Bắc Hàn leo thang tấn công nội gián: Drift Protocol (DRIFT) và chuỗi vụ hack phơi bày rủi ro bảo mật mới của tiền mã hóa và DeFi

Bài viết này phân tích cách *từ 북한 연계 해커*, *từ Drift(Drift Protocol)* và chuỗi vụ tấn công gần đây đang phơi bày rủi ro *từ nội bộ* trong ngành *từ tiền mã hóa* và *từ DeFi*. Nhiều dấu hiệu cho thấy các nhóm hacker do nhà nước bảo trợ đã âm thầm thâm nhập dự án, trở thành “người trong đội” rồi mới ra tay, khiến vấn đề bảo mật chuyển từ lỗi kỹ thuật sang khủng hoảng niềm tin toàn hệ sinh thái.

Theo CoinDesk đưa tin ngày 2 tháng 4 năm 2025 (giờ địa phương), nhà nghiên cứu bảo mật kiêm lập trình viên ví MetaMask, Taylor Monahan, cho biết mạng lưới IT liên quan tới *từ Bắc Hàn* đã âm thầm tham gia hơn 40 dự án *từ DeFi* và *từ tiền mã hóa* trong gần 7 năm qua. Những nhân sự này không chỉ là “lính đánh thuê” thông thường; họ thực sự tham gia phát triển, tích lũy kinh nghiệm blockchain rồi dùng hồ sơ làm việc đó để tạo ra hoặc mượn danh tính giả, đủ tốt để vượt qua quy trình tuyển dụng tiêu chuẩn trong ngành.

Monahan đưa ra tuyên bố này trong phần trả lời một bài đăng trên X của “tim”, nhà phát triển đứng sau Titan – DEX aggregator trên Solana. Tim tiết lộ rằng anh từng phỏng vấn một ứng viên “xuất sắc bậc nhất” về kỹ năng kỹ thuật, nhưng sau đó phát hiện người này có liên hệ với Lazarus – nhóm hacker khét tiếng bị phương Tây cáo buộc hoạt động dưới sự chỉ đạo của Tổng cục Trinh sát của Bắc Hàn.

Nhà phân tích on-chain nổi tiếng ZachXBT cũng đồng tình với nhận định trên, đồng thời nhấn mạnh hoạt động tấn công tài chính của *từ Bắc Hàn* không chỉ gói gọn trong Lazarus. Theo ông, còn có nhiều đơn vị như APT38, AppleJeus… cùng vận hành dưới một cấu trúc tập trung, phối hợp nhịp nhàng từ giai đoạn thâm nhập, đánh cắp dữ liệu, cho đến khâu rửa tiền *từ tiền mã hóa*.

Những cảnh báo này phù hợp với dữ liệu từ Bộ Tài chính Mỹ và các hãng phân tích on-chain. Theo phân tích của Chainalysis công bố ngày 20 tháng 2 (giờ địa phương), mạng lưới IT có liên hệ Bắc Hàn ước tính đã kiếm được khoảng 800 triệu USD chỉ riêng trong năm 2024, thông qua kết hợp làm việc từ xa hợp pháp với các hành vi gian lận, phát triển phần mềm độc hại và tấn công *từ tiền mã hóa*. Từ năm 2017 đến nay, tổng giá trị *từ tài sản số* bị các nhóm này đánh cắp được cho là đã lên tới hàng tỷ USD, với một phần lớn doanh thu bị nghi được chuyển vào chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo.

"bình luận: Điểm đáng lo không chỉ là số tiền bị đánh cắp, mà là việc các nhóm này đang dần trở thành “nhà phát triển bình thường” trong mắt nhiều công ty *từ tiền mã hóa*. Khi đã ở trong đội, họ có thời gian, quyền truy cập mã nguồn và hạ tầng, khiến mô hình tấn công chuyển hẳn sang dạng nội gián dài hạn."

