Trộm cắp tiền mã hóa lên tầm cao mới, Bắc Triều Tiên chiếm hai phần ba

Trộm cắp tiền mã hóa lên tầm cao mới, Bắc Triều Tiên chiếm hai phần ba

Chỉ một quốc gia đã chiếm hai phần ba mọi USD bị đánh cắp khỏi hệ sinh thái tiền mã hóa toàn cầu trong nửa đầu năm 2026.

Đó không phải là chênh lệch làm tròn. Cũng không phải là hệ quả của một vụ cướp ngoạn mục duy nhất.

Đó là sản phẩm của một chiến dịch hack công nghiệp hóa, kéo dài — đã dành gần một thập kỷ để mài giũa phương thức, và hiện vượt xa mọi tác nhân đe dọa khác trong lĩnh vực cộng lại.

Quy mô này choáng ngợp ngay cả theo tiêu chuẩn tội phạm tiền mã hóa, vốn chưa bao giờ thiếu những con số kịch tính.

Các nhóm liên quan tới Bắc Triều Tiên chiếm 66,2% thiệt hại hack tài sản số toàn cầu trong H1 2026, theo số liệu đang được các nhà nghiên cứu bảo mật blockchain lan truyền trong tuần này.

Sự tập trung thiệt hại vào một cụm mối đe dọa duy nhất đánh dấu một bước chuyển về chất trong hồ sơ rủi ro của toàn bộ ngành. Và nó xuất hiện đúng lúc dòng vốn tổ chức đang chảy vào crypto với tốc độ nhanh nhất kể từ 2021.

Tóm tắt nhanh

  • Hacker liên kết Bắc Triều Tiên chiếm 66,2% tổng thiệt hại hack crypto trong nửa đầu 2026, thể hiện đỉnh mới về mức độ tập trung trộm cắp do nhà nước bảo trợ.
  • Nhóm Lazarus và các đơn vị CHDCND Triều Tiên liên quan đã tiến hóa từ việc hack sàn tập trung cơ hội sang các chiến dịch có cấu trúc cao nhắm vào giao thức DeFi, cầu cross-chain và lừa kỹ sư thông qua công tác xã hội nhắm vào nhà phát triển.
  • Số tiền này tài trợ trực tiếp cho chương trình vũ khí của Bắc Triều Tiên, biến an ninh crypto thành vấn đề địa chính trị mà các nhà quản lý ở Washington, Brussels và Seoul đang xử lý khẩn cấp.

Con số 66% và nó thực sự đo lường điều gì

Trước khi phân tích bức tranh chiến lược, phương pháp luận đằng sau con số này cần được soi kỹ.

Con số 66,2% đề cập đến tỷ lệ trong tổng thiệt hại hack crypto đã được xác minh quy cho các ví liên quan tới CHDCND Triều Tiên trong H1 2026 — dựa trên điều tra pháp y on-chain truy vết dòng tiền từ vụ trộm ban đầu qua trình trộn (mixer) và quá trình thoát hàng cuối cùng.

Chainalysis, đơn vị đã công bố dữ liệu dọc toàn diện nhất về tội phạm crypto, báo cáo trong Crime Report 2024 rằng các nhóm liên quan Bắc Triều Tiên đã đánh cắp khoảng 1,34 tỷ USD qua 47 vụ trong năm 2023 — tương đương 61% tổng giá trị trộm cắp năm đó.

Con số H1 2026 thể hiện sự tập trung gia tăng hơn nữa. Nó gợi ý khoảng cách giữa năng lực của CHDCND Triều Tiên và các tác nhân đe dọa khác đang mở rộng chứ không thu hẹp.

Tỷ lệ 66,2% này là mức tập trung cao nhất của trộm cắp tài sản số do nhà nước bảo trợ từng được ghi nhận trong một giai đoạn sáu tháng.

Điều quan trọng là phải hiểu con số 66% không bao gồm những gì.

