Bạn có thể gặp những khách hàng giàu có, những người có thể là "lính đánh thuê" cho các hacker Triều Tiên.

Tác giả gốc: Nicky, Foresight News

Mới đây, Drift Protocol đã công bố kết quả điều tra mới nhất về vụ tấn công, cho thấy hoạt động này được thực hiện bởi cùng một nhóm tin tặc đã tham gia vào vụ tấn công Radiant Capital hồi tháng 10 năm 2024, với mức độ tương đồng cao về dòng tiền trên chuỗi và phương thức hoạt động. Công ty an ninh mạng Mandiant cho rằng vụ tấn công Radiant Capital do UNC4736 thực hiện, một tổ chức có liên hệ với chính phủ Triều Tiên.

Sau vụ tấn công Drift, tin tặc đã thu được 130.293 ETH , trị giá khoảng 266 triệu đô la. Sự cố này đã ảnh hưởng đến 20 giao thức, bao gồm Prime Numbers Fi, Gauntlet, Elemental DeFi , Project 0, và một số giao thức khác. Prime Numbers Fi ước tính thiệt hại vượt quá 10 triệu đô la, Gauntlet khoảng 6,4 triệu đô la, Neutral Trade khoảng 3,67 triệu đô la và Elemental DeFi khoảng 2,9 triệu đô la, trong đó Elemental bày tỏ hy vọng sẽ nhận được một phần bồi thường từ Drift.

Drift khẳng định rằng vụ tấn công là một chiến dịch được lên kế hoạch tỉ mỉ kéo dài sáu tháng. Vào mùa thu năm 2025, một nhóm tự xưng là công ty giao dịch định lượng đã tiếp cận các cộng tác viên của Drift tại một hội nghị tiền điện tử lớn. Dựa trên mốc thời gian, các hội nghị tiền điện tử lớn trong giai đoạn này bao gồm Korea Blockchain Week 2025 (từ ngày 22 đến 28 tháng 9 năm 2025, được tổ chức tại Seoul), TOKEN2049 Singapore (từ ngày 1 đến 2 tháng 10 năm 2025, được tổ chức tại Singapore), Binance Blockchain Week Dubai 2025 (từ ngày 30 đến 31 tháng 10 năm 2025, được tổ chức tại Dubai) và Solana Breakpoint Dubai (từ ngày 20 đến 21 tháng 11 năm 2025, được tổ chức tại Dubai).

Các quan chức của Drift khẳng định rằng họ có kỹ năng chuyên môn cao, có lý lịch chuyên nghiệp được xác minh và rất am hiểu về hoạt động của Drift. Hai bên đã lập một nhóm Telegram và tiến hành các cuộc thảo luận chuyên sâu về chiến lược giao dịch và tích hợp kho bạc trong những tháng tiếp theo.

Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm này chính thức ổn định tại kho lưu trữ sinh thái trên Drift, điền đầy đủ các mẫu chi tiết chiến lược theo yêu cầu. Họ đã tổ chức nhiều cuộc thảo luận làm việc với một số cộng tác viên, nêu ra các vấn đề chi tiết về sản phẩm và đầu tư hơn 1 triệu đô la từ nguồn vốn cá nhân. Thông qua các hoạt động kiên nhẫn và có trật tự, họ đã thiết lập được sự hiện diện kinh doanh hoàn chỉnh trong hệ sinh thái Drift.

Các cuộc thảo luận về việc sáp nhập tiếp tục cho đến tháng 3 năm nay. Một số cộng tác viên của Drift đã gặp lại những người này tại nhiều hội nghị quốc tế khác nhau. Đến thời điểm này, cả hai bên đã thiết lập được mối quan hệ hợp tác gần sáu tháng, và bên kia không còn là người xa lạ mà là đối tác mà họ đã cùng làm việc. Trong giai đoạn này, họ chia sẻ các liên kết đến các dự án, công cụ và ứng dụng mà họ tuyên bố đang phát triển, đây là một thông lệ phổ biến trong giới các công ty thương mại.

