Đối mặt với các cuộc tấn công của hacker Triều Tiên đối với ngành công nghiệp tiền điện tử trong nhiều năm, Chainalysis trong Báo cáo Tấn Công Hacker năm 2025 đặc biệt tập trung phân tích các hành vi tấn công của hacker Triều Tiên. Dưới đây là thông tin chi tiết.
Điểm chính:
· Hacker Triều Tiên đã đánh cắp tiền điện tử trị giá 20.2 tỷ USD trong năm 2025, tăng 51% so với năm trước, mặc dù số lần tấn công giảm, nhưng tổng số tiền đã cướp đã đạt 67.5 tỷ USD.
· Hacker Triều Tiên đã đánh cắp nhiều tiền điện tử hơn với ít lần tấn công hơn, thường thông qua việc đưa nhân viên IT vào bên trong dịch vụ tiền điện tử hoặc sử dụng chiến lược giả mạo phức tạp nhằm vào các giám đốc điều hành.
· Hacker Triều Tiên rõ ràng ưa chuộng các dịch vụ rửa tiền tiếng Trung, dịch vụ cầu nối qua các chuỗi khối và giao thức lẫn lộn, sau các vụ đánh cắp lớn, chu kỳ rửa tiền của họ khoảng 45 ngày.
· Trong năm 2025, số vụ việc ví cá nhân bị đánh cắp tăng mạnh lên 158,000, 80000 người dùng bị ảnh hưởng, nhưng tổng giá trị bị cướp (7.13 tỷ USD) giảm so với năm 2024.
· Mặc dù Giá trị Toàn bộ Khóa cài đặt Phi tập trung (TVL) tăng, nhưng tổn thất do hacker trong thời kỳ từ 2024 đến 2025 vẫn duy trì ở mức thấp, cho thấy các biện pháp an ninh cải thiện đang có hiệu quả đáng kể.
Trong năm 2025, Hệ sinh thái tiền điện tử một lần nữa đối mặt với thách thức nghiêm trọng, với số tiền bị cướp tiếp tục tăng. Phân tích chỉ ra rằng mô hình cướp tiền tiền điện tử có bốn đặc điểm chính: Hacker Triều Tiên vẫn là nguồn đe dọa hàng đầu; Tấn công cá nhân vào các dịch vụ trung tâm trở nên nghiêm trọng hơn; Số vụ việc về ví cá nhân bị đánh cắp tăng mạnh; Xu hướng tấn công hacker DeFi bắt đầu phân hóa bất ngờ.
Từ tháng 1 đến tháng 12 năm 2025, tổng số tiền bị cướp trong ngành tiền điện tử vượt quá 34 tỷ USD, trong đó chỉ một cuộc tấn công vào Bybit vào tháng 2 đã chiếm 15 tỷ USD.
Dữ liệu cũng cho thấy sự thay đổi quan trọng trong các vụ đánh cắp này. Số vụ đánh cắp từ ví cá nhân đã tăng đáng kể, từ 7.3% tổng giá trị bị đánh cắp vào năm 2022 lên đến 44% vào năm 2024. Nếu không tính sự kiện tấn công Bybit ảnh hưởng lớn, tỷ lệ này vào năm 2025 có thể lên đến 37%.
Trong khi đó, do các cuộc tấn công phức tạp vào hạ tầng khóa riêng tư và quá trình ký, dịch vụ tập trung đang gánh chịu tổn thất ngày càng lớn. Mặc dù những nền tảng này có tài nguyên tổ chức và đội ngũ an ninh chuyên nghiệp, nhưng vẫn dễ bị đe dọa bởi các mối đe dọa có thể né tránh kiểm soát ví lạnh. Mặc dù các sự kiện xâm nhập như vậy không phổ biến (như được hiển thị trong hình dưới), nhưng một khi xảy ra, chúng sẽ gây thiệt hại lớn, trong quý 1 năm 2025, những sự kiện như vậy chiếm 88% tổng thiệt hại. Nhiều kẻ tấn công đã phát triển phương pháp sử dụng tích hợp ví của bên thứ ba và dụ dỗ người ký cho phép giao dịch độc hại.
Mặc dù an ninh mã hóa có thể đã cải thiện ở một số lĩnh vực, nhưng số tiền bị đánh cắp vẫn cao, cho thấy kẻ tấn công vẫn có thể thành công thông qua nhiều cách tiếp cận.