Nó loại trừ exit scam, rug pull và gian lận — những thứ Chainalysis thường phân loại tách biệt khỏi hack. Mẫu số chỉ là thiệt hại hack đã được xác minh.

Nếu tính mọi loại tội phạm crypto, tỷ lệ phần trăm của CHDCND Triều Tiên sẽ thấp hơn. Nhưng điều đó không làm giảm con số tuyệt đối về USD bị đánh cắp.

Đọc thêm: XRP Spot Demand Rises While Binance Perps Flash A $783M Warning

Cách Lazarus Group trở thành “siêu cường” crypto

Lazarus Group — tên gọi “ô dù” được các cơ quan tình báo Mỹ và nhà nghiên cứu tư nhân dùng cho những đơn vị mạng có năng lực nhất của CHDCND Triều Tiên — khởi đầu không phải là một chiến dịch tập trung vào crypto.

Hồ sơ ban đầu của nhóm liên quan tới các cuộc tấn công phá hoại, cướp ngân hàng qua khai thác mạng SWIFT và ransomware.

Bước ngoặt sang crypto diễn ra dần dần. Nó bắt đầu rõ rệt khoảng năm 2017, khi nhóm nhắm vào các sàn Hàn Quốc — rồi leo thang mạnh sau vụ tấn công Ronin Network năm 2022.

Vụ hack Ronin, trong đó Lazarus Group đánh cắp khoảng 625 triệu USD khỏi sidechain Axie Infinity, là một điểm bẻ cong chiến lược.

Nó cho thấy hạ tầng DeFi — với độ phức tạp của smart contract, sự phụ thuộc vào cầu cross-chain và lỗ hổng công tác xã hội với nhà phát triển — mang lại bề mặt tấn công sinh lợi hơn nhiều so với sàn tập trung, vốn đã củng cố phòng tuyến sau một thập kỷ bị tấn công.

Vụ trộm 625 triệu USD vào tháng 3/2022 đó vẫn là vụ hack DeFi lớn nhất từng được ghi nhận. Nó trở thành mẫu hình vận hành cho các chiến dịch crypto sau này của CHDCND Triều Tiên.

Kể từ 2022, nhóm đã hệ thống hóa và tinh chỉnh ba vector tấn công.

Thứ nhất là đánh cắp thông tin xác thực của nhà phát triển — thường thông qua các lời mời việc làm giả trên LinkedIn cài đặt malware khi nạn nhân mở tài liệu hoặc chạy repository.

Thứ hai là khai thác cầu cross-chain, nhắm vào logic smart contract xác thực việc chuyển tài sản giữa các mạng.

Thứ ba là tấn công chuỗi cung ứng với các phụ thuộc phần mềm mà giao thức crypto sử dụng — kỹ thuật vốn phổ biến trong an ninh mạng truyền thống, nay được điều chỉnh cho mục tiêu blockchain.

Đọc thêm: Eng Vs Ind Is No Longer Just Cricket For Prediction Market Traders

Hồ sơ mục tiêu đã chuyển từ sàn tập trung sang DeFi

Lịch sử ban đầu của các vụ hack crypto lớn được viết bởi các vụ tấn công sàn tập trung. Mt. Gox năm 2014, Bitfinex năm 2016, Coincheck năm 2018. Các vụ này dựa vào việc xâm nhập hạ tầng ví nóng, khai thác lỗ hổng API hoặc mua chuộc người trong nội bộ. Thủ phạm thường là các nhóm tội phạm cơ hội hơn là tác nhân nhà nước có hậu thuẫn thể chế.

Chiến thuật hiện tại của CHDCND Triều Tiên thì khác căn bản. TRM Labs, trong báo cáo 2024 Crypto Threat Intelligence, phát hiện rằng tỷ trọng tổng giá trị trộm cắp crypto của CHDCND Triều Tiên đến từ việc khai thác giao thức DeFi (thay vì hack sàn tập trung) đã tăng từ khoảng 30% năm 2021 lên hơn 70% vào năm 2024. Sự dịch chuyển này song hành với tăng trưởng của thanh khoản on-chain.