Sau vụ tấn công ngày 2 tháng 4, các nhà điều tra đã tiến hành một cuộc kiểm tra pháp y toàn diện đối với các thiết bị, tài khoản và hồ sơ liên lạc bị ảnh hưởng đã biết, trong đó tương tác với nhóm giao dịch này trở thành con đường xâm nhập khả dĩ nhất. Tại thời điểm tấn công, toàn bộ nhật ký trò chuyện Telegram và phần mềm độc hại của bên kia đã bị xóa sạch.

Cuộc điều tra cho thấy những kẻ tấn công có thể đã xâm nhập vào thiết bị của những người đóng góp cho Drift thông qua ba phương pháp. Một người đóng góp có thể đã bị lộ thông tin sau khi sao chép kho mã nguồn được nhóm chia sẻ, vốn được ngụy trang thành giao diện người dùng để triển khai kho báu của họ. Một người đóng góp khác đã bị dụ dỗ tải xuống ứng dụng TestFlight, mà bên kia tuyên bố là sản phẩm ví điện tử của họ. Về con đường xâm nhập vào kho mã nguồn, cộng đồng bảo mật đã nhiều lần cảnh báo từ tháng 12 năm 2025 đến tháng 2 năm 2026 về các lỗ hổng đã biết trong VSCode và Cursor, trong đó chỉ cần mở một tệp, thư mục hoặc kho mã nguồn trong trình soạn thảo là có thể âm thầm thực thi mã tùy ý mà không cần người dùng nhấp chuột hoặc bất kỳ lời nhắc nào. Việc phân tích pháp y toàn diện đối với phần cứng bị ảnh hưởng vẫn đang được tiến hành.

Chiến dịch này có liên quan đến cùng một nhóm tội phạm mạng đã gây ra vụ tấn công Radiant Capital vào tháng 10 năm 2024. Mandiant cho rằng vụ tấn công Radiant là do UNC4736, một tổ chức do nhà nước Triều Tiên tài trợ, còn được biết đến với tên gọi AppleJeus hoặc Citrine Sleet. Việc quy kết dựa trên hai khía cạnh: dòng tiền trên chuỗi cho thấy số tiền được sử dụng để lập kế hoạch và thử nghiệm hoạt động này có thể truy ngược lại nhóm tấn công Radiant; về mặt hoạt động, các vỏ bọc được sử dụng trong hành động này cho thấy sự trùng lặp rõ ràng với các hoạt động liên quan đến Triều Tiên đã biết.

Drift chỉ ra rằng những người xuất hiện tại các cuộc họp trực tiếp không phải là người Triều Tiên. Các nhân vật cấp cao thuộc phe Triều Tiên thường thiết lập các mối quan hệ trực tiếp thông qua các bên trung gian thứ ba.

UNC4736 là một nhóm các tác nhân đe dọa được Mandiant theo dõi, với đánh giá độ tin cậy cao cho thấy nhóm này có liên hệ với Cục Tình báo Tổng hợp Triều Tiên. Tổ chức này đã liên tục nhắm mục tiêu vào ngành công nghiệp tiền điện tử và fintech kể từ năm 2018, đánh cắp tài sản kỹ thuật số thông qua các cuộc tấn công chuỗi cung ứng, kỹ thuật xã hội và phát tán phần mềm độc hại.

Các vụ tấn công lớn đã biết bao gồm vụ tấn công chuỗi cung ứng 3CX vào tháng 3 năm 2023, vụ trộm 50 triệu đô la từ Radiant Capital năm 2024 và vụ trộm 285 triệu đô la từ Drift, với dữ liệu thống kê cho thấy tổ chức này đã đánh cắp tổng cộng khoảng 335 triệu đô la.

Nhóm này được xem là một nhánh nhỏ của Nhóm Lazarus, tập trung vào tội phạm mạng có động cơ tài chính. Nhóm Lazarus đã đánh cắp khoảng 1,5 tỷ đô la tài sản từ Bybit vào tháng 2 năm 2025, đánh dấu vụ trộm lớn nhất trong lịch sử tiền điện tử.

