Nhóm Lazarus bị nghi ngờ đã đánh cắp 30 triệu USD từ Upbit

Nguồn: CryptoValleyJournal Tiêu đề gốc: Nhóm Lazarus bị nghi ngờ đã đánh cắp 30 triệu USD từ Upbit Liên kết gốc: https://cryptovalleyjournal.com/hot-topics/news/lazarus-group-suspected-of-stealing-30-million-usd-from-upbit/ Nhóm hacker nổi tiếng Lazarus của Triều Tiên bị nghi ngờ đã đánh cắp khoảng 44,5 tỷ won ( khoảng 30,4 triệu đô la ) từ Upbit – sàn giao dịch tiền điện tử lớn nhất Hàn Quốc.

Sàn giao dịch đã báo cáo các giao dịch rút tiền bất thường của các tài sản tiền điện tử dựa trên Solana và ngay lập tức ngừng tất cả các khoản gửi và rút tiền. Theo hãng tin Hàn Quốc Yonhap, các cơ quan chức năng đang chuẩn bị kiểm tra tại Upbit, vì mô hình tấn công giống như năm 2019 - khi 342.000 ETH ( hôm nay trị giá gần 1 tỷ USD ) đã bị đánh cắp từ sàn giao dịch. Cảnh sát Hàn Quốc đã kết luận vào năm 2024 rằng Nhóm Lazarus đứng sau vụ trộm đó. Ít nhất 24 token dựa trên Solana đã bị rút từ một ví nóng bị xâm phạm. Dữ liệu onchain cho thấy một ví liên kết với cuộc tấn công đã bắt đầu hoán đổi Solana lấy USDC và chuyển tiền qua các cầu nối đến Ethereum.

Chiến thuật đã được chứng minh: kỹ thuật xã hội thay vì khai thác kỹ thuật

Phương pháp nghi ngờ của những kẻ tấn công theo một mô hình quen thuộc: thay vì tấn công trực tiếp vào các máy chủ, những kẻ hacker có khả năng đã xâm phạm tài khoản quản trị viên hoặc giả mạo các quản trị viên để ủy quyền cho các giao dịch. Phương pháp kỹ thuật xã hội này đã chứng minh là cực kỳ có lợi cho Nhóm Lazarus.

Vụ việc Upbit hiện tại gia nhập vào một loạt các vụ trộm tiền điện tử nổi bật. Chỉ trong năm 2025, các hacker Bắc Triều Tiên đã đánh cắp hơn 2 tỷ đô la tiền điện tử - tổng số hàng năm cao nhất từng được ghi nhận. Phần lớn trong số đó đến từ vụ trộm 1,46 tỷ đô la từ nền tảng giao dịch nhất định vào tháng 2 năm 2025. Các cuộc tấn công bổ sung đã nhắm mục tiêu vào LND.fi, WOO X và Seedify.

Nhìn lại xa hơn cho thấy quy mô đầy đủ: Nhóm Lazarus bị cáo buộc đã thực hiện các vụ trộm tổng cộng từ 5 đến 6 tỷ đô la từ năm 2017 đến năm 2025. Trong số các trường hợp nổi bật nhất có vụ hack Ronin Bridge vào tháng 3 năm 2022 liên quan đến 625 triệu đô la, và vụ tấn công 100 triệu đô la vào Harmony Horizon Bridge vào tháng 6 năm 2022. Trong cả hai trường hợp, FBI đã xác nhận sự tham gia của nhóm hacker Bắc Triều Tiên. Hơn nữa, những kẻ phạm tội đã sử dụng một cách có hệ thống dịch vụ mixer Tornado Cash để rửa tiền, chuyển hơn 555 triệu đô la từ hai vụ hack này qua dịch vụ.

Tài chính nhà nước thông qua tội phạm mạng: Mô hình kinh doanh của Bắc Triều Tiên

Điều gì phân biệt những cuộc tấn công này với tội phạm mạng điển hình là khía cạnh địa chính trị của chúng. Chính phủ Bắc Triều Tiên dựa vào một loạt các hoạt động bất hợp pháp, bao gồm tội phạm mạng, để tạo ra doanh thu cho chương trình vũ khí hủy diệt hàng loạt và tên lửa của mình. Các hacker liên kết với nhà nước được giao nhiệm vụ rõ ràng là thu thập ngoại tệ bằng các phương thức bất hợp pháp.

Những con số thật đáng lo ngại. Các loại tiền điện tử bị đánh cắp có thể chiếm tới 13% GDP của Bắc Triều Tiên. Một số ước tính cho rằng hơn một nửa ngân sách cho phát triển tên lửa được tài trợ thông qua tội phạm mạng. Một báo cáo của Nhóm Giám sát Đa phương Trừng phạt của Liên Hợp Quốc, có tiêu đề “Vi phạm và Trốn tránh Trừng phạt của CHDCND Triều Tiên Thông qua Các Hoạt động của Công nhân Công nghệ Thông tin và Mạng”, nhấn mạnh rằng các hoạt động mạng độc hại của Bắc Triều Tiên gây ra mối đe dọa đối với an ninh quốc tế.

Vào tháng 11 năm 2025, Bộ Tài chính Hoa Kỳ đã phản ứng bằng cách áp đặt các biện pháp trừng phạt đối với tám cá nhân và hai tổ chức có liên quan đến việc rửa tiền từ tội phạm mạng Bắc Triều Tiên. Trong khi đó, chiến thuật của Nhóm Lazarus đã phát triển: trong khi các cuộc tấn công trước đây thường khai thác các lỗ hổng kỹ thuật trong hạ tầng crypto, hầu hết các cuộc tấn công vào năm 2025 đã được thực hiện thông qua kỹ thuật xã hội. Sự chuyển mình này làm phức tạp đáng kể việc phòng thủ, vì con người vẫn là mắt xích yếu nhất trong chuỗi an ninh.