Tổng giá trị khóa trong các giao thức DeFi toàn cầu từng đạt đỉnh trên 180 tỷ USD cuối 2021, giảm mạnh trong thị trường gấu 2022, và từ đó phục hồi lên mức một lần nữa trở thành mục tiêu hấp dẫn. Dữ liệu DefiLlama (https://defillama.com/) tính đến giữa 2026 cho thấy tổng TVL DeFi trên mọi chain trên 110 tỷ USD, với các cầu cross-chain nắm giữ tỷ lệ không cân xứng lượng giá trị đó ở dạng pool.

Các hợp đồng cầu DeFi là mục tiêu đặc biệt hấp dẫn với kẻ tấn công tinh vi vì chúng gom lượng lớn thanh khoản vào một smart contract đơn lẻ trong khi lại yêu cầu cơ chế xác thực thông điệp cross-chain phức tạp, khó có thể kiểm toán đầy đủ.

Cầu cross-chain trở thành nỗi ám ảnh riêng của các đơn vị CHDCND Triều Tiên vì hình thái rủi ro độc nhất của chúng. Hợp đồng cầu phải tin vào các khẳng định từ một chain từ xa mà nó không thể tự xác minh một cách bản địa. Logic xác thực phức tạp, thường dựa vào một ủy ban đa chữ ký hoặc bằng chứng light client. Cả hai cách đều tạo ra các giả định có thể khai thác. Cầu Ronin dùng multisig 9/9 nhưng trên thực tế bị hạ hiệu lực xuống 5/9 thông qua công tác xã hội. Ngưỡng năm chữ ký đó sau đó được kẻ tấn công đáp ứng, cho phép chúng phê duyệt rút tiền và rút cạn cầu.

Đọc thêm: Is Fable 5 Worth Double The Price When Opus 4.8 Still Delivers?

Vector lời mời việc làm giả và nhắm mục tiêu nhà phát triển

Thành phần nhất quán và ít được đánh giá đúng mức nhất trong chiến dịch H1 2026 của CHDCND Triều Tiên là hạ tầng công tác xã hội nhắm vào từng nhà phát triển và nhân viên giao thức. Đây không phải là một vụ hack kỹ thuật theo nghĩa truyền thống. Nó là một chiến dịch tình báo dựa trên quan hệ, kiên nhẫn, mà kết cục là thực thi mã độc.

Kịch bản tiêu chuẩn, được Mandiant mô tả chi tiết trong phân tích mối đe dọa tài chính APT38 và bởi Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ trong Cảnh báo CISA AA22-108A, là các điệp viên CHDCND Triều Tiên tạo hồ sơ chuyên nghiệp thuyết phục trên LinkedIn, thường dùng ảnh chân dung tạo bởi AI. Họ tiếp cận các nhà phát triển làm việc tại giao thức crypto, mời làm việc hợp đồng, phỏng vấn, hoặc đề nghị review mã.

Trong những trường hợp đã được ghi nhận, điệp viên CHDCND Triều Tiên duy trì mối quan hệ LinkedIn với mục tiêu là nhà phát triển crypto trong nhiều tuần hoặc nhiều tháng trước khi phát tán payload malware, xây dựng lòng tin qua các cuộc trao đổi kỹ thuật có cơ sở về chính codebase của mục tiêu.

Khi nạn nhân tương tác, kẻ tấn công cuối cùng sẽ gửi một tệp cần được thực thi. Đó có thể là PDF nhúng payload, repository GitHub chứa dependency độc hại, hoặc bài kiểm tra kỹ thuật giả cài đặt backdoor. Một khi kẻ tấn công có chỗ đứng trên máy của nhà phát triển, chúng có thể thu hoạch khóa riêng, token phiên cho hệ thống nội bộ, và thông tin đăng nhập hạ tầng đám mây dùng để quản lý triển khai giao thức.

