Các hacker DPRK vẫn là mối đe dọa đối với crypto, và họ có thể đang bổ sung những phương pháp mới để thâm nhập. Một năm sau vụ hack Bybit kỷ lục, các hoạt động tương tự vẫn tiếp diễn ở quy mô nhỏ hơn.
Nghiên cứu gần đây của Elliptic cho thấy các hoạt động tài sản crypto của DPRK vẫn tiếp tục, bất chấp thị trường gấu, mà không có dấu hiệu chậm lại. Hình thức tấn công chủ yếu là kỹ nghệ xã hội và nhiều hình thức thâm nhập khác nhau.
Sự khác biệt chính là hiện nay các hacker DPRK không chỉ dừng lại ở việc thâm nhập vào các dự án IT và crypto mà còn tạo ra các nền tảng riêng của họ. Phương pháp này là nguyên nhân chính dẫn đến sự cố Tenexium, gây thiệt hại trực tiếp cho tất cả người dùng đã kết nối ví của họ.
Như Cryptopolitan đã đưa tin, các hacker cũng đang trở nên hiệu quả hơn và nhanh hơn trong việc di chuyển và rửa sạch số crypto chiếm được.
Vụ hack Bybit là bước ngoặt cho các hacker DPRK
Một năm sau vụ hack Bybit, gần như toàn bộ số tiền đã bị rửa trừ một phần nhỏ bị ngăn chặn. Elliptic ghi nhận các hacker đã sử dụng các chiến thuật rửa tiền mới, bao gồm việc sử dụng chiến lược các địa chỉ hoàn tiền, tạo ra các token vô giá trị và đa dạng hóa sử dụng các dịch vụ trộn tiền.
Hơn 1 tỷ USD tiền từ Bybit đã bị rửa chỉ trong sáu tháng, và bộ công cụ trộn tiền này đã tạo nên một bước ngoặt cho các hacker DPRK và chiến dịch của họ.
Các hacker không dừng lại sau chiến tích kỷ lục, mà còn tiếp tục với tốc độ tăng cao suốt năm 2025. Elliptic tổng kết có 2 tỷ USD bị hack bởi DPRK trong năm 2025, và tổng số vụ khai thác có thể vượt 6 tỷ USD. Số tiền này có thể đóng vai trò trong các chương trình vũ khí hạt nhân và tên lửa của Triều Tiên, tạo động lực mạnh mẽ cho các hacker tiếp tục hoạt động.
Theo Elliptic, xu hướng này tiếp tục trong năm 2026, với số vụ khai thác gấp đôi so với tháng 1/2025.
Mặc dù các vụ hack của DPRK có kỹ thuật tinh vi, nhưng chúng cũng dựa vào kỹ nghệ xã hội và lỗi của con người.
Liệu các hacker DPRK đang tung ra sản phẩm crypto?
Elliptic đã báo cáo về trường hợp của Tenexium, một dự án được xây dựng trong mạng lưới Bittensor (TAO). Dự án Tenexium đã gây hỗn loạn vào ngày 1 tháng 1, trở thành vụ hack đầu tiên của năm 2026.
Tenexium sử dụng cách tiếp cận thông thường để xây dựng một dự án permissionless như một phần của hệ sinh thái Bittensor. Dù chỉ là một dự án nhỏ, Tenexium vẫn thu hút được thanh khoản, nhưng tại một thời điểm, trang web đã biến mất và thị trường dự án ghi nhận dòng tiền đáng ngờ 2,5 triệu USD.
Tenexium được cho là một protocol giao dịch trung lập, nhưng hóa ra một số thành viên nhóm dự án có thể là các hacker DPRK giả danh nhân viên IT. Điều khác biệt lần này là nhân vật IT của DPRK có thể chính là người sáng lập dự án.
Danh tính của người sáng lập Tenexium vẫn chưa được xác nhận. Tuy nhiên, trường hợp này đặt ra vấn đề về các dự án DeFi nhỏ, các vault và các app permissionless sao chép. Khi các công cụ Web3 vẫn còn tồn tại, các hacker có thể trực tiếp nhắm vào người dùng cuối với các app độc hại, meme token hoặc các sản phẩm mới khác. Phương án tốt nhất là kiểm tra kỹ các đội ngũ và nền tảng hoặc sử dụng các trung tâm DeFi đã được kiểm chứng hơn.