Nỗi lo đó càng bùng lên sau vụ *từ Drift Protocol (DRIFT)* bị tấn công ngày 1 tháng 4 vừa qua, với thiệt hại ước tính khoảng 285 triệu USD. Vào cuối tuần sau sự cố, đội ngũ Drift thừa nhận các suy đoán ban đầu về khả năng đây là một chiến dịch của Bắc Hàn là “phù hợp với dữ liệu điều tra”. Dựa trên bằng chứng kỹ thuật và phân tích nguồn tấn công, họ cho rằng vụ việc có liên quan với mức độ “tin cậy trung bình” đến UNC4736 – một nhóm hacker được nhiều hãng an ninh mạng xếp vào nhóm do nhà nước Bắc Hàn bảo trợ.

Theo báo cáo kỹ thuật của Drift, kẻ tấn công không khai thác trực tiếp lỗ hổng *từ smart contract* như các vụ hack DeFi thường thấy. Thay vào đó, chúng theo đuổi chiến lược “cài người” và tấn công chuỗi cung ứng phần mềm:

- Đầu tiên, sử dụng hồ sơ công việc được làm giả tinh vi, danh tính được dựng lên như người thật, có lịch sử làm việc trên GitHub và tham gia cộng đồng hợp lý.

- Sau đó, tiếp cận tại các hội nghị offline, sự kiện trong ngành để xây dựng lòng tin, dần dần tham gia sâu hơn vào quy trình phát triển.

- Khi đã có chỗ đứng, kẻ tấn công cài chỉnh cấu hình độc hại vào các file thiết lập của VS Code, Cursor…, rồi chuyển tới đội ngũ dưới dạng “kho mã được chuẩn hóa” mà lập trình viên có xu hướng kéo về và chạy trực tiếp trên máy.

Bằng cách này, chúng biến môi trường phát triển nội bộ thành điểm xâm nhập, khiến ngay cả quy trình review hợp đồng thông minh cũng khó phát hiện. Vụ việc mang đầy đủ đặc điểm của tấn công chuỗi cung ứng kết hợp *từ social engineering* (kỹ nghệ xã hội), gần với mô hình gián điệp công nghệ hơn là chỉ đơn thuần hack DeFi.

Hai ngày sau vụ Drift, Charles Guillemet, Giám đốc công nghệ của Ledger, nhận định kỹ thuật mà hacker sử dụng có nhiều điểm giống với vụ tấn công 1,4 tỷ USD nhắm vào sàn Bybit (Bybit) trước đó. Ông chỉ ra các mẫu hành vi như: thao túng môi trường phát triển, lạm dụng công cụ quen thuộc của lập trình viên, cùng cách tổ chức mã độc bên trong repository.

Cùng thời điểm, công ty phân tích blockchain Elliptic công bố báo cáo cho rằng, các tuyến đường rửa tiền on-chain, cách phân mảnh và xoay vòng tài sản bị đánh cắp trong vụ Drift thể hiện những đặc trưng tương tự các chiến dịch trước đây liên quan đến Bắc Hàn: sử dụng nhiều cầu cross-chain, vòng lặp trộn tiền phức tạp, và tận dụng những blockchain ít được giám sát để “rửa” *từ tài sản số* trước khi đưa trở lại các sàn tập trung.

"bình luận: Từ góc độ kỹ thuật, Drift cho thấy ranh giới giữa hack DeFi và tấn công chuỗi cung ứng truyền thống đã mờ dần. Từ góc độ pháp lý, việc các nhóm hacker có tính “quốc gia” đứng sau khiến mọi sự cố bảo mật của dự án lớn đều có thể bị nâng cấp thành vấn đề an ninh quốc gia."

Sự kết hợp giữa mạng lưới IT Bắc Hàn, mô hình tấn công chuỗi cung ứng và tuyến rửa tiền xuyên chuỗi đang buộc ngành *từ tiền mã hóa* phải đối mặt với thực tế: chi phí bảo mật sẽ tăng vọt, đi cùng áp lực pháp lý và giám sát khắt khe hơn.