Độ tinh vi của nghiệp vụ này phản ánh một khoản đầu tư thể chế vào phát triển năng lực mà không nhóm tội phạm tư nhân nào có thể sao chép. Các đơn vị mạng CHDCND Triều Tiên là nhân viên nhà nước làm việc toàn thời gian, vận hành với kỷ luật an ninh tác chiến, và có nhiều năm tích lũy tri thức tổ chức về giao thức nào dễ tổn thương nhất và nhà phát triển nào dễ tiếp cận nhất.

Đọc thêm: TeraWulf Stock Jumps As Anthropic Deal Recasts Bitcoin Miner In $19B AI Pivot

Hạ tầng rửa tiền phía sau các con số trộm cắp

Đánh cắp tiền mã hóa chỉ là bước đầu tiên. Chuyển đổi nó thành nguồn thu có thể sử dụng cho chế độ đòi hỏi một chuỗi rửa tiền tinh vi, bản thân nó đã trở thành chủ đề của các nghiên cứu on-chain chuyên sâu. Giai đoạn di chuyển tiền sau vụ trộm là nơi các nhà điều tra có thể quy kết cho CHDCND Triều Tiên một cách đáng tin cậy nhất, vì nhóm có các mẫu hành vi nhận diện được. mô hình trong cách nó di chuyển và che giấu nguồn tiền.

Chainalysis đã tài liệu hóa quy trình rửa tiền tiêu chuẩn của CHDCND Triều Tiên (DPRK) như một quá trình nhiều giai đoạn. Tài sản bị đánh cắp trước tiên được hoán đổi sang Ethereum (ETH) hoặc Bitcoin (BTC) bằng các sàn giao dịch phi tập trung on-chain, chuyển các token ít thanh khoản, gắn với từng giao thức sang các tài sản có tính thanh khoản cao hơn. Sau đó, các tài sản này đi qua các dịch vụ trộn (mixing), với việc nhóm này trước đây sử dụng Tornado Cash trước khi bị OFAC trừng phạt vào tháng 8/2022, buộc họ phải thích nghi sang các công cụ che giấu khác như Sinbad và Yomix, cả hai sau đó cũng đã phải đối mặt với các lệnh trừng phạt của Mỹ.

OFAC đã đưa mixer Sinbad vào danh sách trừng phạt vào tháng 11/2023 và mixer Yomix vào tháng 4/2025, cho thấy một động thái “mèo vờn chuột” trong đó mỗi công cụ rửa tiền của DPRK cuối cùng đều đối mặt với hành động trừng phạt, buộc nhóm này chuyển sang hạ tầng mới.

Sau khi trộn, tiền được điều hướng qua một mạng lưới các tài khoản sàn lồng nhau, các nhà môi giới OTC hoạt động tại các khu vực pháp lý không có thực thi AML hiệu quả, và các nền tảng ngang hàng (P2P). Điểm thoát (off-ramp) cuối cùng được sử dụng phổ biến nhất trong lịch sử là các sàn giao dịch hoạt động tại Đông Á và Đông Nam Á với việc thực thi KYC hạn chế. Một báo cáo năm 2024 của Nhóm Chuyên gia Liên Hợp Quốc về Triều Tiên đã chỉ ra cụ thể rằng tiền thu được từ trộm cắp crypto là nguồn tài trợ chủ yếu cho chương trình tên lửa đạn đạo của DPRK, ước tính doanh thu từ crypto tài trợ khoảng 40% nhu cầu ngoại tệ cho phát triển vũ khí hủy diệt hàng loạt.

Đọc thêm: Ethereum Có Thể Về Trạng Thái Gần Như Bằng Không Dưới Kế Hoạch Lean Chain Cực Đoan Nhất Của Buterin

Phản Ứng Pháp Lý Và Những Giới Hạn Của Nó

Chính phủ Mỹ đã triển khai một bộ công cụ đáng kể đối phó với các hoạt động crypto của DPRK, bao gồm việc OFAC đưa ví và dịch vụ trộn vào danh sách trừng phạt, thông báo quy kết của FBI cho các vụ hack cụ thể, và các khuyến cáo chung với cơ quan tình báo đồng minh. Bộ Tư pháp đã truy tố nhiều cá nhân được nêu tên là đặc vụ DPRK, dù việc truy tố trên thực tế là bất khả thi do thiếu các kênh dẫn độ.

