Các hacker được nhà nước Triều Tiên hậu thuẫn đang trở nên tinh vi và chính xác hơn, hiện chiếm hơn 76% — tương đương gần 600 triệu USD — tổng thiệt hại crypto do hack trong năm nay.
Vụ tấn công vào Drift Protocol trị giá 285 triệu USD là một ví dụ điển hình, được TRMLabs mô tả là một chiến dịch “social engineering trực tiếp chưa từng có”. Cuộc tấn công bao gồm nhiều tháng gặp gỡ trực tiếp giữa các “proxy” Triều Tiên và nhân viên của Drift.
“Các proxy Triều Tiên ngồi đối diện nhân viên dự án trong nhiều tháng. Theo hiểu biết của tôi, điều này chưa từng xảy ra trong các chiến dịch hack crypto của Triều Tiên trước đây,” Ari Redbord, Giám đốc Chính sách và Quan hệ Chính phủ toàn cầu tại TRMLabs, chia sẻ với CoinDesk. “Đây không còn chỉ là các cuộc tấn công từ xa qua bàn phím.”
Những nhận định này đi kèm với báo cáo mới của TRMLabs, công bố hôm thứ Năm, cho thấy hai nhóm hacker chính của Triều Tiên — DPRK và Lazarus — chịu trách nhiệm cho 76% tổng thiệt hại crypto do hack và exploit trong năm 2026.
“Những gì chúng ta đang chứng kiến không phải là một chiến dịch rộng hơn, mà là sắc bén hơn,” Redbord cho biết. “Triều Tiên đang hành động nhanh hơn và chính xác hơn bao giờ hết.”
Theo báo cáo, tổng số crypto bị đánh cắp bởi Triều Tiên từ năm 2017 đến nay đã vượt 6 tỷ USD.
Playbook tấn công ngày càng tinh vi
Phát hiện của TRMLabs cũng trùng khớp với vụ exploit Wasabi Protocol sử dụng chiến thuật tương tự vụ hack Drift ngày 19/4, khi kẻ tấn công dùng deployer key bị xâm nhập (không có timelock hoặc multisig) để rút 4,5 triệu USD.
Trong khi đó, vụ hack KelpDAO trị giá 292 triệu USD khai thác một lỗ hổng single-verifier đã được LayerZero cảnh báo nhiều lần.
Tuy nhiên, cách thức xử lý tài sản sau khi hack của các nhóm lại khác nhau đáng kể.
Với Drift, hacker đã chuyển tài sản sang USDC, bridge sang Ethereum, swap sang ETH và sau đó “án binh bất động” — phù hợp với chiến lược rút tiền chậm, kéo dài nhiều năm của Triều Tiên.
Ngược lại, nhóm Lazarus đã nhanh chóng rửa tiền từ vụ KelpDAO thông qua THORChain và Umbra, phần lớn thông qua các trung gian tại Trung Quốc, theo mô hình TraderTraitor đã được ghi nhận trước đó.
Tác động lan rộng tới DeFi
Vụ hack KelpDAO đã gây ra một trong những đợt rút vốn lớn nhất trong DeFi, với khoảng 13 tỷ USD bị rút khỏi nhiều nền tảng lending.
Aave chịu ảnh hưởng nặng nề nhất khi mất 8,54 tỷ USD tiền gửi chỉ trong 48 giờ, khiến nền tảng này đối mặt với khoản nợ xấu gần 200 triệu USD. Hiện các bên trong ngành đang hỗ trợ khắc phục với các cam kết lên tới 300 triệu USD.