Tập đoàn Lazarus bị nghi ngờ đã chuyển 175 triệu USD tiền ETH sau khi Arbitrum đóng băng 71 triệu USD từ vụ khai thác lỗ hổng bảo mật của KelpDAO

Điểm chính:

• Nhóm Lazarus đã rút 116.500 rsETH khỏi KelpDAO vào ngày 18 tháng 4.
• Hội đồng An ninh Arbitrum đã đóng băng khoảng 30.766 ETH trị giá 71 triệu USD liên quan đến kẻ khai thác KelpDAO vào ngày 20 tháng 4.
• Lazarus đã chuyển $175 triệu sang các địa chỉ Ethereum mới sau khi Arbitrum đóng băng, với Arkham Intelligence đang tích cực theo dõi các ví.

Tổ chức hacking của Triều Tiên rửa hàng triệu ETH bị đánh cắp từ KelpDAO qua Thorchain và Umbra Cash

Mặc dù câu chuyện có thể khác nhau tùy thuộc vào nhà phát triển giao thức nào bạn hỏi, các báo cáo cho biết kẻ tấn công đã xâm nhập hai nút RPC và triển khai phần mềm độc hại để cung cấp dữ liệu giao dịch giả mạo độc quyền cho Mạng Xác minh Phi tập trung của Layerzero trong khi duy trì dữ liệu chính xác cho các quan sát viên khác. Các báo cáo đã được KelpDAO, Layerzero và Llamarisk cùng các nhà cung cấp dịch vụ Aave công bố.

Cuộc tấn công tiếp theo là một cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào các nút còn lại chưa bị xâm nhập, buộc cầu nối của KelpDAO phải chuyển sang cơ sở hạ tầng bị xâm nhập. Với lớp xác minh nằm dưới sự kiểm soát của chúng, chúng đã tạo ra một tin nhắn xuyên chuỗi giả mạo để ủy quyền rút khoảng 116.500 rsETH, tương đương khoảng 18% tổng nguồn cung rsETH của KelpDAO.

Vụ trộm KelpDAO là vụ tấn công lớn thứ hai được quy cho Lazarus trong vòng ba tuần. Vào ngày 1 tháng 4, khoảng $285 triệu đã bị lấy đi từ Drift Protocol trong một chiến dịch mà các nhà điều tra cũng liên kết với Lazarus của Triều Tiên. Hai vụ việc này cùng nhau gây ra thiệt hại gần $600 triệu.

Theo báo cáo, các hacker Triều Tiên đã đánh cắp khoảng $2,02 tỷ tiền điện tử trong suốt năm 2025, tăng 51% so với cùng kỳ năm trước, khiến đây trở thành năm kỷ lục về các vụ trộm cắp liên quan đến Triều Tiên. Con số này, được công bố bởi Chainalysis và các phương tiện truyền thông Hàn Quốc, chiếm khoảng 60% đến 76% tổng số vụ trộm cắp tiền điện tử ở cấp độ dịch vụ trên toàn cầu, mặc dù nhóm này thực hiện ít hơn 74% số vụ việc so với các năm trước. Tổng ước tính thấp nhất tính đến cuối năm 2025 đạt khoảng 6,75 tỷ USD.

Vụ trộm tiền điện tử lớn nhất trong lịch sử cũng thuộc về Lazarus. Vào đầu năm 2025, nhóm này đã đánh cắp khoảng $1,5 tỷ từ Bybit, một sàn giao dịch có trụ sở tại Dubai, bằng cách xâm nhập vào nhà cung cấp phần mềm cho Safe Wallet và thao túng môi trường phát triển để chuyển hướng giao dịch từ ví lạnh sang ví nóng. Cục Điều tra Liên bang Mỹ (FBI) chính thức quy trách nhiệm vụ tấn công này cho các thành viên của nhóm Lazarus Triều Tiên.

Trước Bybit, các vụ trộm cắp đáng chú ý khác bao gồm khoảng $620 triệu từ cầu nối Ronin Network vào năm 2022, $308 triệu từ DMM Bitcoin vào năm 2024, và $234,9 triệu từ sàn giao dịch Ấn Độ WazirX vào năm 2024. Nhóm liên quan đến Triều Tiên này cũng đã nhắm mục tiêu vào các nền tảng nhỏ hơn, ví cá nhân và chuỗi cung ứng phần mềm liên quan đến tiền điện tử.

Lazarus thường mất nhiều tháng để chuẩn bị trước khi thực hiện vụ trộm. Các kẻ tấn công sử dụng các chiến dịch tuyển dụng giả mạo, phần mềm độc hại được lưu trữ trên GitHub và lừa đảo qua email (spear-phishing) để có được quyền truy cập ban đầu. Một khi đã xâm nhập vào môi trường của nhà phát triển hoặc người xác thực, chúng thu thập khóa riêng tư, xâm nhập ví nóng hoặc thao túng cơ sở hạ tầng cầu nối.

Sau khi rút tiền, nhóm này rửa tiền thông qua việc nhảy chuỗi, giao dịch trên sàn giao dịch phi tập trung (DEX) và phân tán qua hàng nghìn địa chỉ. Một phần số tiền thu được được cho là được chuyển qua các dịch vụ như Huione Pay trước khi cuối cùng được chuyển đổi thành bitcoin hoặc các tài sản khác có thể hỗ trợ chế độ Triều Tiên.

Bộ Tư pháp Hoa Kỳ đã truy tố công dân Triều Tiên Park Jin Hyok liên quan đến các hoạt động trước đây của Lazarus. Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính đã áp đặt các biện pháp trừng phạt đối với hàng chục địa chỉ, và Cục Điều tra Liên bang (FBI) đã phát hành các cảnh báo công khai kèm theo các định danh trên chuỗi (onchain identifiers) để các sàn giao dịch và trình xác thực chặn lại.

Bất chấp các biện pháp đó, Lazarus vẫn tiếp tục thích nghi. Các kỹ thuật đầu độc hạ tầng của nhóm, bao gồm việc xâm nhập nút RPC được sử dụng trong vụ tấn công KelpDAO, phản ánh sự chuyển hướng sang nhắm mục tiêu vào cơ sở hạ tầng bên dưới các giao thức tài chính phi tập trung (DeFi) thay vì các giao diện người dùng hoặc thông tin đăng nhập cá nhân.

An ninh cầu nối tiền điện tử vẫn là lỗ hổng chính. Các vụ vi phạm Ronin, Harmony Horizon và nay là KelpDAO đều liên quan đến việc thao túng hệ thống xác minh xuyên chuỗi. Các nhà nghiên cứu an ninh đã chỉ ra các yêu cầu chữ ký đa phương, kiểm toán độc lập các nút RPC và giám sát hành vi thời gian thực là các biện pháp giảm thiểu trực tiếp nhất.

Ước tính Triều Tiên thu được một phần đáng kể ngoại tệ từ các hoạt động này trong bối cảnh nền kinh tế bị hạn chế bởi các lệnh trừng phạt quốc tế, với một số phân tích cho rằng số tiền thu được từ việc đánh cắp tiền điện tử chiếm khoảng 13% GDP. Các khoản tiền bị đánh cắp được cho là hỗ trợ các chương trình hạt nhân và tên lửa đạn đạo của nước này cùng với các chức năng nhà nước khác.