Giới hạn của phản ứng từ phía Mỹ là mang tính cấu trúc. Trừng phạt các địa chỉ ví chỉ hiệu quả đối với những tác nhân sử dụng hạ tầng tài chính được quản lý (regulated) làm điểm thoát. Chúng hầu như không ảnh hưởng đến các tác nhân tinh vi có khả năng đi qua những khu vực pháp lý nằm ngoài tầm với AML của Mỹ. Hành động OFAC nhắm vào Tornado Cash là quan trọng và gây tranh cãi, nhưng DPRK đã thích ứng trong vòng vài tháng bằng cách chuyển sang hạ tầng thay thế.

Bộ Tư pháp đã truy tố bảy hacker quân đội DPRK được nêu tên liên quan đến các chiến dịch trộm cắp crypto, nhưng không ai trong số họ phải ra tòa. Các bản cáo trạng chủ yếu hoạt động như công cụ quy kết và răn đe đối với các dịch vụ bên thứ ba vốn có thể hỗ trợ việc di chuyển tiền.

Lực lượng Đặc nhiệm Hành động Tài chính (FATF), cơ quan liên chính phủ đặt ra các chuẩn mực AML, đã nâng Triều Tiên lên nhóm rủi ro cao nhất và duy trì lời kêu gọi thường trực đối với các khu vực pháp lý thành viên phải áp dụng thẩm định tăng cường với bất kỳ giao dịch nào có liên quan đến DPRK. Nhưng các khuyến nghị FATF là không bắt buộc, và những khu vực pháp lý hữu ích nhất cho DPRK để thoát tiền thường không phải là thành viên FATF, hoặc là thành viên nhưng có hồ sơ thực thi yếu.

Quy định Thị trường Tài sản Crypto (MiCA) của EU, có hiệu lực đầy đủ vào cuối năm 2024, bao gồm các yêu cầu về quy tắc chuyển tiền (travel rule) buộc phải xác định đối tác giao dịch đối với các chuyển khoản crypto trên một số ngưỡng nhất định. Những người ủng hộ cho rằng điều này đóng lại một số đường thoát OTC. Những người chỉ trích lưu ý rằng các hoạt động của DPRK đủ tinh vi để lách yêu cầu KYC bằng cách sử dụng ví không được lưu ký (unhosted) và các khu vực pháp lý nằm ngoài tầm với của EU.

Đọc thêm: Meta’s Muse Image Biến Instagram Thành Nguyên Liệu Thô Cho Nghệ Thuật AI

Thực Tế Mà Pháp Y On-Chain Thể Hiện

Việc quy kết trộm cắp crypto cho Triều Tiên không phải là một khẳng định chính trị. Nó dựa trên dữ liệu on-chain có thể kiểm chứng, vốn bất kỳ nhà nghiên cứu nào có quyền truy cập dữ liệu blockchain công khai và công cụ gom cụm ví cũng có thể tự tái lập. Hiểu cách quy kết này hoạt động là điều thiết yếu để đánh giá độ tin cậy của nó.

Khi DPRK đánh cắp từ một giao thức, giao dịch ban đầu ngay lập tức hiển thị trên chuỗi. Tiền bị đánh cắp được chuyển vào các ví do kẻ tấn công kiểm soát, sau đó thực hiện một chuỗi hoán đổi, giao dịch cầu nối (bridge) và trộn. Elliptic, một công ty phân tích blockchain khác, đã công bố phương pháp luận chi tiết cho thấy các ví DPRK gom cụm quanh các dấu hiệu hành vi, bao gồm các mẫu thời gian cụ thể, tuyến hoán đổi ưa thích, lượng “bụi” đặc trưng còn lại trong các ví trung gian, và xu hướng giữ tiền bị đánh cắp trong các cụm ví trong thời gian dài trước khi di chuyển chúng.

