Giới chức Hàn Quốc đang điều tra khả năng nhóm tin tặc Lazarus của Triều Tiên đứng sau vụ tấn công trị giá 36 triệu USD nhằm vào sàn giao dịch tiền mã hóa lớn nhất nước này, diễn ra đúng tròn sáu năm sau sự cố bảo mật lớn trước đó của nền tảng, vốn cũng bị quy cho các tác nhân do nhà nước bảo trợ này.
Upbit đã tạm ngừng nạp và rút tiền hôm thứ Năm sau khi phát hiện các giao dịch trái phép khoảng 44,5 tỷ won (36 triệu USD) tài sản trên nền tảng Solana bị chuyển từ một ví nóng sang các địa chỉ bên ngoài chưa xác định.
Vụ vi phạm xảy ra lúc 4:42 sáng ngày 27/11 theo giờ địa phương, kích hoạt quy trình khẩn cấp và đóng băng toàn bộ dịch vụ giao dịch trên nền tảng.
Các nguồn tin chính phủ và ngành công nghiệp nói với Yonhap News rằng các điều tra viên phân tích luồng ví và vector xâm nhập hiện nghi ngờ kẻ tấn công đã chiếm được tài khoản quản trị viên hoặc giả mạo thành người vận hành nội bộ – những chiến thuật rất giống với vụ việc năm 2019 khi 342.000 ETH trị giá 50 triệu USD bị đánh cắp trong một cuộc tấn công sau đó được liên hệ đến Lazarus và nhóm liên quan của Triều Tiên là Andariel.
Chuyện gì đã xảy ra
Vụ lộ ví ảnh hưởng đến hơn 20 token trong hệ sinh thái Solana, bao gồm SOL, USDC, BONK, Jupiter, Raydium, Render, Orca và Pyth Network. Dunamu, đơn vị vận hành Upbit, xác nhận các giao dịch rút tiền trái phép và cam kết bồi hoàn đầy đủ cho khách hàng bằng quỹ dự phòng vận hành của sàn. Công ty cho biết họ nắm giữ 67 tỷ won quỹ dự phòng cho các vụ hack hoặc lỗi hệ thống tính đến tháng 9, theo luật bảo vệ người dùng tiền mã hóa của Hàn Quốc.
“Chúng tôi đã xác định chính xác số tài sản số bị rò rỉ, và sẽ bù đắp toàn bộ thiệt hại bằng tài sản của chính Upbit để khách hàng không bị ảnh hưởng theo bất kỳ cách nào,” CEO Dunamu Oh Kyung-seok cho biết trong một tuyên bố. Sàn đã chuyển phần tài sản còn lại sang ví lạnh để ngăn chặn thêm các khoản rút trong khi đội ngũ pháp chứng tiến hành điều tra.
Upbit đã đóng băng khoảng 2,3 tỷ won (1,6 triệu USD) token Solayer thông qua các biện pháp on-chain và đang phối hợp với các đơn vị phát hành token để đóng băng thêm các tài sản có thể truy vết. Các công ty phân tích blockchain ghi nhận các chuyển khoản nhanh qua nhiều ví và hoạt động trộn tiền phù hợp với mô hình rửa tiền trước đây của Lazarus, theo các quan chức an ninh.
“Thay vì tấn công vào máy chủ, có khả năng tin tặc đã xâm phạm tài khoản quản trị viên hoặc mạo danh quản trị viên để thực hiện chuyển tiền,” một quan chức chính phủ nói với Yonhap. Cách tiếp cận này cho thấy sự thao túng tài khoản mục tiêu hơn là tấn công trực tiếp vào hạ tầng của Upbit, càng làm nổi bật sự tương đồng với các chiến dịch trước của Lazarus.
Cơ quan quản lý thuộc Bộ Khoa học và CNTT (ICT), Ủy ban Dịch vụ Tài chính và các cơ quan giám sát khác đã tiến hành thanh tra trực tiếp hệ thống của Upbit, tập trung vào quản lý khóa ví nóng và bảo mật mạng nội bộ. Sàn cho biết họ đang tiến hành rà soát toàn diện hệ thống nạp rút tài sản số và sẽ lần lượt khôi phục dịch vụ sau khi xác nhận an toàn.
Công ty an ninh blockchain CertiK nhận định tốc độ và quy mô rút tiền giống với các vụ tấn công liên quan đến Lazarus trước đây, dù hiện chưa có bằng chứng on-chain mang tính quyết định. Đơn vị này đã theo dõi luồng tiền từ hơn 100 địa chỉ kẻ tấn công trên Solana và tiếp tục giám sát để lần ra các kết nối với mạng lưới rửa tiền liên quan Lazarus.
Thời điểm vụ tấn công đã làm dấy lên nhiều suy đoán về động cơ của tin tặc. Sự cố diễn ra cùng ngày Naver Financial, công ty con của tập đoàn internet Naver, công bố thỏa thuận hoán đổi cổ phiếu trị giá 10,3 tỷ USD để mua toàn bộ cổ phần của Dunamu. Thương vụ sẽ biến Dunamu thành công ty con sở hữu hoàn toàn và là một trong những thương vụ chuyển giao doanh nghiệp quan trọng nhất trong lĩnh vực crypto tại Hàn Quốc.
