

Khoảng thời gian 45 ngày điển hình cho các hoạt động rửa tiền này cung cấp thông tin tình báo quan trọng cho các cơ quan thực thi pháp luật và đội ngũ tuân thủ. Thực tế là mô hình này đã tồn tại trong nhiều năm cho thấy hacker Triều Tiên phải đối mặt với những hạn chế về mặt hoạt động, có thể liên quan đến việc họ khó tiếp cận cơ sở hạ tầng tài chính và cần phải phối hợp với các bên trung gian cụ thể.

Mặc dù hacker này không phải lúc nào cũng tuân theo đúng trình tự thời gian này—một số khoản tiền bị đánh cắp vẫn nằm im trong nhiều tháng hoặc nhiều năm—nhưng mô hình này thể hiện hành vi Chuỗi khi chủ động rửa tiền. Hơn nữa, điều quan trọng là phải nhận ra những điểm mù tiềm ẩn trong phân tích này, vì một số hoạt động (chẳng hạn như chuyển private key hoặc trao đổi tiền điện tử sang tiền crypto ngoài sàn giao dịch) có thể không hiển thị trên Chuỗi nếu không có thông tin tình báo xác thực.

Trộm cắp ví cá nhân: Mối đe dọa ngày càng gia tăng đối với người dùng cá nhân.

Phân tích các mô hình trên Chuỗi, cùng với báo cáo từ các nạn nhân và đối tác trong ngành, cho thấy mức độ nghiêm trọng của việc trộm cắp ví cá nhân, mặc dù số vụ trộm thực tế có thể cao hơn nhiều. Theo ước tính tối thiểu, trộm cắp ví cá nhân chiếm 20% tổng thiệt hại trong năm 2025, giảm từ 44% trong năm 2024, cho thấy sự thay đổi cả về quy mô và mô hình. Tổng số vụ trộm tăng vọt lên 158.000 vụ trong năm 2025, gần gấp ba lần so với 54.000 vụ được ghi nhận vào năm 2022. Số nạn nhân tăng từ 40.000 người vào năm 2022 lên ít nhất 80.000 người vào năm 2025. Những tăng trưởng đáng kể này có thể là do việc sử dụng rộng rãi hơn crypto . Ví dụ, Solana , một trong blockchain có ví cá nhân hoạt động tích cực nhất, vượt xa Solana về số vụ trộm (khoảng 26.500 nạn nhân).

DeFi

Tuy nhiên, bất chấp sự gia tăng về số vụ việc và nạn nhân, tổng số tiền đô la Mỹ bị đánh cắp từ mỗi nạn nhân trong năm 2025 đã giảm xuống còn 713 triệu đô la từ mức đỉnh 1,5 tỷ đô la vào năm 2024. Điều này cho thấy rằng trong khi tin tặc đang nhắm mục tiêu vào nhiều người dùng hơn, số tiền bị đánh cắp từ mỗi nạn nhân lại đang giảm.

Dữ liệu về nạn nhân trên các mạng lưới cụ thể cung cấp thêm nhận xét tiết về những lĩnh vực nào gây ra mối đe dọa lớn nhất cho người dùng crypto . Biểu đồ bên dưới hiển thị dữ liệu về nạn nhân được điều chỉnh theo số lượng ví cá nhân đang hoạt động trên các mạng lưới khác nhau. Được đo bằng tỷ lệ tội phạm trên 100.000 ví vào năm 2025, Ethereum và Tron có tỷ lệ trộm cắp cao nhất. Cơ sở người dùng khổng lồ của Ethereum cho thấy tỷ lệ trộm cắp cao và số lượng nạn nhân lớn, trong khi thứ hạng của Tron cho thấy tỷ lệ trộm cắp cao mặc dù có ít ví hoạt động hơn. Ngược lại, Base và Solana có tỷ lệ nạn nhân thấp hơn mặc dù có cơ sở người dùng lớn.

DeFi

Điều này cho thấy rủi ro bảo mật của ví cá nhân không đồng nhất trong toàn bộ hệ sinh thái crypto . Ngay cả với kiến ​​trúc kỹ thuật tương tự, tỷ lệ nạn nhân vẫn khác nhau giữa blockchain khác nhau, cho thấy các yếu tố ngoài công nghệ, chẳng hạn như nhân khẩu học người dùng, các ứng dụng phổ biến và cơ sở hạ tầng tội phạm, cũng đóng vai trò quan trọng trong việc xác định tỷ lệ trộm cắp.

Các vụ hack DeFi : Các mô hình phân kỳ báo hiệu sự thay đổi của thị trường

Lĩnh vực DeFi đã thể hiện một mô hình độc đáo trong dữ liệu tội phạm năm 2025, khác biệt đáng kể so với xu hướng lịch sử.

Dữ liệu cho thấy ba giai đoạn riêng biệt:

  • Giai đoạn 1 (2020-2021): Tổng giá trị bị khóa (TVL) trong DeFi và thiệt hại do các cuộc tấn công hacker cùng tăng trưởng .
  • Giai đoạn hai (2022-2023): Cả hai chỉ báo giảm đồng thời.
  • Giai đoạn 3 (2024-2025): TVL phục hồi, trong khi tổn thất do tấn hacker vẫn ổn định.

DeFi

Hai giai đoạn đầu tiên tuân theo một quy luật trực quan: giá trị rủi ro càng lớn, giá trị bị đánh cắp càng cao, và hacker càng nhắm mục tiêu mạnh mẽ hơn vào các giao thức có giá trị cao. Như tên cướp ngân hàng Willie Sutton đã nói, "Vì ở đó có tiền."