Sự kiện bị đánh cắp tiền đã luôn bị đẩy mạnh bởi các sự kiện cực đoan, hầu hết các vụ tấn công hacker về quy mô tương đối nhỏ, nhưng cũng có một số vụ tấn công lớn. Tuy nhiên, tình hình vào năm 2025 đã trở nên tồi tệ hơn: tỷ lệ giữa vụ tấn công hacker lớn nhất và giá trị trung vị của tất cả các sự kiện lần đầu tiên vượt quá ngưỡng 1000 lần. Hiện nay, số tiền bị đánh cắp trong vụ tấn công lớn nhất là 1000 lần số tiền bị đánh cắp trong sự kiện thông thường, thậm chí vượt xa cả đỉnh cao của thị trường bò vào năm 2021. Các tính toán này dựa trên giá trị tiền bị đánh cắp vào thời điểm bị đánh cắp.
Sự chênh lệ ngày càng tăng này đã làm cho thiệt hại trở nên rất tập trung. Ba vụ tấn công hacker lớn nhất vào năm 2025 đã gây ra 69% thiệt hại tổng cộng, ảnh hưởng của một vụ sự kiện độc lập đến tổng thiệt hại hàng năm rất đáng kể. Mặc dù tần suất tấn công có thể dao động và với sự tăng giá tài sản, thiệt hại trung vị cũng sẽ tăng lên, nhưng rủi ro thiệt hại tiềm ẩn từ các lỗ hổng lớn vẫn đang tăng với tốc độ nhanh hơn.
Mặc dù tần suất tấn công giảm mạnh, nhưng Triều Tiên vẫn là quốc gia gây ra mối đe dọa nghiêm trọng nhất đối với an ninh mã hóa, với số tiền tiền mã hóa bị đánh cắp vào năm 2025 đạt mức cao mới, ít nhất là 20.2 tỷ đô la Mỹ (tăng 6.81 tỷ đô la so với năm 2024), tăng 51% so với cùng kỳ. Về số tiền bị đánh cắp, đây là năm nghiêm trọng nhất trong lịch sử vụ trộm tiền mã hóa của Triều Tiên, với 76% các vụ tấn công được tiến hành bởi Triều Tiên, lập kỷ lục mới. Tổng số tiền tiền mã hóa bị đánh cắp mà Triều Tiên đã thực hiện, ước tính tối thiểu đạt 67.5 tỷ đô la Mỹ.
Ngày càng có nhiều hacker Triều Tiên sử dụng IT personnel (một trong những phương tiện tấn công chính) để cài đặt dịch vụ mã hóa bên trong và lấy quyền truy cập đặc quyền để tiến hành các cuộc tấn công lớn. Các sự kiện tấn công kỷ lục trong năm nay có thể một phần phản ánh việc Triều Tiên ngày càng phụ thuộc nhiều hơn vào nhân viên IT trong việc xâm nhập vào nền tảng giao dịch, các tổ chức lưu trữ và các công ty Web3, điều này có thể tăng tốc quá trình truy cập ban đầu và di chuyển ngang, tạo điều kiện cho việc ăn cắp quy mô lớn.
Tuy nhiên, các tổ chức hacker gần đây liên quan đến Triều Tiên đã hoàn toàn đảo ngược mô hình nhân viên IT này. Họ không còn chỉ đơn giản là nộp đơn và xâm nhập dưới danh nghĩa nhân viên, mà ngày càng giả mạo nhân viên tuyển dụng của các công ty Web3 và AI nổi tiếng, tinh vi lên kế hoạch quá trình tuyển dụng giả mạo, cuối cùng với việc giả mạo "lựa chọn kỹ thuật", lấy điều kiện như mật khẩu đăng nhập của nạn nhân, mã nguồn và quyền truy cập VPN hoặc đăng nhập một điểm (SSO) của người lao động cũng như các biện pháp xã hội học tương tự ở cấp quản lý cấp cao với hình thức liên hệ giả mạo từ cơ quan đầu tư chiến lược hoặc đối tác mua lại, họ tận dụng các phiên họp giới thiệu và giả bộ khảo sát tận tình để khai thác thông tin hệ thống nhạy cảm và cơ sở hạ tầng tiềm năng có giá trị cao—sự tiến triển này trực tiếp xây dựng trên các hành vi lừa đảo của nhân viên IT Triều Tiên và tập trung vào các công ty AI và Blockchain chiến lược.
Như đã thấy trong những năm qua, các cuộc tấn công mạng Triều Tiên tiếp tục có giá trị cao hơn so với các hacker khác. Như được thể hiện trong biểu đồ dưới đây, từ năm 2022 đến năm 2025, các cuộc tấn công hacker Triều Tiên chiếm đỉnh cao giá trị, trong khi các cuộc tấn công hacker không liên quan đến Triều Tiên phân phối đều hơn trong tất cả các quy mô ăn cắp. Mô hình này tiếp tục cho thấy rằng khi các hacker Triều Tiên tiến hành cuộc tấn công, họ nhắm vào dịch vụ lớn hơn, với mục tiêu tạo ra tác động lớn nhất.
Thiệt hại kỷ lục trong năm nay đến từ việc giảm mạnh trong số sự kiện đã biết. Sự chuyển đổi này (sự giảm số lượng sự kiện nhưng tăng mạnh về thiệt hại) phản ánh tác động của sự kiện tấn công lớn Bybit vào tháng 2 năm 2025.
Vào đầu năm 2025, một lượng lớn tiền bị hack lộ ra đã phơi bày cách hacker Triều Tiên lớn lên rửa tiền tiền điện tử. Mô hình của họ khác biệt hoàn toàn so với các tên tội phạm mạng khác và đã phát triển theo thời gian.
Hoạt động rửa tiền của Triều Tiên thể hiện một mô hình "tầng" rõ rệt, hơn 60% tổng số giao dịch tập trung trong khoảng dưới 500 nghìn USD. Ngược lại, hơn 60% số tiền chuyển khoản trên chuỗi của hacker khác đã được phân phối theo lô từ 1 triệu đến 10 triệu USD. Mặc dù mỗi lần rửa tiền, số tiền của Triều Tiên cao hơn so với các hacker khác, nhưng họ chia các chuyển khoản trên chuỗi thành các lô nhỏ hơn, làm nổi bật sự phức tạp trong phương tiện rửa tiền.
So với các hacker khác, Triều Tiên đã thể hiện sở thích rõ rệt tại một số giai đoạn rửa tiền:
Các hacker Triều Tiên thường có xu hướng:
· Dịch vụ Chuyển tiền và Bảo đảm bằng tiếng Trung (+355% đến hơn 1000%): Điều này là đặc điểm nổi bật nhất, nghiêm trọng phụ thuộc vào dịch vụ bảo đảm tiếng Trung cũng như vào mạng lưới rửa tiền bao gồm nhiều hoạt động rửa tiền có khả năng kiểm soát tuân thủ yếu hơn.
· Dịch vụ Cầu nối Mạng lưới (Cross-chain Bridge) (+97%): Phụ thuộc mạnh mẽ vào cầu nối mạng lưới để chuyển giao tài sản giữa các blockchain khác nhau và cố gắng tăng cường sự khó khăn trong việc theo dõi.
· Dịch vụ Hỗn hợp Tài sản (Coin Mixing Service) (+100%): Sử dụng nhiều dịch vụ hỗn hợp để cố gắng che đậy luồng tiền.
· Dịch vụ Chuyên nghiệp như Huione (+356%): Sử dụng chiến lược các dịch vụ cụ thể để hỗ trợ hoạt động rửa tiền của mình.
Các hacker khác tham gia hoạt động rửa tiền thường có xu hướng:
· Giao thức Cho Vay (Lending Protocol) (-80%): Triều Tiên tránh sử dụng các dịch vụ DeFi này, cho thấy mức độ tích hợp với hệ sinh thái DeFi rộng lớn hạn chế của họ
· Sàn Giao dịch Không yêu cầu Xác minh Cá nhân (No KYC Exchange) (-75%): Đáng ngạc nhiên là, hacker khác sử dụng sàn giao dịch không yêu cầu xác minh cá nhân nhiều hơn so với Triều Tiên
· Giao dịch Điểm-điểm (P2P) (-64%): Sự quan tâm của Triều Tiên đối với các nền tảng P2P hạn chế
· Sàn Giao dịch Trung tâm (CEX) (-25%): Hacker khác tương tác trực tiếp với các sàn giao dịch truyền thống nhiều hơn
· Sàn Giao dịch Phi trung tâm (DEX) (-42%): Hacker khác có xu hướng ưa thích sử dụng DEX vì tính thanh khoản cao và tính ẩn danh mạnh mẽ của nó
Các mẫu này cho thấy hoạt động của Triều Tiên bị hạn chế và mục tiêu khác biệt so với các tội phạm mạng không do quốc gia hỗ trợ. Họ sử dụng nhiều dịch vụ chuyên nghiệp bằng tiếng Trung và các nhà môi giới giao dịch ngoại tuyến (OTC), cho thấy sự liên kết chặt chẽ của hacker Triều Tiên với các nhà hoạt động phi pháp ở khu vực châu Á-Thái Bình Dương.
Phân tích hoạt động trên chuỗi sau các sự kiện hacker được quy tội cho Triều Tiên trong giai đoạn 2022-2025 chỉ ra rằng các sự kiện này có mô hình tương tự với lưu thông tiền bị đánh cắp trong hệ sinh thái tiền mã hóa. Sau các sự kiện đánh cắp lớn, số tiền này tuân thủ một con đường rửa tiền có cấu trúc đa giai đoạn, quá trình này kéo dài khoảng 45 ngày:
Vài ngày đầu tiên sau vụ tấn công của hacker, đã quan sát thấy một loạt hoạt động bất thường, chủ yếu là việc chuyển tiền ngay lập tức từ nguồn bị đánh cắp:
· Lượng dòng tiền bị đánh cắp của giao protocal DeFi tăng mạnh nhất (+370%), trở thành điểm đưa tiền chính.
· Lượng giao dịch của dịch vụ trộn tiền cũng tăng đáng kể (+135-150%), tạo thành tầng trộn đầu tiên.
· Giai đoạn này đại diện cho hành động khẩn cấp "bước đầu tiên", nhằm tách rõ biên giới với hành vi đánh cắp ban đầu.
Sau khi qua tuần thứ hai, chiến lược rửa tiền chuyển sang phương pháp giúp tiền được tích hợp vào dịch vụ hệ sinh thái rộng hơn:
· Giao dịch ít trừng tên KYC hơn (+37%) và sàn giao dịch trung tâm (CEX, +32%) bắt đầu nhận dòng tiền.
· Dịch vụ trộn tiền tầng hai (+76%) tiếp tục hoạt động với cường độ thấp
· Cầu chuyển chuỗi (như XMRt, +141%) giúp phân tán và che giấu việc dòng tiền trên các chuỗi khối
· Giai đoạn này là thời kỳ chuyển tiền quan trọng, tiền bắt đầu dần dần chuyển tới các kênh rời khỏi tiềm năng
Giai đoạn cuối cùng rõ ràng hướng tới các dịch vụ có thể cuối cùng đổi thành tiền pháp hoặc tài sản khác:
· Giao dịch ít trừng tên KYC (+82%) và dịch vụ bảo lãnh (như bảo lãnh khoai tây, +87%) tăng đáng kể
· Giao dịch ngay lập tức (+61%) và các sàn giao dịch tiếng Trung (như Huobi, +45%) trở thành điểm đổi cuối cùng
· Sàn giao dịch trung tâm (CEX, +50%) cũng nhận tiền, cho thấy có nỗ lực phức tạp để kết hợp tiền với tiền hợp pháp
· Khu vực pháp lý ít trừng tên hơn, như mạng rửa tiền tiếng Trung (33%) và Grinex (39%) và các nền tảng khác, hoàn thiện mô hình này
Cửa sổ hoạt động rửa tiền thường 45 ngày này cung cấp thông tin tình báo quan trọng cho đội ngũ thực thi pháp luật và tuân thủ. Mô hình này đã kéo dài nhiều năm, cho thấy hacker Triều Tiên đối mặt với hạn chế về hoạt động, điều này có thể liên quan đến kênh truy cập cơ sở hạ tầng tài chính hạn chế của họ và cần thiết phải phối hợp với một số trung gian cụ thể.
Mặc dù các hacker này không luôn tuân thủ một dòng thời gian cụ thể như vậy—một số tiền bị đánh cắp có thể "ngủ" trong vài tháng hoặc vài năm—nhưng mô hình này đại diện cho hành vi chuỗi thường gặp trong quá trình rửa tiền tích cực của họ. Ngoài ra, cần nhận thức về các điểm mù có thể có trong phân tích này, vì một số hoạt động (như chuyển mã riêng tư hoặc giao dịch tiền ảo ngoại khối đổi thành tiền pháp) sẽ không hiển thị trên chuỗi mà không có tình báo hỗ trợ.
