Triều Tiên bất ngờ sở hữu kho Bitcoin lớn thứ 3 thế giới?

Triều Tiên được cho là đã tích lũy kho tiền số lớn thứ 3 thế giới. Ảnh: Khương Nha.

Chính phủ Triều Tiên hiện nắm giữ 13.562 Bitcoin, với tổng giá trị khoảng 1,14 tỷ USD, theo dữ liệu từ công ty an ninh tiền số Arkham Intelligence, Bloomberg đưa tin.

Với số Bitcoin này, Triều Tiên hiện chỉ xếp sau Mỹ (198.109 BTC) và Anh (61.245 BTC) trong danh sách các quốc gia sở hữu nhiều Bitcoin nhất thế giới.

"Vụ trộm thế kỷ"

Trước đó, Cục Điều tra Liên bang Mỹ (FBI) xác nhận Lazarus, nhóm tin tặc đã thực hiện vụ tấn công vào sàn giao dịch tiền điện tử Bybit vào ngày 22/2, đánh cắp lượng tài sản kỹ thuật số trị giá hơn 1,46 tỷ USD. Đây được coi là vụ trộm tiền mã hóa lớn nhất lịch sử.

Theo các báo cáo, phần lớn số tài sản bị đánh cắp là Ethereum (ETH), nhưng sau đó một lượng đáng kể đã được chuyển đổi thành Bitcoin.

Để truy vết và thu hồi số tiền bị chiếm đoạt, Bybit đã công bố chương trình treo thưởng cho bất kỳ ai có thể giúp đóng băng và thu hồi tài sản. Tuy nhiên, tính đến ngày 10/3, chỉ khoảng 40 triệu USD được lấy lại, theo BBC.

Nhóm Lazarus đã nhiều lần gây chấn động giới công nghệ với các vụ tấn công quy mô lớn. Năm 2016, nhóm này bị cáo buộc đứng sau vụ đánh cắp 81 triệu USD từ Ngân hàng Trung ương Bangladesh. Phi vụ đáng chú ý nhất của Lazarus là phát tán mã độc tống tiền WannaCry vào tháng 5/2017, gây ảnh hưởng nghiêm trọng trên toàn cầu với thiệt hại ước tính 4-8 tỷ USD, đồng thời mang lại lợi nhuận khổng lồ cho tin tặc từ các khoản tiền chuộc.

Đáng chú ý, Chainalysis cho biết các vụ trộm tiền số do hacker Triều Tiên thực hiện đã tăng hơn gấp đôi trong năm ngoái, đạt mức 1,34 tỷ USD, chiếm khoảng 60% tổng số tiền bị đánh cắp toàn cầu. Với vụ hack Bybit, con số này đã chính thức bị vượt qua chỉ trong những tháng đầu năm 2025.

Nhóm tin tặc Triều Tiên Lazarus bị cáo buộc đánh cắp gần 1,5 tỷ USD từ Bybit và chuyển đổi phần lớn sang Bitcoin. Ảnh: Shutterstock.

Mặc dù nhiều công ty an ninh mạng và tổ chức chính phủ xác nhận Lazarus là nhóm tin tặc có liên hệ với Bình Nhưỡng, Triều Tiên đã nhiều lần phủ nhận các cáo buộc này.

Cuộc chiến bảo mật

"Cuộc tấn công này cho thấy rằng ngay cả những đội ngũ giàu kinh nghiệm và thận trọng như Bybit cũng phải đối mặt với một môi trường an ninh mạng khắc nghiệt", Mitchell Amador, CEO công ty bảo mật tiền số Immunefi nhận định.

Đáng nói, số token bị đánh cắp từ Bybit được lưu trữ trong một ví lạnh đa chữ ký, yêu cầu sự phê duyệt từ 3 người để thực hiện bất kỳ giao dịch nào. Theo các nhà nghiên cứu, loại ví này từ lâu đã được coi là an toàn và được nhiều sàn giao dịch sử dụng rộng rãi, SCMP đưa tin.

Dù có những khác biệt nhỏ trong cách mô tả vụ tấn công, dường như nhóm tin tặc đã bắt đầu bằng cách nhắm vào máy tính của một nhân viên tại Safe Wallet - đơn vị cung cấp ví tiền số cho Bybit. Safe Wallet hiện chưa đưa ra bất kỳ bình luận nào về sự việc.

"Theo cách nào đó, các hacker đã thực hiện một cuộc phục kích. Họ đã lợi dụng một quy trình sẵn có để xâm nhập", Shahar Madar, Phó chủ tịch phụ trách an ninh và tin cậy tại Fireblocks, nhận định.

Dan Hughes, nhà sáng lập blockchain Radix, cho rằng chính cảm giác an toàn mà ví đa chữ ký mang lại có thể khiến những người có quyền ký duyệt mất cảnh giác.

Vụ tấn công cũng phơi bày một thực tế đáng lo ngại, dù tiền số được ca ngợi là một hệ sinh thái minh bạch, nơi các blockchain vận hành thông qua hợp đồng thông minh tự động, nhưng ở những thời điểm quan trọng, quyết định vẫn nằm trong tay con người và con người hoàn toàn có thể bị lừa.

Danh sách các vụ hack tiền điện tử lớn nhất những năm gần đây, với Bybit dẫn đầu khi bị đánh cắp 1,5 tỷ USD. Ảnh: Bloomberg.

Theo FBI, các tin tặc Triều Tiên ngày càng tinh vi trong việc khai thác điểm yếu này bằng các cuộc tấn công "kỹ thuật xã hội" (social engineering). Trong vụ Bybit, những người ký duyệt đã bị đánh lừa bởi thông tin giả mạo do mã độc cài vào, khiến họ tin rằng họ đang chấp thuận một giao dịch hợp pháp.

Vụ hack đặt ra thách thức sống còn đối với ngành công nghiệp tiền số, đặc biệt trong bối cảnh chính quyền Tổng thống Mỹ Donald Trump - vốn có quan điểm ủng hộ crypto - đã giúp xóa bỏ một số cuộc điều tra của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC).

Trước đây, các nhóm tin tặc Triều Tiên chủ yếu nhắm vào các dự án tiền số phi tập trung có hàng rào bảo mật yếu hơn. Tuy nhiên, thời gian gần đây, họ đã tăng cường tấn công các sàn giao dịch tập trung, như DMM Bitcoin của Nhật Bản và WazirX của Ấn Độ vào năm 2024. WazirX - từng là sàn giao dịch lớn nhất Ấn Độ - đã phải nộp đơn tái cấu trúc sau vụ hack.

Các sàn giao dịch tập trung đóng vai trò xương sống trong hệ sinh thái tiền số, xử lý hàng trăm tỷ USD giao dịch mỗi ngày. Do đó, một vụ tấn công quy mô lớn như tại Bybit không chỉ ảnh hưởng đến sàn và khách hàng mà còn gây tác động lan rộng.

Ngay sau tin tức vụ hack, giá Bitcoin, Ether và nhiều đồng tiền số khác sụt giảm, kéo theo đà lao dốc của cổ phiếu Coinbase - sàn giao dịch tiền số niêm yết lớn nhất.

Trước các nhóm tin tặc quốc gia ngày càng tinh vi, các sàn giao dịch tiền số buộc phải gia tăng chi tiêu cho an ninh mạng, đồng thời phối hợp chặt chẽ hơn với chính phủ để theo dõi và thu hồi tài sản trước khi chúng bị tẩu tán.

Các cơ quan quản lý cũng có thể phải xem xét lại các quy định về việc bảo vệ tài sản của khách hàng trên các sàn giao dịch tiền số.

Cẩm Tú