Sự thống trị của Upbit và câu hỏi về an ninh sàn giao dịch

Cuộc tấn công này nhằm vào điểm yếu nhất trong hệ sinh thái tiền điện tử của Hàn Quốc. Theo cơ quan quản lý tài chính Hàn Quốc FSS, Upbit kiểm soát 71,6% khối lượng giao dịch tiền điện tử trong nước – xử lý 833 triệu won (642 tỷ đô la) trong các giao dịch tiền điện tử chỉ trong sáu tháng đầu năm 2025. Một số nguồn thậm chí còn trích dẫn thị phần hơn 80%. Hơn 2 tỷ đô la được giao dịch trên nền tảng này mỗi ngày.

Đối thủ lớn tiếp theo, Bithumb, chỉ đạt 25,8% thị phần. Các sàn giao dịch nhỏ hơn như Coinone, Korbit và GOPAX cùng nhau đóng góp chưa đến 5% khối lượng thị trường. Sự tập trung cực đoan này khiến Upbit trở thành mục tiêu hấp dẫn cho các hacker được nhà nước hỗ trợ và đặt ra những câu hỏi cơ bản về kiến trúc bảo mật của các sàn giao dịch tập trung.

Upbit đã phản hồi ngay lập tức: nhà điều hành Dunamu đã thông báo rằng tất cả người dùng bị ảnh hưởng sẽ được bồi thường đầy đủ và tạm thời ngừng giao dịch. Nhưng sự cố này cho thấy ngay cả các nền tảng hàng đầu thị trường cũng có thể rất dễ bị tổn thương. Chỉ hai ngày trước khi bị hack, gã khổng lồ công nghệ Hàn Quốc Naver đã công bố kế hoạch mua lại Upbit với giá 10,3 tỷ đô la - thương vụ mua lại lớn nhất trong lịch sử Hàn Quốc. Vụ hack có khả năng sẽ trì hoãn giao dịch và làm tăng cường quy trình thẩm định.

Sự bất lực trong quản lý trước các cuộc tấn công do nhà nước tài trợ

Vụ Upbit nhấn mạnh một tình huống cơ bản. Ngay cả khi các sàn giao dịch tuân thủ các yêu cầu quy định nghiêm ngặt, họ vẫn dễ bị tổn thương trước những kẻ tấn công chuyên nghiệp, được nhà nước tài trợ. Arsenal mạng của Triều Tiên đã được xây dựng qua nhiều năm và sở hữu nguồn lực vượt xa những kẻ tội phạm thông thường. Thực thi pháp luật xuyên biên giới gặp giới hạn khi đối mặt với những đối tượng được nhà nước hỗ trợ này. Trong khi các cơ quan phương Tây có thể áp đặt lệnh trừng phạt và phá hủy các mạng lưới rửa tiền, thì chế độ ở Bình Nhưỡng vẫn không thể chạm tới. Các khoản tiền bị đánh cắp chảy qua các dịch vụ trộn phức tạp và các sàn giao dịch phi tập trung trước khi được chuyển đổi thành tiền fiat hoặc dùng để mua vũ khí.

Đối với các nhà đầu tư và ngành công nghiệp, điều này có những tác động cụ thể. Việc giữ số dư lớn tiền điện tử trên các sàn giao dịch tập trung mang lại rủi ro mà không có quy định nào có thể loại bỏ hoàn toàn. Các giải pháp lưu ký tổ chức với ví đa chữ ký, mô-đun bảo mật phần cứng và hệ thống lưu trữ lạnh phân tán theo địa lý đang trở thành tiêu chuẩn cho các thành viên thị trường chuyên nghiệp.

Các bước tiếp theo cho Upbit

Cơ quan chức năng Hàn Quốc đã thông báo về việc kiểm tra tại chỗ tại Upbit trong những ngày tới. Trọng tâm sẽ là việc các kẻ tấn công đã tiếp cận tài khoản quản trị viên như thế nào và liệu các quy trình an ninh nội bộ có bị vi phạm hay không. Nếu có thể chứng minh sự sơ suất hoặc kiến trúc an ninh không đầy đủ, Upbit sẽ phải đối mặt với các hình phạt nghiêm trọng.

Đối với việc mua lại dự kiến của Naver, vụ hack này là một trở ngại. Một số nhà phân tích dự đoán giao dịch sẽ được định giá lại, với Naver có thể thúc đẩy một mức giá mua thấp hơn. Nếu việc mua lại hoàn toàn thất bại, nó có thể định hình lại nền tảng fintech của Hàn Quốc và tạo cơ hội cho các sàn giao dịch nhỏ hơn lấy lại thị phần. Trên bình diện quốc tế, vụ việc này có khả năng gia tăng áp lực lên các dịch vụ mixer và các đồng tiền bảo mật. Hoa Kỳ và EU đã công bố kế hoạch thắt chặt quy định đối với các công cụ rửa tiền.

Cuộc tấn công Upbit không chỉ là một vụ đánh cắp tiền điện tử khác trong danh sách dài những vụ trộm cắp. Nó cho thấy tội phạm mạng do nhà nước bảo trợ đã trở thành một mối đe dọa nghiêm trọng đối với ngành công nghiệp, và rằng không có quy định hay công nghệ nào có thể hoàn toàn giải quyết vấn đề. Giải pháp nằm ở sự kết hợp giữa các tiêu chuẩn an ninh vững chắc, hợp tác thực thi pháp luật quốc tế và sự suy nghĩ lại cơ bản về việc giữ gìn tài sản kỹ thuật số.