Các tác nhân có liên hệ với Triều Tiên đã dành nhiều năm âm thầm thâm nhập vào các công ty crypto và các đội ngũ DeFi, dấy lên những lo ngại mới về rủi ro nội bộ sau hàng loạt vụ khai thác giá trị cao có liên quan đến bộ máy không gian mạng của quốc gia này.
Nhà nghiên cứu bảo mật và nhà phát triển MetaMask Taylor Monahan cho biết những chiến thuật này bắt nguồn từ những ngày đầu của tài chính phi tập trung, với các cá nhân có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên đóng góp vào một số giao thức được sử dụng rộng rãi.
“Nhiều nhân viên IT của Triều Tiên đã xây dựng các giao thức mà bạn biết và yêu thích, từ thời kỳ DeFi summer,” cô nói vào Chủ Nhật, đồng thời cho biết thêm rằng hơn 40 nền tảng, bao gồm một số dự án nổi tiếng, đã từng dựa vào các nhà phát triển này.
Tuy nhiên, cô lưu ý rằng "bảy năm kinh nghiệm phát triển blockchain" được liệt kê trong sơ yếu lý lịch của họ "không phải là nói dối."
Các nhà điều tra từ lâu đã liên hệ các hoạt động không gian mạng của Triều Tiên với Nhóm Lazarus, một tập thể được nhà nước hậu thuẫn được cho là đã đánh cắp khoảng 7 tỷ USD tài sản kỹ thuật số kể từ năm 2017, theo các nhà phân tích của R3ACH.
Nhóm này đã có liên quan đến một số vụ vi phạm lớn nhất trong ngành, bao gồm vụ khai thác Ronin Bridge trị giá 625 triệu USD vào năm 2022, vụ hack WazirX trị giá 235 triệu USD vào năm 2024, và sự cố Bybit trị giá 1,4 tỷ USD vào năm 2025.
Vụ khai thác Drift Protocol trị giá 280 triệu USD tuần trước đã thu hút sự giám sát mới. Dự án cho biết họ có “mức độ tin cậy trung bình đến cao” rằng một nhóm liên kết với nhà nước Triều Tiên đứng sau cuộc tấn công, liên kết sự cố này với một mô hình thâm nhập và kỹ thuật xã hội rộng lớn hơn.
Tuy nhiên, các cuộc gặp mặt trực tiếp dẫn đến vụ vi phạm không phải với công dân Triều Tiên, mà là "các bên trung gian thứ ba" sử dụng "các danh tính được xây dựng hoàn chỉnh bao gồm lịch sử việc làm, thông tin xác thực công khai và mạng lưới chuyên nghiệp."
Các hồ sơ này bao gồm lịch sử việc làm, thông tin xác thực công khai và mạng lưới chuyên nghiệp năng động, cho phép họ xây dựng lòng tin thông qua các tương tác trực tiếp trước khi vụ khai thác xảy ra.
Nhà điều tra blockchain độc lập ZachXBT đã cảnh báo trong một bài đăng X gần đây rằng không phải tất cả các mối đe dọa liên quan đến Triều Tiên đều hoạt động ở cùng một mức độ tinh vi.
“Vấn đề chính là mọi người gộp tất cả lại với nhau trong khi mức độ phức tạp của các mối đe dọa lại khác nhau,” ông nói.
Ông mô tả nhiều nỗ lực thâm nhập là tương đối đơn giản, dựa vào sự kiên trì hơn là sự phức tạp về kỹ thuật. Tiếp cận thông qua các bài đăng tuyển dụng, LinkedIn, email, các cuộc gọi Zoom và quy trình phỏng vấn vẫn phổ biến.
“Cơ bản và không hề tinh vi […] điều duy nhất về nó là họ không ngừng nghỉ,” ông nói, đồng thời nói thêm rằng các đội ngũ tiếp tục mắc phải những chiến thuật như vậy vào năm 2026 có nguy cơ bị coi là sơ suất.
