Tin tức 
Thông tin Coin 
Về chúng tôi 
Vụ *đánh cắp 280 triệu USD trên Drift Protocol* đang được giới phân tích nhìn nhận không chỉ là một cú *hack tiền mã hóa* thông thường, mà là kết quả của chiến dịch *“xâm nhập dài hạn”* do các *hacker Triều Tiên* và lực lượng IT nước này tiến hành trong nhiều năm. Nhiều dấu hiệu cho thấy nhân sự Triều Tiên đã *ẩn danh xin việc*, tham gia trực tiếp vào quá trình xây dựng giao thức, qua đó mở rộng bàn đạp tấn công trong toàn ngành.
Theo CoinDesk đưa tin ngày 6 (giờ địa phương), chuyên gia bảo mật kiêm nhà phát triển MetaMask Taylor Monahan cho biết đội ngũ IT Triều Tiên đã *thâm nhập hơn 40 nền tảng DeFi* khác nhau. Một số trong đó là các dự án nổi tiếng, từng được coi là trụ cột của làn sóng *“DeFi Summer”* giai đoạn 2020–2021.
Monahan cho rằng chi tiết “*7 năm kinh nghiệm phát triển blockchain*” trong hồ sơ xin việc của nhóm này không hề là bịa đặt. Ngược lại, họ thực sự tham gia vào quá trình xây dựng giao thức, viết mã, đề xuất tính năng. Bề ngoài, đó là những lập trình viên có tay nghề; bên trong, đây là chiến lược *nằm vùng dài hạn* có chủ đích, tận dụng thời gian để hiểu sâu hệ thống rồi tìm điểm yếu.
Từ góc nhìn rộng hơn, nhóm *Lazarus Group* – đơn vị bị phương Tây coi là đội *tác chiến mạng cấp quốc gia* của Triều Tiên – được ước tính đã chiếm đoạt khoảng *7 tỷ USD* từ ngành *tiền mã hóa* kể từ năm 2017. Con số này dựa trên phân tích của mạng lưới nhà sáng tạo R3ACH, tổng hợp nhiều vụ tấn công lớn:
- Vụ hack cầu nối Ronin Bridge năm 2022 với thiệt hại 625 triệu USD.
- Vụ tấn công sàn WazirX năm 2024, gây thất thoát 235 triệu USD.
- Vụ trộm 1,4 tỷ USD trên Bybit vào năm 2025 – một trong những lần đánh cắp nghiêm trọng nhất trong lịch sử *tiền mã hóa*.
*bình luận* Những vụ việc lặp đi lặp lại với quy mô hàng trăm triệu đến tỷ USD cho thấy lỗ hổng bảo mật trong hệ sinh thái *tiền mã hóa* mang tính *cấu trúc*, không chỉ là lỗi đơn lẻ của từng dự án.
Trở lại với *Drift Protocol*, vụ việc này gây chú ý vì người trực tiếp gặp gỡ, làm việc với đội ngũ dự án không mang quốc tịch Triều Tiên. Theo phía Drift, các cuộc gặp mặt trực tiếp được thực hiện thông qua *bên trung gian thứ ba*, đóng vai trò “đại diện” hoặc “đối tác” hợp tác kỹ thuật.
Mạng lưới này sử dụng *danh tính giả*, hồ sơ việc làm đã được chỉnh sửa kỹ lưỡng và cả hệ thống “mối quan hệ” có vẻ đáng tin cậy trên các nền tảng nghề nghiệp. Chiến thuật không còn dựa đơn thuần vào *malware* hay tấn công kỹ thuật, mà xoay quanh việc khai thác *yếu tố con người* – từ khâu nhân sự, đối tác cho đến quy trình vận hành nội bộ.
Điều tra viên on-chain ZachXBT nhận định, kỹ thuật xâm nhập qua con đường tuyển dụng thực tế không quá phức tạp: tiếp cận trên LinkedIn, phỏng vấn qua video, tham gia quy trình nhận việc như ứng viên bình thường. Tuy không đòi hỏi công nghệ cao, nhưng nếu được lặp lại kiên trì với nhiều vỏ bọc, chiến lược này vẫn đủ sức qua mặt các công ty thiếu quy trình thẩm định.
Ông nhấn mạnh: “Nếu đến năm 2026 mà doanh nghiệp vẫn bị qua mặt bởi những chiêu trò này, thì đó thực chất là vấn đề *bất cẩn nội bộ* hơn là do hacker quá tinh vi”. ZachXBT khuyến nghị các công ty *tiền mã hóa* cần chủ động đối chiếu thông tin với cơ sở dữ liệu trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC – thuộc Bộ Tài chính Mỹ), đồng thời xây dựng bộ mẫu nhận diện các *mô thức lừa đảo nhân sự IT* thường đi kèm những chiến dịch do Triều Tiên hậu thuẫn.
*bình luận* Vụ *hack Drift Protocol* cho thấy *bảo mật tiền mã hóa* không thể chỉ dừng lại ở kiểm toán mã nguồn hay vá lỗ hổng smart contract. Mặt trận rủi ro nay đã mở rộng sang:
- Quy trình tuyển dụng và kiểm tra lý lịch nhân sự kỹ thuật.
- Thẩm định đối tác, nhà thầu, bên trung gian tham gia phát triển sản phẩm.
- Xác minh danh tính khi gặp trực tiếp hoặc ký kết hợp tác quan trọng.
Nếu không siết chặt những tầng kiểm soát này, các giao thức DeFi và doanh nghiệp *tiền mã hóa* sẽ tiếp tục trở thành mục tiêu lý tưởng cho các chiến dịch *xâm nhập dài hạn*, nơi *con người* – chứ không chỉ là đoạn mã – trở thành cửa ngõ cho những vụ đánh cắp hàng trăm triệu USD trong tương lai.
Bình luận 0