Nhóm Lazarus là một cụm các tác nhân đe dọa mạng được chính phủ Triều Tiên hỗ trợ, thuộc Cục Tình báo Tổng hợp, bao gồm nhiều cụm nhỏ như UNC4736 (tức là AppleJeus/Citrine Sleet) và TraderTraitor. Theo Chainalysis, tin tặc Triều Tiên đã đánh cắp khoảng 6,75 tỷ đô la tiền điện tử thông qua các nhóm tin tặc như Lazarus, riêng năm 2025 đã có hơn 2 tỷ đô la bị đánh cắp.

Tổ chức này chịu trách nhiệm cho một số vụ tấn công gây chấn động toàn cầu: vụ hack Sony Pictures Entertainment năm 2014, vụ trộm 81 triệu đô la từ ngân hàng trung ương Bangladesh năm 2016, vụ bùng phát mã độc tống tiền WannaCry toàn cầu năm 2017, các vụ trộm 620 triệu đô la và 100 triệu đô la từ Ronin Bridge và Harmony Horizon Bridge năm 2022, và các cuộc tấn công vào Atomic Wallet và Stake năm 2023. Vào tháng 10 năm 2024, UNC4736 đã tấn công Radiant Capital, đánh cắp 50 triệu đô la; vào tháng 2 năm 2025, TraderTraitor đã đánh cắp kỷ lục 1,5 tỷ đô la từ Bybit; và vào tháng 4 năm 2026, chúng đã hoàn thành một cuộc tấn công trị giá 285 triệu đô la vào Drift Protocol.

Lazarus đã giúp đẩy tổng số tiền điện tử mà Triều Tiên đánh cắp lên tới 6,75 tỷ đô la. Các phương thức tấn công đã chuyển từ việc phá hoại ban đầu sang xâm nhập lâu dài, kỹ thuật xã hội, tấn công chuỗi cung ứng và xâm nhập hợp đồng thông minh /đa chữ ký độc hại.

Thông cáo của Drift cho biết cuộc điều tra đã tiết lộ rằng các danh tính được sử dụng trong các hành động do bên thứ ba chỉ đạo đều có đầy đủ thông tin cá nhân và nghề nghiệp, bao gồm kinh nghiệm làm việc, bằng cấp công chức và mạng lưới quan hệ chuyên nghiệp. Những cá nhân mà cộng tác viên của Drift gặp gỡ ngoài đời thực đã dành nhiều tháng để xây dựng hồ sơ nhận dạng đủ vững chắc để đáp ứng yêu cầu kiểm tra nghiêm ngặt trong bối cảnh hợp tác kinh doanh.

Nhà nghiên cứu bảo mật Taylor Monahan trước đây đã tuyên bố rằng các nhân viên CNTT Triều Tiên đã thâm nhập vào các công ty tiền điện tử và các dự án DeFi trong ít nhất bảy năm, với hơn 40 nền tảng DeFi có sự tham gia của các nhân viên CNTT Triều Tiên ở các giai đoạn khác nhau. Vụ việc Drift càng cho thấy rằng những kẻ tấn công đã phát triển từ việc xâm nhập từ xa vào các cơ sở làm việc sang các hoạt động tình báo trực tiếp, kéo dài nhiều tháng.

Drift cho biết họ sẽ tiếp tục hợp tác với các cơ quan thực thi pháp luật, các đối tác pháp y và các nhóm bảo vệ hệ sinh thái, và sẽ công bố thêm chi tiết sau khi cuộc điều tra hoàn tất. Tất cả các chức năng giao thức còn lại đã bị đóng băng, các ví bị đánh cắp đã bị xóa khỏi hệ thống xác thực đa chữ ký, và địa chỉ của những kẻ tấn công đã bị gắn cờ tại nhiều sàn giao dịch và nhà điều hành cầu nối chuỗi chéo.