Phân tích gom cụm ví của Elliptic đã xác định hơn 15.000 địa chỉ liên quan đến các chiến dịch trộm cắp của DPRK, tạo nên một đồ thị các ví liên thông mà các nhà phân tích pháp y sử dụng để truy vết dòng tiền ngay cả sau khi đã trộn.

Các thông báo quy kết của FBI cho các vụ hack cụ thể, bao gồm vụ vi phạm Alphapo và khai thác Atomic Wallet năm 2023, dựa trên phương pháp pháp y này kết hợp với tình báo tín hiệu mật (signals intelligence) được phân loại.

Sự kết hợp giữa dữ liệu on-chain công khai và tình báo chính phủ đã tạo ra mức độ tự tin trong quy kết vượt quá mức thông thường trong các cuộc điều tra tội phạm mạng truyền thống, nơi không tồn tại bằng chứng on-chain.

Đọc thêm: Saylor Nói Tăng Trưởng Bitcoin 3,3% Có Thể Giữ Chiến Lược Cổ Tức Tiếp Tục Sống

Chương Trình Nhân Viên IT Như Một Kênh Doanh Thu Song Song

Tách biệt với các chiến dịch hack, DPRK vận hành một chương trình tạo doanh thu crypto song song đã thu hút sự chú ý đáng kể của cơ quan thực thi pháp luật vào năm 2024 và 2025. Hàng nghìn công dân Triều Tiên, hoạt động dưới danh tính giả sử dụng giấy tờ được tạo bởi AI và công nghệ video deepfake, đã giành được việc làm từ xa tại các công ty crypto và startup Web3 khắp Bắc Mỹ và châu Âu.

Bộ Tư pháp đã truy tố mười bốn cá nhân vào tháng 5/2024 vì điều hành một kế hoạch đưa nhân viên IT Triều Tiên vào hơn 300 công ty Mỹ, với thu nhập được chuyển ngược về DPRK.

Bản cáo trạng cho rằng từng công nhân kiếm được từ 250.000 đến 300.000 USD mỗi năm, với tổng chương trình tạo ra hàng chục triệu USD trong vài năm.

Bản cáo trạng tháng 5/2024 của DOJ ghi nhận các nhân viên IT Triều Tiên kiếm tới 300.000 USD mỗi năm tại các công ty crypto và công nghệ của Mỹ, với tiền được chuyển về DPRK thông qua một mạng lưới người hỗ trợ tại Mỹ, Anh và Trung Quốc.

Chương trình nhân viên IT đặc biệt nham hiểm đối với ngành crypto vì nó cài cắm quyền truy cập nội gián vào bên trong các nhóm phát triển. Một nhân viên IT với thông tin xác thực hợp lệ và quyền truy cập kho mã nguồn còn nguy hiểm hơn một kẻ tấn công bên ngoài cố gắng xuyên thủng lớp phòng thủ chu vi.

Một số nhà nghiên cứu bảo mật đã lưu ý rằng các mẫu đáng ngờ trong các commit mã, truy cập kho mã không giải thích được và giờ làm việc bất thường hiện đang được các công ty crypto coi trọng an ninh xem như những chỉ báo tiềm năng về nhân viên IT DPRK.

Sự giao thoa giữa chương trình nhân viên IT và chiến dịch kỹ nghệ xã hội nhắm vào nhà phát triển đồng nghĩa với việc bề mặt tấn công của DPRK đối với ngành crypto là đa chiều. Hacker bên ngoài, nhà phát triển bị xâm nhập qua lời mời việc làm giả, và nội gián cài cắm sẵn đều là các vector đe dọa đang hoạt động đồng thời.

