Theo một báo cáo mới từ công ty tình báo blockchain TRM Labs, tin tặc Triều Tiên đã đánh cắp gần ba phần tư tổng số tiền điện tử bị tội phạm mạng chiếm đoạt trong năm nay - không phải thông qua một chiến dịch tấn công không ngừng nghỉ, mà thông qua hai vụ trộm được thực hiện chính xác nhắm vào các nền tảng tài chính phi tập trung vào tháng Tư .
Hai sự cố này— vụ xâm phạm Drift Protocol trị giá 285 triệu đô la vào ngày 1 tháng 4 và vụ tấn công mạng Kelp Các tổ chức tự trị phi tập trung (DAO) trị giá 292 triệu đô la vào ngày 18 tháng 4—chiếm tới 76% tổng thiệt hại do các vụ tấn công mạng tiền điện tử được theo dõi đến tháng 4, mặc dù chỉ chiếm 3% tổng số vụ việc được ghi nhận.
Nhìn chung, TRM Labs ước tính rằng các hacker có liên hệ với Triều Tiên đã đánh cắp hơn 6 tỷ đô la từ các giao thức và dự án tiền điện tử kể từ năm 2017, bao gồm cả một số vụ trộm cắp tồi tệ nhất trong lịch sử ngành.
Các số liệu phản ánh sự gia tăng mạnh mẽ hoạt động trộm cắp tiền điện tử do các phần tử liên kết với nhà nước Triều Tiên thực hiện. Tỷ lệ thiệt hại do các vụ tấn công mạng vào tiền điện tử của Bình Nhưỡng đã tăng từ dưới 10% trong năm 2020 và 2021 lên 22% vào năm 2022, 37% vào năm 2023, 39% vào năm 2024 và 64% vào năm 2025. Con số 76% tính đến tháng 4 năm 2026 là tỷ lệ cao nhất được ghi nhận trong suốt thời gian qua.
Cuộc tấn công vào giao thức Drift gây chú ý bởi sự kiên nhẫn của nó. Việc dàn dựng on-chain bắt đầu từ ngày 11 tháng 3, và chiến dịch này bao gồm các cuộc gặp mặt trực tiếp giữa các đại diện của Triều Tiên và nhân viên của Drift trong suốt nhiều tháng — một chiến thuật mà các nhà phân tích của TRM mô tả là chưa từng có tiền lệ trong chiến dịch tấn công mạng tiền điện tử kéo dài của Triều Tiên.
Những kẻ tấn công đã lợi dụng một tính năng Solana gọi là Nonce bền vững, cho phép giữ các giao dịch đã được ký trước và triển khai vào thời điểm sau đó. Vào ngày 1 tháng 4, 31 giao dịch rút tiền đã được thực hiện trong khoảng 12 phút, rút sạch tài sản thực bao gồm USDC và JLP. Số tiền bị đánh cắp đã nhanh chóng được chuyển sang Ethereum và nằm im kể từ đó.
Vụ tấn công Kelp Các tổ chức tự trị phi tập trung (DAO) đã đi theo một con đường khác. Những kẻ tấn công đã xâm nhập vào hai nút RPC nội bộ và sau đó phát động một cuộc tấn công từ chối dịch vụ (DoS) nhằm vào các nút bên ngoài, buộc trình xác minh duy nhất của cầu nối phải dựa vào các nguồn dữ liệu bị nhiễm độc. Các nút này đã báo cáo sai rằng tài sản cơ bản đã bị đốt trên chuỗi nguồn trong khi thực tế không có hành động nào như vậy xảy ra, và khoảng 116.500 rsETH—trị giá khoảng 292 triệu đô la—đã bị rút khỏi hợp đồng cầu nối Ethereum.
Sau vụ trộm Kelp Các tổ chức tự trị phi tập trung (DAO) , Hội đồng An ninh Arbitrum đã sử dụng quyền khẩn cấp để đóng băng khoảng 75 triệu đô la tiền bị đánh cắp còn sót lại trên mạng lưới – một sự can thiệp hiếm hoi đã thúc đẩy phản ứng rửa tiền nhanh chóng. Khoảng 175 triệu đô la ETH sau đó đã được chuyển đổi sang Bitcoin, chủ yếu thông qua THORChain, một giao thức thanh khoản xuyên chuỗi không yêu cầu xác minh danh tính khách hàng (KYC).
THORChain đã xử lý phần lớn số tiền thu được từ cả vụ xâm phạm dữ liệu Bybit năm 2025 — vụ trộm tồi tệ nhất trong lịch sử ngành, với hơn 1,4 tỷ đô la tiền điện tử bị đánh cắp — và vụ tấn công Kelp Các tổ chức tự trị phi tập trung (DAO) năm 2026, chuyển đổi hàng trăm triệu ETH bị đánh cắp thành Bitcoin mà không có nhà điều hành nào sẵn lòng đóng băng hoặc từ chối các giao dịch chuyển khoản.
Các nhà phân tích của TRM lưu ý rằng nhóm này dường như đang mài giũa các công cụ của mình: Các nhà phân tích đã bắt đầu suy đoán rằng các nhà điều hành Triều Tiên đang tích hợp các công cụ AI vào quy trình trinh sát và kỹ thuật xã hội của họ, một sự phát triển phù hợp với độ chính xác ngày càng tăng của các cuộc tấn công như Drift, vốn đòi hỏi nhiều tuần thao tác có chủ đích đối với các cơ chế blockchain phức tạp.