Điều này làm cho sự khác biệt trong giai đoạn thứ ba càng trở nên rõ rệt hơn. Tổng giá trị bị khóa (TVL) của DeFi đã phục hồi đáng kể so với mức thấp nhất năm 2023, nhưng tổn thất do hacker lại không tăng tương ứng. Mặc dù hàng tỷ đô la đã đổ vào các giao thức này, các vụ hacker mạng vào DeFi vẫn ở mức thấp, cho thấy một sự thay đổi đáng kể.

Hai yếu tố sau đây có thể giải thích sự khác biệt này:

  • Cải thiện an ninh: Mặc dù TVL tiếp tục tăng trưởng, tỷ lệ hacker vẫn tiếp tục giảm, cho thấy các giao thức DeFi có thể đang triển khai các biện pháp an ninh hiệu quả hơn so với giai đoạn 2020-2021.
  • Thay đổi mục tiêu: Sự gia tăng đồng thời các vụ trộm ví cá nhân và các cuộc tấn công vào dịch vụ tập trung cho thấy tin tặc có thể đang chuyển hướng mục tiêu sang các đối tượng khác.

Nghiên cứu trường hợp: Các biện pháp ứng phó an ninh đối với giao thức Venus

Sự cố Giao thức Venus vào tháng 9 năm 2025 đã chứng minh rằng các biện pháp bảo mật được cải thiện đang thực sự có tác động. Vào thời điểm đó, những kẻ tấn công đã sử dụng một máy trạm Zoom bị xâm nhập để truy cập hệ thống và lừa một người dùng cấp quyền ủy quyền cho tài khoản trị giá 13 triệu đô la của họ - một tình huống có thể dẫn đến hậu quả thảm khốc. Tuy nhiên, chỉ một tháng trước đó, Venus đã kích hoạt nền tảng giám sát bảo mật của Hexagate.

Nền tảng này đã phát hiện hoạt động đáng ngờ 18 giờ trước khi cuộc tấn công xảy ra và ngay lập tức đưa ra cảnh báo khác ngay khi giao dịch độc hại diễn ra. Trong vòng 20 phút, Venus đã tạm ngừng giao thức của mình, chặn mọi dòng tiền tiếp theo. Phản ứng phối hợp này thể hiện sự phát triển của bảo mật DeFi:

  • Trong vòng 5 giờ: Một số chức năng sẽ được khôi phục sau khi quá trình kiểm tra bảo mật hoàn tất.
  • Trong vòng 7 giờ: Buộc thanh lý ví của kẻ tấn công.
  • Trong vòng 12 giờ: Thu hồi toàn bộ số tiền bị đánh cắp và khôi phục dịch vụ.

Đáng chú ý nhất, Venus đã thông qua một Đề án quản trị đóng băng 3 triệu đô la tài sản vẫn nằm dưới sự kiểm soát của kẻ tấn công; kẻ tấn công không những không thu được lợi nhuận mà còn bị thua lỗ.

Sự cố này cho thấy sự cải thiện rõ rệt trong cơ sở hạ tầng bảo mật DeFi. Sự kết hợp giữa giám sát chủ động, khả năng phản hồi nhanh chóng và các cơ chế quản trị cho phép hành động quyết đoán đã làm cho toàn bộ hệ sinh thái trở nên linh hoạt và kiên cường hơn. Mặc dù các cuộc tấn công vẫn xảy ra, nhưng khả năng phát hiện, phản hồi và thậm chí đảo ngược chúng đã thay đổi về cơ bản so với thời kỳ đầu của DeFi, khi các cuộc tấn công thành công thường đồng nghĩa với tổn thất vĩnh viễn.

Tác động đến năm 2026 và những năm tiếp theo

Dữ liệu năm 2025 cho thấy sự phát triển phức tạp của Triều Tiên với vai trò là mối đe dọa lớn nhất đối với ngành công nghiệp crypto. Mặc dù số lượng các cuộc tấn công giảm, nhưng mức độ tàn phá lại tăng lên đáng kể, cho thấy các chiến thuật tinh vi và kiên nhẫn hơn. Tác động của vụ việc Bybit đến mô hình hoạt động hàng năm của Triều Tiên cho thấy rằng khi nước này thực hiện thành công một vụ trộm lớn, họ sẽ giảm tốc độ hoạt động và tập trung vào rửa tiền.

Đối với ngành công nghiệp crypto, sự phát triển này đòi hỏi phải tăng cường cảnh giác đối với các mục tiêu có giá trị cao và cải thiện khả năng nhận diện các mô hình rửa tiền cụ thể ở Triều Tiên. Việc chúng liên tục ưu tiên các loại dịch vụ và số tiền giao dịch nhất định tạo ra cơ hội phát hiện, giúp phân biệt chúng với các tội phạm khác và hỗ trợ các nhà điều tra xác định đặc điểm hành vi Chuỗi của chúng.

Trong bối cảnh Triều Tiên tiếp tục sử dụng hành vi đánh cắp crypto để tài trợ cho các ưu tiên quốc gia và né tránh các lệnh trừng phạt quốc tế, ngành công nghiệp crypto cần nhận ra rằng phương thức hoạt động của Triều Tiên khác biệt đáng kể so với các tội phạm mạng thông thường. Thành tích kỷ lục của Triều Tiên trong năm 2025 (với mức giảm 74% số vụ tấn công) cho thấy chúng ta có thể mới chỉ thấy những khía cạnh dễ thấy nhất trong hoạt động của nước này. Thách thức trong năm 2026 nằm ở việc phát hiện và ngăn chặn Triều Tiên tiến hành các cuộc tấn công có quy mô tương tự như Bybit .

Bài đọc liên quan: Thiệt hại về an ninh crypto tăng mạnh: số vụ tấn công giảm, nhưng sức phá hoại tăng đáng kể.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan