Các vụ trộm tiền mã hóa của Triều Tiên năm 2025 bị cáo buộc: Từ tấn công sàn giao dịch đến tài trợ vũ khí
Vào ngày 07/08/2025, Bộ Tư pháp Hoa Kỳ kết án đồng sáng lập Tornado Cash, Roman Storm, vì điều hành một doanh nghiệp chuyển tiền không có giấy phép. Vụ án này, được xem như một cuộc trấn áp cơ sở hạ tầng trộn tiền điện tử, ảnh hưởng trực tiếp đến mạng lưới rửa tiền của các nhóm hacker.
Vài tuần sau, vào ngày 26/08, FBI xác nhận rằng nhóm Lazarus đứng sau vụ hack 1.5 tỷ USD của Bybit — vụ trộm lớn nhất trong lịch sử tiền điện tử.
“Các vụ hack của Triều Tiên” lan rộng khắp thị trường toàn cầu
Tại sao quan trọngVụ vi phạm Bybit và phán quyết Tornado Cash làm nổi bật sự giao thoa giữa tội phạm mạng và quy định. Đối với các nhà đầu tư và sàn giao dịch, đây không chỉ là vấn đề tài sản bị đánh cắp — mà còn là chi phí tuân thủ gia tăng, giám sát chặt chẽ hơn, và nhận thức rằng tiền điện tử đã chuyển từ rủi ro tài chính sang vấn đề an ninh quốc gia.
2025 YTD các vụ nạn nhân ví cá nhân theo vị trí quốc gia | Chainalysis
Cập nhật mới nhấtViệc FBI xác nhận vụ trộm Bybit và Bộ Tư pháp kết án đồng sáng lập Tornado Cash đánh dấu một bước ngoặt. Các cơ quan chức năng hiện đang truy đuổi cả hacker và cơ sở hạ tầng rửa tiền của họ. Hơn nữa, các nhà quản lý cho thấy rằng việc thực thi sẽ mở rộng để bao phủ cả những kẻ phạm tội và những người hỗ trợ trong ngành.
Bối cảnhTừ năm 2017, nhóm Lazarus, một nhóm hacker không rõ danh tính được cho là do chính phủ Triều Tiên điều hành, đã nhắm vào các ngân hàng và sàn giao dịch tiền điện tử để tạo ra nguồn tài chính. Câu chuyện về nguồn gốc của nó bắt nguồn từ việc các lệnh trừng phạt quốc tế hạn chế thương mại, khiến Bình Nhưỡng chuyển sang trộm cắp mạng. Đến năm 2025, tốc độ đã tăng nhanh, với các cuộc tấn công trải dài khắp châu Á, Mỹ và châu Âu. Đồng thời, các cơ quan thực thi pháp luật toàn cầu gặp khó khăn trong việc theo kịp tốc độ của các cuộc tấn công.
Một năm leo thang
Phân tích sâu hơnLàn sóng bắt đầu vào tháng 05, khi sàn giao dịch BitoPro của Đài Loan mất khoảng 11.5 triệu USD. Vào tháng 06, Bộ Tư pháp đệ đơn tịch thu 7.74 triệu USD liên quan đến các kế hoạch rửa tiền. Cuối tháng đó, bốn công dân Triều Tiên bị truy tố ở Georgia vì xâm nhập vào các công ty Mỹ với tư cách là nhà thầu IT, đánh cắp gần 900,000 USD. Trong khi đó, các nhà điều tra lưu ý rằng đây là một phần của mô hình rộng hơn chứ không phải các trường hợp riêng lẻ.
Một báo cáo của TRM Labs ước tính Triều Tiên đã đánh cắp 1.6 tỷ USD trong nửa đầu năm 2025, chiếm khoảng 70% tội phạm tiền điện tử toàn cầu. Vào tháng 06, Lực lượng Đặc nhiệm Hành động Tài chính cảnh báo rằng Triều Tiên là mối đe dọa nghiêm trọng nhất từ nhà nước đối với sự toàn vẹn của thị trường tiền điện tử. Ngoài ra, các nhà quản lý trên toàn thế giới bắt đầu xem xét khung cấp phép một cách tích cực hơn.
“Với hơn 2.17 tỷ USD bị đánh cắp từ các dịch vụ tiền điện tử cho đến nay trong năm 2025, năm nay tàn khốc hơn toàn bộ năm 2024. Vụ hack 1.5 tỷ USD của DPRK vào Bybit, vụ hack lớn nhất trong lịch sử tiền điện tử, chiếm phần lớn tổn thất dịch vụ.” — Chainalysis
Chiến thuật ẩn được tiết lộ
Phía sau hậu trườngMột cuộc điều tra của Wired tiết lộ hơn 1,000 tài khoản email liên kết với các nhân viên IT Triều Tiên làm việc từ xa cho các công ty phương Tây. Lương được chuyển vào ví tiền điện tử, sau đó được rửa qua các máy trộn và hoán đổi chuỗi chéo. Chiến lược “kép” này — dòng tiền ổn định từ công việc IT cộng với các khoản tiền lớn từ các vụ hack sàn giao dịch — cung cấp cho Bình Nhưỡng các nguồn tài chính bền vững. Hơn nữa, các chuyên gia nhận thấy rằng sự kết hợp này cho phép chế độ cân bằng thu nhập ổn định với các khoản tiền lớn thỉnh thoảng.
Các đặc vụ Triều Tiên cũng đã nâng cấp công cụ của họ. Như BeInCrypto báo cáo, họ hiện kết hợp kỹ thuật xã hội tiên tiến với các lỗ hổng zero-day. Do đó, tỷ lệ thành công của họ tăng lên ngay cả đối với các nền tảng từng được coi là an toàn.
Tác động rộng hơnNhững sự cố này đã làm lung lay niềm tin vào ngành. Các sàn giao dịch châu Âu báo cáo chi phí tuân thủ cao hơn, trong khi Hàn Quốc đã mở rộng pháp y blockchain. Cảnh báo của FATF đã thúc đẩy một số chính phủ thắt chặt khung cấp phép. Do đó, giám sát đã chuyển từ góc độ tài chính sang góc độ an ninh — một thay đổi ảnh hưởng trực tiếp đến cả nhà đầu tư và nền tảng.
Rủi ro chuyển hướng quân sự và phản ứng chính sách
Thông tin cần thiết• Triều Tiên đã đánh cắp 1.6 tỷ USD trong nửa đầu năm 2025 (TRM Labs).• Vụ hack Bybit một mình đã gây thiệt hại 1.5 tỷ USD (FBI).• BitoPro mất 11.5 triệu USD (Yahoo trích dẫn BitoPro).• Bộ Tư pháp đã đệ đơn tịch thu 7.74 triệu USD (DOJ).• Bốn công dân bị truy tố vì các vụ trộm 900,000 USD (DOJ).• Các giám sát viên của Liên Hợp Quốc báo cáo rằng các khoản thu từ mạng tài trợ cho các chương trình vũ khí.
Nhìn về phía trướcCác quan chức cảnh báo rằng Bình Nhưỡng đang thử nghiệm tài chính phi tập trung và các đồng tiền bảo mật. Do đó, các nhà phân tích dự đoán sẽ có các lệnh trừng phạt mới đối với các máy trộn, ví lưu ký và các bể thanh khoản. Nếu không có sự phối hợp, các khoảng trống trong thực thi sẽ mở rộng, để lại nhà đầu tư dễ bị tổn thương.
Phân tích dữ liệu
| Ngày | Sự kiện | Số tiền | Nguồn |
|---|---|---|---|
| 09/05/2025 | Vụ hack BitoPro (Đài Loan) | 11.5 triệu USD | Yahoo News |
| 05/06/2025 | Hành động tịch thu của DOJ | 7.74 triệu USD | DOJ |
| 30/06/2025 | Cáo trạng của DOJ (4 công dân) | 0.9 triệu USD | DOJ |
| tháng 06/2025 | Cảnh báo của FATF | Không áp dụng | ICBA |
| tháng 05/2025 | Vạch trần kế hoạch của nhân viên IT | Không áp dụng | Wired |
| 07/08/2025 | Phán quyết Tornado Cash | Không áp dụng | DOJ |
| 26/08/2025 | Vụ hack Bybit | 1.5 tỷ USD | FBI |
| 6 tháng đầu năm 2025 | Tổng số vụ trộm toàn cầu | 2.17 tỷ USD | Chainalysis |
Từ những vụ trộm trong quá khứ đến sự thống trị ngày nay
Từ năm 2017 đến 2022, các ủy ban của Liên Hợp Quốc ước tính rằng Bình Nhưỡng, bao gồm cả nhóm Lazarus, đã tạo ra khoảng 2 tỷ USD thông qua các vụ trộm mạng. Đến năm 2024, Triều Tiên chiếm gần một phần ba tội phạm tiền điện tử toàn cầu. Đến năm 2025, sự thống trị của họ mở rộng đáng kể, dẫn đầu hầu hết các vụ trộm lớn. Hơn nữa, sự chuyển đổi từ các vụ hack cơ hội sang các chiến dịch có hệ thống cho thấy sự tinh vi ngày càng tăng của chế độ này.
Rủi ro có thể xảy raTrừng phạt có thể thắt chặt, nhưng các giao dịch ngang hàng ở các nền kinh tế mới nổi tạo ra những điểm mù. Do đó, Triều Tiên có khả năng chuyển hướng sang các hành lang phi tập trung. Điều này ngụ ý rủi ro thanh khoản kéo dài, chi phí tuân thủ quy định cao hơn và có thể có những hạn chế thị trường đột ngột cho các nhà đầu tư.
Ý kiến chuyên gia
“Các hoạt động tội phạm mạng tạo ra khoảng một nửa thu nhập ngoại tệ của Triều Tiên và được sử dụng để tài trợ cho các chương trình vũ khí của họ.”
— Báo cáo trừng phạt của Liên Hợp Quốc, tháng 06/2025
“Những khoản tiền này cho phép các hoạt động xấu xa của Triều Tiên trên toàn thế giới, làm suy yếu các lệnh trừng phạt và thúc đẩy sự phổ biến.”
— Bộ Tư pháp Hoa Kỳ
“Chiến lược của nhóm Lazarus đã phát triển từ các vụ hack cơ hội thành các hoạt động tài trợ có cấu trúc, được nhà nước hậu thuẫn, khiến chúng khó bị phá vỡ hơn.”
— Nhà phân tích của TRM Labs
Bài viết đề xuất
