Các chuyên gia an ninh mạng vừa phát hiện một sự thật kinh hoàng: Các tin tặc IT từ Triều Tiên (DPRK) đã âm thầm cài cắm vào các công ty tiền mã hóa và dự án tài chính phi tập trung (DeFi) trong ít nhất bảy năm qua. Đây không chỉ là một vụ việc đơn lẻ, mà là một chiến dịch có tổ chức, đe dọa nghiêm trọng đến toàn bộ hệ sinh thái crypto.
Taylor Monahan, nhà phát triển MetaMask và nhà nghiên cứu bảo mật hàng đầu, đã công bố thông tin gây sốc này. Theo cô, “Rất nhiều lập trình viên IT của Triều Tiên đã xây dựng các giao thức mà bạn biết và yêu thích, từ thời kỳ đỉnh cao của DeFi Summer.” Monahan khẳng định có hơn 40 nền tảng DeFi, bao gồm cả những tên tuổi lớn, từng có sự tham gia của các nhân viên IT đến từ Triều Tiên. Đáng báo động hơn, việc họ ghi “kinh nghiệm phát triển blockchain 7 năm” trong hồ sơ cá nhân hoàn toàn “không phải là lời nói dối.”
Nhóm Lazarus, một tập đoàn tin tặc có liên kết với Triều Tiên, được cho là đã cuỗm đi khoảng 7 tỷ USD tiền mã hóa kể từ năm 2017. Chúng đã bị quy trách nhiệm cho hàng loạt vụ tấn công đình đám nhất ngành, bao gồm vụ tấn công cầu nối Ronin trị giá 625 triệu USD vào năm 2022, vụ hack WazirX 235 triệu USD năm 2024 và vụ trộm Bybit khổng lồ 1,4 tỷ USD vào năm 2025. Những con số này vẽ nên một bức tranh u ám về mức độ tinh vi và quy mô của các chiến dịch mà nhóm này đang thực hiện.
Chỉ vài giờ trước khi Monahan đưa ra cảnh báo, Drift Protocol đã tuyên bố “có độ tin cậy từ trung bình đến cao” rằng vụ khai thác 280 triệu USD gần đây nhằm vào họ là do một nhóm liên kết với nhà nước Triều Tiên thực hiện.
Các nhà lãnh đạo DeFi đang bắt đầu lên tiếng về những nỗ lực thâm nhập của Triều Tiên. Tim Ahhl, người sáng lập Titan Exchange, một công cụ tổng hợp DEX trên Solana, tiết lộ rằng trong một công việc trước đây, “chúng tôi đã phỏng vấn một người hóa ra là đặc vụ của Lazarus.” Ahhl cho biết ứng viên này “thực hiện các cuộc gọi video và cực kỳ đủ tiêu chuẩn.” Tuy nhiên, anh ta từ chối phỏng vấn trực tiếp và sau đó, nhóm của Ahhl phát hiện tên anh ta trong một “bãi chứa thông tin” của Lazarus. Điều này cho thấy mức độ chuẩn bị kỹ lưỡng của các đặc vụ này khi tìm cách xâm nhập vào các dự án hợp pháp.
Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Hoa Kỳ đã cung cấp một trang web, nơi các doanh nghiệp crypto có thể sàng lọc đối tác để chống lại các danh sách trừng phạt được cập nhật của OFAC và cảnh giác với các mô hình lừa đảo liên quan đến nhân viên IT.
Theo bản phân tích sau vụ tấn công trị giá 280 triệu USD vào tuần trước, Drift Protocol cũng chỉ ra rằng các tin tặc liên kết với Triều Tiên đứng sau vụ việc. Tuy nhiên, họ lưu ý rằng các cuộc gặp mặt trực tiếp dẫn đến vụ khai thác không phải với công dân Triều Tiên, mà là với “các bên trung gian thứ ba” có “danh tính được xây dựng hoàn chỉnh bao gồm lịch sử việc làm, thông tin công khai và mạng lưới chuyên nghiệp.” Ahhl nhận định, “Nhiều năm sau, có vẻ như Lazarus hiện đã có những người không phải Triều Tiên làm việc cho chúng để lừa đảo trực tiếp.”
ZachXBT, một nhà điều tra blockchain nổi tiếng, giải thích rằng Lazarus Group là tên gọi chung cho “tất cả các tác nhân mạng được nhà nước Triều Tiên bảo trợ.” Anh nhấn mạnh, “Vấn đề chính là mọi người gộp tất cả lại với nhau trong khi sự phức tạp của các mối đe dọa là khác nhau.” ZachXBT cho biết các mối đe dọa thông qua tin tuyển dụng, LinkedIn, email, Zoom hoặc phỏng vấn là “cơ bản và không hề tinh vi… điều duy nhất về chúng là chúng không ngừng nghỉ.” Anh cảnh báo mạnh mẽ: “Nếu bạn hoặc nhóm của bạn vẫn mắc phải chúng vào năm 2026, rất có thể bạn đang lơ là trách nhiệm.”
tienso.org cam kết đưa tin độc lập và minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của tienso.org và nhằm cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự mình xác minh thông tin.
