Các tác nhân Triều Tiên đã chiếm đoạt khoảng 577 triệu USD trong bốn tháng đầu năm 2026, một con số chiếm 76% tổng thiệt hại do tấn công tiền điện tử toàn cầu trong giai đoạn này, theo công ty tình báo blockchain TRM Labs.

Các thiệt hại này xuất phát từ hai sự cố vào tháng 4, bao gồm vụ khai thác lỗ hổng KelpDAO trị giá 292 triệu USD và vụ tấn công Drift Protocol trị giá 285 triệu USD, mà TRM cho biết trong một báo cáo chiếm 3% tổng số vụ hack trong năm 2026 tính đến tháng 4. 

Theo báo cáo, vụ tấn công Drift đến từ một nhóm nhỏ của Triều Tiên tách biệt với TraderTraitor, một chiến dịch liên quan đến Lazarus đã được ghi nhận rõ ràng, mặc dù việc quy kết cụ thể vẫn đang được điều tra. Vụ đột nhập KelpDAO là tác phẩm của TraderTraitor, báo cáo cho biết. 

Vụ hack Drift liên quan đến nhiều tháng gặp gỡ trực tiếp giữa các người đại diện của Triều Tiên và nhân viên của Drift, nhóm TRM cho biết, lưu ý rằng việc chuẩn bị cuộc tấn công bắt đầu sớm nhất vào ngày 11 tháng 3 trước khi kẻ tấn công tạo tài khoản nonce bền vững trên Solana và khiến các người ký đa chữ ký của Hội đồng Bảo mật của Drift ủy quyền trước các giao dịch. 

Sau đó, vào ngày 1 tháng 4, vài ngày sau khi Drift đã di chuyển Hội đồng Bảo mật của mình sang cấu hình ngưỡng 2/5 mới không có khóa thời gian, kẻ tấn công đã triển khai 31 lệnh rút tiền đã ký trước để rút cạn tiền trong một giai đoạn thực thi nhanh chóng kéo dài khoảng 12 phút, nhóm bổ sung. Số tiền sau đó đã được bắc cầu sang Ethereum, nơi chúng vẫn phần lớn không hoạt động kể từ đó.

Trong khi đó, vụ tấn công KelpDAO đi theo một con đường kỹ thuật khác, khai thác thiết kế một trình xác minh trong cầu nối LayerZero bằng cách xâm nhập cơ sở hạ tầng RPC và thao túng logic xác thực chuỗi chéo, theo báo cáo. 

TRM cho biết những kẻ tấn công đã rút cạn khoảng 116.500 rsETH sau khi buộc xác minh chuyển sang các node bị xâm nhập, với việc rửa tiền tiếp theo được định tuyến qua cơ sở hạ tầng chuỗi chéo, bao gồm THORChain, sau khi đóng băng tài sản một phần trên Arbitrum.

Tỷ lệ trộm cắp tiền điện tử của Triều Tiên tăng tốc

Nhóm TRM cho biết tỷ lệ thiệt hại do hack tiền điện tử toàn cầu của Triều Tiên đã “tăng tốc” thay vì chững lại, tăng từ dưới 10% vào năm 2020 và 2021 lên 22% vào năm 2022, 37% vào năm 2023, 39% vào năm 2024 và 64% vào năm 2025. Tổng số tiền bị đánh cắp được quy kết hiện đã vượt quá 6 tỷ USD kể từ năm 2017.

Công ty đã chỉ ra vụ vi phạm Bybit trị giá 1,46 tỷ USD vào năm 2025 là một điểm uốn quan trọng trong hồ sơ hoạt động gần đây của Triều Tiên. Kể từ đó, TRM cho biết nhịp độ hoạt động vẫn nhất quán, với các nhóm tinh nhuệ ưu tiên ít nhưng có tác động lớn hơn các cuộc tấn công nhắm vào cầu nối, hệ thống quản trị đa chữ ký và cơ sở hạ tầng chuỗi chéo.

TRM cho biết các sự cố Drift và KelpDAO làm nổi bật các phương pháp rửa tiền khác nhau. Một nhóm liên quan đến Drift đã để tài sản phần lớn không hoạt động sau khi bắc cầu ban đầu sang Ethereum và có thể sẽ “giữ số tiền thu được trong nhiều tháng hoặc nhiều năm, sau đó thực hiện việc rút tiền có cấu trúc, nhiều giai đoạn.”

Trong khi đó, những kẻ tấn công KelpDAO đã chuyển tiền nhanh chóng hơn thông qua các hoán đổi chuỗi chéo sang Bitcoin qua THORChain, với giai đoạn rửa tiền đang diễn ra được xử lý phần lớn bởi các bên trung gian Trung Quốc, chứ không phải chính người Triều Tiên, theo TRM. 

Các ưu tiên giám sát tuân thủ do TRM vạch ra bao gồm các luồng liên kết với THORChain từ các môi trường cầu nối bị xâm nhập, truy vết giao dịch đa bước trên cơ sở hạ tầng cầu nối và sàng lọc các đường dẫn gửi tiền liên quan đến quản trị Solana liên quan đến các giao dịch nonce bền vững. 

Công ty cũng nhấn mạnh sự tham gia của Mạng Beacon trên các sàn giao dịch và giao thức DeFi như một cơ chế để tăng tốc cảnh báo đa nền tảng khi các địa chỉ liên quan đến Triều Tiên được xác định.