Đọc thêm: OpenAI Giành Được Phê Duyệt GPT-5.6 Khi Trump Mở Rộng Triển Khai AI

Phản Ứng Bảo Mật Rộng Hơn Của Ngành

Phản ứng của ngành trước mối đe dọa từ DPRK là đáng kể nhưng không đồng đều.

Những giao thức có nguồn lực tốt nhất hiện tiến hành các cuộc kiểm toán bảo mật trước triển khai rất sâu, vận hành các chương trình săn lỗi (bug bounty) với mức thưởng sáu con số, và duy trì các đội ngũ bảo mật nội bộ có nền tảng trong nghiên cứu tấn công.

Sự tập trung đầu tư cho bảo mật ở tầng giao thức hàng đầu phản ánh cùng một quy luật lũy thừa (power law) đang chi phối ngành crypto nói chung.

Immunefi, nền tảng bug bounty Web3 hàng đầu, đã báo cáo tổng số tiền thưởng hơn 100 triệu USD vào giữa năm 2025 — sau khi hỗ trợ xác định các lỗ hổng có thể dẫn tới thiệt hại hàng tỷ USD tiềm tàng.

Khoản thưởng đơn lẻ lớn nhất trong lịch sử của họ là 10 triệu USD cho một nhà nghiên cứu mũ trắng đã phát hiện một lỗ hổng nghiêm trọng trong một giao thức DeFi lớn trước khi nó bị khai thác.

Nhưng việc tập trung chi tiêu cho bảo mật tại các giao thức top đầu khiến các dự án DeFi nhỏ hơn — vốn vẫn nắm giữ tổng cộng hàng tỷ USD TVL — bị bảo vệ kém đáng kể.

Vấn đề cầu nối chuỗi chéo (cross-chain bridge), nằm ở trung tâm của rất nhiều vụ hack lớn, đã tạo ra các phản ứng kiến trúc riêng của nó.

Đáng chú ý nhất là xu hướng tiến tới các cầu nối tối thiểu niềm tin hơn, sử dụng bằng chứng zero-knowledge để xác minh trạng thái chuỗi nguồn mà không cần dựa vào các ủy ban validator.

Các dự án như Succinct LabsPolyhedra Network đã xây dựng hạ tầng light client ZK được thiết kế đặc biệt để loại bỏ giả định ủy ban được tin cậy vốn khiến các cầu nối như Ronin có thể bị tấn công.

Liệu rằng hạ tầng an ninh đang được cải thiện đủ nhanh để vượt qua tốc độ phát triển năng lực của CHDCND Triều Tiên là điều thực sự không chắc chắn.

Tỷ lệ 66% trong nửa đầu năm 2026 cho thấy ngay cả với mức đầu tư đáng kể từ ngành, kẻ tấn công vẫn bắt kịp.

Cũng nên đọc: SpaceXAI Muốn Một “Kẻ Diệt Claude” Dùng Cursor Ngay Cả Trước Khi Thương Vụ 60 Tỷ USD Khép Lại

Cược địa chính trị và điều gì đang chờ phía trước

Đánh cắp tiền mã hóa là nguồn ngoại tệ cứng quan trọng nhất của Triều Tiên.

Đó không phải là một lối nói cường điệu. Nó phản ánh một thực tế vận hành đã được ghi nhận — được Bộ Tài chính Mỹ, Liên Hợp Quốc và các cơ quan tình báo đồng minh thừa nhận.

Nhóm Chuyên gia của LHQ ước tính số tiền Triều Tiên đánh cắp từ crypto ở mức khoảng 3 tỷ USD trong giai đoạn 2017–2023, với tốc độ gia tăng trong những năm sau đó.

Số tiền này không “biến mất” vào ngân khố chế độ theo bất kỳ nghĩa thông thường nào.

Chúng chảy trực tiếp vào các chương trình vũ khí — đặc biệt là nỗ lực tên lửa đạn đạo và thu nhỏ đầu đạn hạt nhân, vốn là ưu tiên chiến lược hàng đầu của Bình Nhưỡng.

