Ripple(XRP) chia sẻ dữ liệu về tin tặc Bắc Triều Tiên với Crypto ISAC khi Lazarus chuyển sang tấn công con người

Theo CoinDesk đưa tin ngày 5 (giờ địa phương), **“Ripple(XRP)”** cho biết đang chủ động chia sẻ thông tin về mối đe dọa nội bộ liên quan đến **“tin tặc Bắc Triều Tiên”** với các công ty trong ngành tiền mã hóa. Trong bối cảnh phương thức tấn công chuyển dịch từ khai thác lỗ hổng *mã nguồn* sang xâm nhập *con người*, động thái này được xem là nỗ lực thiết lập tuyến phòng thủ mới dựa trên **“chia sẻ thông tin bảo mật”** thay vì mỗi doanh nghiệp tự chống đỡ một cách đơn lẻ.

Theo Ripple, đội ngũ bảo mật nội bộ của công ty đã bắt đầu chuyển giao dữ liệu tình báo về những nỗ lực xâm nhập của nhóm tin tặc Bắc Triều Tiên cho tổ chức chia sẻ thông tin an ninh mạng trong lĩnh vực tiền mã hóa **“Crypto ISAC”**. Động thái này nhằm phản ứng trước loạt vụ tấn công gần đây cho thấy mô hình *“không còn là hack hệ thống, mà là thâm nhập con người”* đang trở thành xu hướng chủ đạo.

Ở vụ việc sàn giao dịch phi tập trung Drift mới đây, cách thức tấn công đã khác xa so với các vụ **“hack DeFi”** truyền thống. Thay vì đánh vào lỗ hổng **“hợp đồng thông minh”**, một tổ chức được cho là có liên hệ với Bắc Triều Tiên đã kiên trì xây dựng quan hệ với nhân sự nội bộ trong nhiều tháng. Sau khi tạo dựng đủ mức độ tin cậy, nhóm này cài **“mã độc”** lên thiết bị đầu cuối, từ đó chiếm quyền truy cập ví và đánh cắp khoảng 285 triệu đô la Mỹ (tương đương khoảng 4.200 tỷ đồng).

Điểm đáng chú ý là trong toàn bộ quá trình này, hệ thống an ninh truyền thống hầu như không phát hiện bất thường, bởi về mặt kỹ thuật, đó là hoạt động của một “người dùng nội bộ hợp lệ” chứ không phải xâm nhập từ bên ngoài.

Giai đoạn 2022–2024, phần lớn các vụ tấn công vào lĩnh vực **“DeFi”** đều xoay quanh việc lợi dụng lỗ hổng **“code”** và cấu trúc giao thức. Tuy nhiên, khi lớp phòng thủ kỹ thuật ngày càng được củng cố, giới phân tích nhận định các nhóm tin tặc như **“Lazarus”** đang chuyển trọng tâm sang yếu tố con người – nơi quy trình kiểm soát và nhận thức bảo mật thường yếu hơn hệ thống kỹ thuật.

Một biểu hiện rõ rệt của sự dịch chuyển này là chiến thuật “giả dạng ứng viên xin việc”. Theo dữ liệu mà Ripple chia sẻ, nhiều chiến dịch tấn công gần đây bắt đầu ngay từ vòng tuyển dụng: tin tặc nộp hồ sơ như ứng viên bình thường, vượt qua vòng sàng lọc, phỏng vấn qua **“video call”**, rồi dần xây dựng mối quan hệ với nhân sự chủ chốt để tìm cách có được quyền truy cập nội bộ.

Để giúp các công ty trong ngành sớm nhận diện các dấu hiệu đáng ngờ, Ripple đang cung cấp cho Crypto ISAC nhiều loại dữ liệu chi tiết liên quan đến các hồ sơ bị nghi ngờ, bao gồm: **“hồ sơ LinkedIn”**, địa chỉ email, vị trí địa lý, số điện thoại và các chỉ báo nhận diện khác. Ý tưởng là khi một đối tượng đã bị từ chối ở một công ty vì liên quan đến rủi ro an ninh, các doanh nghiệp khác trong ngành có thể kịp thời nhận được cảnh báo nếu người đó xuất hiện lại trong quy trình tuyển dụng của mình.

Ripple nhấn mạnh rằng tuyến phòng thủ mạnh nhất trong bảo mật tiền mã hóa hiện nay chính là **“chia sẻ”**: cùng một cá nhân hoặc nhóm có thể nộp đơn vào nhiều công ty trong cùng một tuần. Nếu không có cơ chế chia sẻ dữ liệu, mỗi doanh nghiệp sẽ phải “đối mặt từ đầu” với một mối nguy hiểm mà người khác thực ra đã phát hiện.

