Lao động IT Triều Tiên cài cắm vào dự án tiền mã hóa và DeFi, mở đường cho các vụ hack tỷ đô

Bài viết này cảnh báo nguy cơ *“từ”*lao động IT Triều Tiên*từ”* đã âm thầm xâm nhập vào các công ty *“từ”*tiền mã hóa*từ”* và dự án *“từ”*DeFi*từ”* suốt nhiều năm, góp phần tạo ra hạ tầng cốt lõi nhưng đồng thời mở đường cho các vụ tấn công quy mô lớn. Thông tin được nêu ra bởi các chuyên gia bảo mật và điều tra *“từ”*on-chain*từ”*, trong bối cảnh những vụ hack liên quan tới nhóm Lazarus tiếp tục gây chấn động thị trường.

Theo CoinDesk đưa tin ngày 5 tháng 4 năm 2026 (giờ địa phương), nhà phát triển MetaMask và chuyên gia bảo mật Taylor Monahan cho biết nhiều lập trình viên Triều Tiên không chỉ tham gia từ “DeFi mùa hè” mà còn trực tiếp xây dựng những giao thức mà cộng đồng đang sử dụng hằng ngày. Bà khẳng định có dấu hiệu cho thấy nhân sự Triều Tiên từng tham gia phát triển hơn 40 nền tảng DeFi khác nhau, với các vai trò kỹ thuật cốt lõi. Đáng chú ý, nhiều hồ sơ xin việc ghi “7 năm kinh nghiệm phát triển blockchain” được cho là “không hề nói quá”, vì quá trình xâm nhập đã diễn ra liên tục trong ít nhất 7 năm.

Đằng sau mạng lưới nhân sự này là nhóm hacker Lazarus, lực lượng được cho là trực thuộc Cục Trinh sát Triều Tiên. Các nhà phân tích ước tính từ năm 2017 tới nay, Lazarus đã đánh cắp khoảng 7 tỉ đô la Mỹ giá trị *“từ”*tiền mã hóa*từ”*. Nhóm này liên quan đến hàng loạt vụ tấn công lớn như vụ hack cầu nối Ronin năm 2022, vụ tấn công sàn WazirX(WAZIRX) năm 2024, hay vụ đánh cắp quy mô lớn liên quan tới sàn Bitget và Bitcoin(BTC) trong năm 2025. Những sự kiện này đều gây thiệt hại nặng nề cho người dùng và làm chao đảo niềm tin vào hạ tầng DeFi.

Lời cảnh báo của Monahan được đưa ra ngay sau khi giao thức phái sinh Drift Protocol công bố báo cáo về vụ hack trị giá khoảng 280 triệu đô la Mỹ. Theo đánh giá nội bộ, khả năng “nhóm có liên hệ với nhà nước Triều Tiên đứng sau vụ việc” ở mức “trên trung bình”. Đội ngũ Drift cho biết họ không làm việc trực tiếp với cá nhân mang quốc tịch Triều Tiên, mà thông qua các “bên trung gian” đóng vai trò môi giới nhân sự. Những đối tượng này sở hữu hồ sơ gần như hoàn hảo: lịch sử làm việc rõ ràng, kinh nghiệm công khai trên GitHub và LinkedIn, cùng mạng lưới quan hệ được xây dựng kỹ lưỡng.

Một ví dụ khác đến từ hệ sinh thái Solana(SOL). Nhà sáng lập sàn tổng hợp giao dịch phi tập trung Titan Exchange, Tim Ahl, kể lại ông từng phỏng vấn một ứng viên được nghi liên quan đến Lazarus. Trong buổi phỏng vấn qua video, người này thể hiện trình độ kỹ thuật xuất sắc, nắm vững hạ tầng DeFi trên Solana và kinh nghiệm triển khai hợp đồng thông minh. Tuy nhiên, ứng viên kiên quyết từ chối phỏng vấn trực tiếp, viện cớ vấn đề thị thực và đi lại. Sau đó, tên của người này xuất hiện trong các tài liệu rò rỉ liên quan đến thành viên Lazarus, củng cố nghi ngờ về một chiến dịch xâm nhập có tổ chức.

Trước nguy cơ đó, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Mỹ đang vận hành các trang thông tin cho phép doanh nghiệp đối chiếu danh sách trừng phạt với đối tác giao dịch, đồng thời cung cấp mẫu nhận diện các hình thức gian lận tương tự “lao động IT Triều Tiên”. Họ khuyến nghị các công ty *“từ”*tiền mã hóa*từ”* và *“từ”*DeFi*từ”* coi toàn bộ quy trình tuyển dụng – từ đăng tin, nhận CV, phỏng vấn tới on-boarding – như một bề mặt tấn công mới, không chỉ là rủi ro nhân sự thông thường.

*bình luận* Việc tuyển sai một kỹ sư có thể đồng nghĩa với việc trao quyền truy cập trực tiếp vào kho mã nguồn, hệ thống triển khai hợp đồng thông minh, hạ tầng ví và khóa riêng – những điểm mà trước đây các dự án chỉ nghĩ tới ở khía cạnh “bảo mật kỹ thuật”, chứ không phải “bảo mật con người”.

Chuyên gia điều tra on-chain ZachXBT nhấn mạnh chiến thuật tiếp cận của các nhóm này không quá phức tạp về mặt kỹ thuật. Theo ông, họ sử dụng các kênh rất cơ bản như bài đăng tuyển dụng, LinkedIn, email, Zoom, và các vòng phỏng vấn thông thường để tiếp cận dự án. Điểm nguy hiểm nằm ở sự kiên trì và quy mô chiến dịch, khi cùng một mô hình hồ sơ và kịch bản ứng tuyển được lặp lại với rất nhiều công ty. ZachXBT nhận định rằng nếu đến năm 2026 các dự án vẫn tiếp tục mắc bẫy trước những chiêu thức ở mức “cơ bản”, đó sẽ là biểu hiện của sự cẩu thả và thiếu cập nhật về an ninh.

Những cáo buộc xung quanh lao động IT Triều Tiên và nhóm Lazarus cho thấy hệ sinh thái *“từ”*tiền mã hóa*từ”* và *“từ”*DeFi*từ”* không chỉ dễ tổn thương trước lỗ hổng hợp đồng thông minh hay lỗi hệ thống, mà còn rất mong manh ở khâu “xác minh con người”. Trong bối cảnh các vụ hack hàng trăm triệu đô la tiếp diễn, việc coi quy trình tuyển dụng, cộng tác, gia công và thuê ngoài như một phần của bề mặt tấn công đang trở nên sống còn với mọi dự án blockchain – từ giao thức hạ tầng tới ứng dụng người dùng cuối.