Về phía doanh nghiệp, các sàn giao dịch và dự án *từ DeFi* có khả năng sẽ đối mặt với một loạt yêu cầu mới:

- Thẩm tra lý lịch nhân sự kỹ hơn, đặc biệt là đội ngũ kỹ thuật cốt lõi, với quy trình KYC nội bộ, kiểm chứng lịch sử công việc, đối chiếu dấu vết on-chain thay vì chỉ xem CV và GitHub.

- Chuẩn hóa môi trường phát triển: tách biệt chặt chẽ giữa môi trường dev, staging, production; hạn chế tối đa việc sử dụng repository từ nguồn không được kiểm toán nội bộ; kiểm tra bảo mật cho các plugin, extension IDE.

- Thiết lập cơ chế “zero trust” trong nội bộ: mọi commit quan trọng, thay đổi cấu hình hạ tầng hoặc key quản trị đều cần xác thực đa lớp và review chéo, giảm bớt quyền lực tuyệt đối của một vài cá nhân.

Ở tầm vĩ mô, khi các báo cáo từ OFAC, Chainalysis, Elliptic… tiếp tục chỉ ra đường dây từ *từ tiền mã hóa* tới chương trình vũ khí của Bắc Hàn, các cơ quan quản lý có lý do để:

- Siết chặt quy định cấp phép đối với sàn và tổ chức lưu ký, yêu cầu khung bảo mật tương đương hạ tầng tài chính trọng yếu.

- Tăng cường danh sách trừng phạt liên quan tới địa chỉ ví, cá nhân, tổ chức hỗ trợ rửa tiền; mở rộng nghĩa vụ báo cáo giao dịch đáng ngờ cho cả các giao thức *từ DeFi* có yếu tố quản trị tập trung.

- Gây sức ép lên nhà cung cấp bảo hiểm *từ tiền mã hóa*, khiến phí bảo hiểm cho các dự án lớn – nhất là dự án liên quan phái sinh, đòn bẩy – có thể tăng đáng kể.

"bình luận: Nếu kịch bản này tiếp diễn, rất có thể chi phí tuân thủ và bảo mật sẽ trở thành rào cản gia nhập lớn đối với các startup *từ DeFi*, đẩy ngành vào thế giống ngân hàng truyền thống ở khía cạnh chi phí cố định, dù vẫn vận hành trên nền tảng phi tập trung."

Tác động tới thị trường không nhất thiết thể hiện ngay lập tức bằng cú sập giá. Thời điểm bài viết, *từ Bitcoin (BTC)* vẫn duy trì vùng đỉnh quanh 69.000 USD trên khung ngày, cho thấy nhà đầu tư chưa coi loạt vụ hack này là chất xúc tác đủ mạnh để đảo chiều xu hướng. Tuy nhiên, ở tầng sâu hơn, rủi ro bảo mật và yếu tố địa chính trị đang dần được “định giá” vào:

- Phí bảo hiểm rủi ro cho các token *từ DeFi* có TVL lớn.

- Khả năng bị siết thanh khoản trên các sàn lớn nếu xuất hiện nghi vấn liên quan nhóm quốc gia.

- Những cuộc tranh luận kéo dài về cơ chế bồi thường nạn nhân, phân chia trách nhiệm giữa đội ngũ core dev, DAO và nhà đầu tư tổ chức.

Trong bối cảnh đó, thông điệp cốt lõi ngày càng rõ: với *từ tiền mã hóa* và *từ DeFi*, “bảo mật chính là niềm tin”. Mỗi vụ tấn công theo kiểu “nội gián” như Drift không chỉ gây thiệt hại hàng trăm triệu USD, mà còn bào mòn sự tin tưởng vào chính mô hình phát triển mở của ngành. Cách cộng đồng, nhà phát triển và nhà quản lý cùng nhau đối phó với rủi ro *từ nội bộ* sẽ quyết định liệu hệ sinh thái có thể trưởng thành như một lớp hạ tầng tài chính bền vững hay tiếp tục mắc kẹt trong vòng lặp hack – vá – mất niềm tin.