*bình luận: Việc đưa dữ liệu nhạy cảm như thông tin liên hệ của ứng viên vào mạng lưới chia sẻ an ninh chắc chắn sẽ làm dấy lên tranh luận về bảo vệ dữ liệu cá nhân, song phía doanh nghiệp xem đây là đánh đổi tất yếu trong bối cảnh mối đe dọa mang tính quốc gia ngày càng gia tăng.*

Ảnh hưởng của **“nhóm Lazarus”** – tổ chức tin tặc Bắc Triều Tiên nổi tiếng trong lĩnh vực tiền mã hóa – hiện đã vượt ra ngoài phạm vi thuần túy bảo mật, lan sang cả các tranh chấp pháp lý phức tạp.

Gần đây, một luật sư đã nộp đơn lên cộng đồng quản trị **“Arbitrum(ARB) DAO”** đề nghị tiếp tục phong tỏa 37.65 ETH (trị giá khoảng 55,5 tỷ đồng) bị đóng băng sau vụ tấn công cầu nối Kelp Bridge hồi tháng 4, với lập luận rằng đây là tài sản có liên quan đến Bắc Triều Tiên.

Ở chiều ngược lại, giao thức cho vay **“Aave(AAVE)”** phản đối quan điểm này, cho rằng kẻ trộm không thể thiết lập *quyền sở hữu pháp lý* chỉ bằng việc chiếm đoạt tài sản, và việc xử lý tài sản nghi ngờ gắn với thực thể bị trừng phạt cần tuân theo khung pháp lý rõ ràng hơn, tránh “án lệ” tùy ý.

Vụ Kelp Bridge được ước tính gây thiệt hại khoảng 292 triệu đô la Mỹ (tương đương khoảng 4.310 tỷ đồng), và cũng bị quy cho là do **“Lazarus”** đứng sau. Nếu gộp với vụ Drift, tổng thiệt hại lên hơn 500 triệu đô la Mỹ (khoảng 7.400 tỷ đồng) chỉ trong vòng chưa đầy một tháng.

*bình luận: Số tiền quá lớn trong thời gian quá ngắn cho thấy chiến dịch tấn công của các nhóm được nhà nước hậu thuẫn đang ở quy mô công nghiệp, có kế hoạch và ngân sách rõ ràng, thay vì các hoạt động tội phạm nhỏ lẻ.*

Trong bối cảnh đó, nhiều chuyên gia cho rằng thị trường tiền mã hóa đang chứng kiến một **“sự chuyển đổi mô hình bảo mật”**. Thay vì đặt trọng tâm tuyệt đối vào kỹ thuật, các doanh nghiệp đang bắt đầu xây dựng khung quản trị rủi ro nhân sự: quy trình tuyển dụng chặt chẽ hơn, kiểm tra lý lịch sâu hơn, chính sách phân quyền truy cập rõ ràng và cơ chế giám sát hành vi bất thường của nhân viên.

Tuy nhiên, vẫn còn nhiều nghi vấn về hiệu quả thực tế của mô hình **“chia sẻ thông tin tình báo an ninh”**. Một mặt, nó giúp các tổ chức phát hiện sớm hành vi tái phạm và phát hiện mẫu hình tấn công lặp lại. Mặt khác, kẻ tấn công có thể thay đổi danh tính, sử dụng hồ sơ giả mới, dịch chuyển sang nền tảng khác hoặc nhắm đến các công ty chưa tham gia mạng lưới chia sẻ, khiến hiệu quả bị phân mảnh.

Quyết định của **“Ripple(XRP)”** hợp tác sâu với **“Crypto ISAC”** vì vậy được xem như một tín hiệu rằng ngành tiền mã hóa đã bước sang giai đoạn buộc phải có **“phản ứng tập thể”** trước mối đe dọa có yếu tố nhà nước. Thay vì coi bảo mật là ưu thế cạnh tranh khép kín, các công ty buộc phải nhìn nhận nó như một hạ tầng chung: nếu một mắt xích bị phá vỡ, toàn bộ hệ sinh thái đều gánh rủi ro lây lan.

Tuy nhiên, giới quan sát cũng cảnh báo rằng các nhóm như **“Lazarus”** sẽ tiếp tục điều chỉnh chiến thuật, kết hợp nhiều lớp tấn công từ kỹ thuật đến xã hội. Vì vậy, bên cạnh cơ chế chia sẻ thông tin, thị trường vẫn cần đầu tư dài hạn vào hệ thống giám sát on-chain, đào tạo nhận thức bảo mật cho nhân viên, cũng như phối hợp với cơ quan thực thi pháp luật quốc tế.

*bình luận: Nếu **“Ripple(XRP)”** và các thành viên **“Crypto ISAC”** duy trì được dòng chia sẻ dữ liệu liên tục, chuẩn hóa và có kiểm chứng, đây có thể trở thành một “tường lửa thông tin” đầu tiên chống lại làn sóng tấn công dựa trên con người. Nhưng để mô hình này thực sự hiệu quả, quy mô tham gia cần mở rộng ra toàn ngành, từ sàn giao dịch lớn đến dự án DeFi nhỏ, thay vì chỉ dừng lại ở một vài tên tuổi lớn.*