Mỗi đô la bị đánh cắp từ một giao thức DeFi đều có thể chuyển hóa thành năng lực vật chất và kỹ thuật cho các hệ thống vũ khí mà các nhà hoạch định quốc phòng Mỹ, Hàn Quốc và Nhật Bản chủ động mô hình hóa trong các đánh giá mối đe dọa của họ.

Nhóm Chuyên gia LHQ đã liên hệ trực tiếp 3 tỷ USD bị đánh cắp trong giai đoạn 2017–2023 với việc tài trợ cho các chương trình vũ khí — biến an ninh blockchain thành một thành tố hiện hữu trong các tính toán an ninh khu vực ở Đông Bắc Á.

Đọc tiếp: 5 Đối Thủ Fable 5 Rẻ Hơn: Đừng Trả Quá Nhiều Cho Công Việc AI Hằng Ngày

Lời kết

Con số thị phần 66,2% trong nửa đầu năm 2026 không phải là một dữ liệu thú vị cho có.

Nó là một tín hiệu về trạng thái hiện tại của cuộc đấu giữa một trong những chương trình tác chiến mạng cấp quốc gia mạnh nhất thế giới và một ngành công nghiệp vốn có lịch sử ưu tiên tốc độ đưa sản phẩm ra thị trường hơn là an ninh vận hành.

Quỹ đạo của cuộc đấu này — từ các vụ hack sàn giao dịch cơ hội năm 2017, qua vụ tấn công cầu Ronin năm 2022, đến chiến dịch đa hướng hiện tại nhắm đồng thời vào nhà phát triển, cầu nối và người nội bộ — cho thấy một tác nhân đe dọa biết học hỏi, thích nghi và mở rộng nhanh hơn mức đầu tư phòng thủ của ngành có thể kiềm tỏa.

Các yếu tố cấu trúc đang nghiêng về phía Triều Tiên sẽ không biến mất trong ngắn hạn.

Triều Tiên có một lực lượng lao động mạng mang tính thể chế, không bị cám dỗ bởi khu vực tư nhân, không có trách nhiệm giải trình trước công chúng, và được nhà nước giao nhiệm vụ tạo ra doanh thu bằng mọi phương tiện có thể.

Ngành công nghiệp crypto, ngược lại, có bức tranh an ninh phân tán. Những giao thức giá trị nhất ngày càng được bảo vệ tốt — nhưng “đuôi dài” của các dự án DeFi nhỏ hơn vẫn thiếu nguồn lực một cách có hệ thống.

Và các cầu nối chuỗi chéo, cơ sở hạ tầng kết nối những “hòn đảo thanh khoản” của hệ sinh thái, vẫn có kiến trúc phức tạp theo những cách tạo ra các giả định dễ bị khai thác một cách dai dẳng.

Tuyên bố miễn trừ trách nhiệm và cảnh báo rủi ro: Thông tin được cung cấp trong bài viết này chỉ dành cho mục đích giáo dục và thông tin, dựa trên ý kiến của tác giả. Nó không cấu thành lời khuyên tài chính, đầu tư, pháp lý hoặc thuế. Tài sản tiền mã hóa có tính biến động cao và chịu rủi ro cao, bao gồm rủi ro mất tất cả hoặc một phần lớn khoản đầu tư của bạn. Giao dịch hoặc nắm giữ tài sản crypto có thể không phù hợp với tất cả nhà đầu tư. Những quan điểm được bày tỏ trong bài viết này hoàn toàn là của (các) tác giả và không đại diện cho chính sách chính thức hoặc lập trường của Yellow, những người sáng lập hoặc giám đốc điều hành. Luôn tiến hành nghiên cứu kỹ lưỡng của riêng bạn (D.Y.O.R.) và tham khảo ý kiến chuyên gia tài chính được cấp phép trước khi đưa ra bất kỳ quyết định đầu tư nào.
Trộm cắp tiền mã hóa lên tầm cao mới, Bắc Triều Tiên chiếm hai phần ba | Yellow.com