“Tin tặc thường có khao khát thể hiện rất mạnh,” một chuyên gia bảo mật nói với Yonhap, gợi ý rằng kẻ tấn công có thể cố tình chọn ngày 27/11 để thu hút tối đa sự chú ý giữa tâm điểm công bố sáp nhập. Ngày này cũng đánh dấu đúng sáu năm kể từ vụ hack năm 2019 của Upbit tới ngày.
Cũng nên đọc: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Tại sao điều này quan trọng
Vụ vi phạm tại Upbit là trường hợp mới nhất trong một năm lập kỷ lục về các sự cố an ninh tiền mã hóa. Thiệt hại từ hack và exploit đã vượt 2,4 tỷ USD trong năm 2025, với vụ hack khổng lồ 1,5 tỷ USD tại sàn Bybit hồi tháng 2 chiếm phần lớn tổng số. Vụ tấn công Bybit – được coi là lớn nhất trong lịch sử crypto – cũng bị quy cho Lazarus Group của Triều Tiên.
Theo CertiK, nửa đầu năm 2025 ghi nhận 2,47 tỷ USD thiệt hại do hack, lừa đảo và exploit, tăng gần 3% so với 2,4 tỷ USD bị đánh cắp trong cả năm 2024. Kiểu tấn công tốn kém nhất là xâm phạm ví, với hơn 1,7 tỷ USD bị đánh cắp qua 34 vụ. Các cuộc tấn công phishing chiếm số lượng sự cố nhiều nhất với 132 vụ và 410 triệu USD bị lấy mất.
Lazarus Group liên tục sử dụng nhiều chiến thuật khác nhau, từ xâm nhập sàn giao dịch đến tấn công chuỗi cung ứng và xâm phạm môi trường phát triển. Nhóm này triển khai các cụm mã độc tùy chỉnh, mồi nhử social engineering và hạ tầng rửa tiền quy mô lớn, chuyển tiền mã hóa đánh cắp qua các mixer và bridge trên nhiều chuỗi. Các chuyên gia bảo mật lưu ý Triều Tiên, trong bối cảnh thiếu hụt ngoại tệ, sử dụng crypto đánh cắp để tài trợ cho các hoạt động của chế độ.
Trong vụ Upbit năm 2019, các nhà điều tra kết luận hơn một nửa số ETH bị đánh cắp đã được rửa qua các tài khoản trên sàn tạo bằng danh tính giả, sử dụng các phương thức điển hình của Lazarus như nhảy ví (wallet hopping) và kỹ thuật trộn. Nhóm này từng nhắm mục tiêu các nền tảng crypto để tối đa hóa tác động và độ phủ, cho thấy các cuộc tấn công có thể được dàn dựng có chủ đích nhằm tận dụng sự chú ý của công chúng.
“Đây là cách tiếp cận tiêu chuẩn của họ: phân tán token trên nhiều mạng để phá vỡ việc truy vết,” một quan chức an ninh cho biết. Nhà cung cấp phân tích blockchain Dethective báo cáo các ví liên quan kẻ tình nghi đã bắt đầu di chuyển tiền, cho thấy quá trình rửa tiền đã khởi động.
Vụ vi phạm tại Upbit cũng cho thấy các lỗ hổng dai dẳng trong hạ tầng ví nóng vốn phải kết nối trực tuyến để phục vụ vận hành. Trong khi các ví lạnh chứa phần lớn tài sản của sàn vẫn an toàn, ví nóng – nơi xử lý giao dịch và rút tiền thường xuyên – tiếp tục là mục tiêu hấp dẫn với các tác nhân tinh vi. Ngay cả các nền tảng lâu năm đã trải qua nhiều đợt kiểm toán an ninh cũng không tránh khỏi, với vụ hack giao thức Balancer trị giá 128 triệu USD hồi tháng 11 cho thấy phạm vi rộng của bức tranh đe dọa.
Khả năng Upbit hoàn tiền đầy đủ cho khách hàng từ quỹ vận hành mang lại phần nào trấn an, nhưng sự cố vẫn là cú đánh tài chính trực tiếp đáng kể vào Upbit và Dunamu trong bối cảnh họ đang tiến hành tích hợp với Naver Financial. Thương vụ sáp nhập được định vị là bước đi chiến lược nhằm đầu tư 10 nghìn tỷ won trong 5 năm để phát triển hạ tầng công nghệ AI và Web3 tại Hàn Quốc. Việc vụ hack xảy ra chỉ vài giờ sau thông báo thâu tóm tạo nên bối cảnh khó xử cho thực thể hợp nhất mới.
Giới chức tiếp tục lần theo tài sản bị đánh cắp thông qua phân tích blockchain trong khi tiến hành rà soát pháp chứng hạ tầng an ninh của Upbit. Sàn chưa đưa ra mốc thời gian khôi phục dịch vụ nạp rút, dù các cuộc kiểm toán an ninh sau những sự cố quy mô như vậy thường mất vài ngày hoặc hơn, tùy thuộc vào kết luận điều tra.
Đọc tiếp: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users