Thông qua việc phân tích mẫu chuỗi và báo cáo từ nạn nhân và đối tác ngành, có thể hiểu được mức độ nghiêm trọng của việc đánh cắp ví cá nhân, mặc dù số lượng thực tế bị đánh cắp có thể cao hơn nhiều. Ước lượng tối thiểu, vào năm 2025, tổn thất giá trị do việc đánh cắp ví cá nhân chiếm 20% tổng số lỗ, thấp hơn so với 44% vào năm 2024, điều này cho thấy có sự thay đổi về quy mô và mẫu chuỗi. Tổng số vụ đánh cắp vào năm 2025 tăng vọt lên 15.8 vạn vụ, gần ba lần số liệu ghi nhận vào năm 2022 là 5.4 vạn vụ. Số nạn nhân tăng từ 4 vạn người vào năm 2022 lên ít nhất 8 vạn người vào năm 2025. Sự tăng trưởng đáng kể này rất có thể do sự lây lan rộng rãi của tiền điện tử. Ví dụ, một trong những blockchain sở hữu số lượng ví cá nhân hoạt động nhiều nhất, Solana, có số vụ đánh cắp dẫn đầu đáng kể (khoảng 2.65 vạn nạn nhân).
Tuy nhiên, mặc dù số vụ việc và số nạn nhân tăng lên, tổng số tiền Mỹ đô la bị đánh cắp từ mỗi nạn nhân cá nhân vào năm 2025 đã giảm từ mức cao nhất 1.5 tỷ Mỹ đô la vào năm 2024 xuống còn 7.13 tỷ Mỹ đô la. Điều này cho thấy số lượng người tấn công đối tượng tăng lên, nhưng số tiền bị đánh cắp từ mỗi nạn nhân giảm.
Dữ liệu về nạn nhân của các mạng cụ thể đã cung cấp thêm hiểu biết về lĩnh vực nào đang đe dọa người dùng tiền điện tử nhất. Biểu đồ dưới đây hiển thị dữ liệu nạn nhân đã được điều chỉnh dựa trên tỷ lệ tội phạm mỗi 10 vạn ví cá nhân trên mỗi mạng vào năm 2025. Ethereum và Tron có tỷ lệ đánh cắp cao nhất. Quy mô người dùng lớn của Ethereum cho thấy tỷ lệ đánh cắp và số lượng nạn nhân đều cao, trong khi xếp hạng của Tron cho thấy rằng mặc dù số lượng ví cá nhân hoạt động ít hơn, tỷ lệ đánh cắp vẫn cao. So với đó, mặc dù Base và Solana có số người dùng lớn, tỷ lệ nạn nhân lại thấp.
Điều này cho thấy rằng rủi ro bảo mật của ví cá nhân trong hệ sinh thái tiền điện tử không phải là đồng đều. Ngay cả khi kiến trúc công nghệ tương tự, tỷ lệ nạn nhân đánh cắp giữa các blockchain khác nhau cũng có sự khác biệt, điều này cho thấy ngoài yếu tố công nghệ, các yếu tố như đặc điểm người dùng, ứng dụng phổ biến và cơ sở hạ tầng tội phạm đều đóng vai trò quan trọng trong việc xác định tỷ lệ đánh cắp.
Lĩnh vực DeFi trong dữ liệu tội phạm năm 2025 đã cho thấy một mô hình độc đáo, hoàn toàn khác biệt so với các xu hướng lịch sử.
Dữ liệu chỉ ra ba giai đoạn hoàn toàn khác biệt:
· Giai đoạn thứ nhất (2020-2021): DeFi TVL và tổn thất do tấn công hacker tăng cùng nhau
· Giai đoạn thứ hai (2022-2023):Hai chỉ số giảm đồng bộ
· Giai đoạn thứ ba (2024-2025):TVL tăng, trong khi tổn thất do vụ tấn công của tin tặc duy trì ổn định
Ở hai giai đoạn đầu tiên, có một mẫu tự nhiên rõ ràng: giá trị rủi ro càng lớn, có nghĩa là giá trị có thể bị đánh cắp càng nhiều, và sức mạnh tấn công của tin tặc đối với giao thức có giá trị cao càng lớn. Giống như tên cướp ngân hàng Willie Sutton đã nói: "Bởi vì đó là nơi có tiền."
Điều này làm cho sự khác biệt trong giai đoạn thứ ba trở nên rõ rệt hơn. TVL của DeFi đã tăng đáng kể từ đáy vào năm 2023, nhưng tổn thất do vụ tấn công của tin tặc vẫn duy trì ổn định. Mặc dù hàng tỷ đô la đã trở lại các giao thức này, nhưng vụ tấn công DeFi vẫn giữ ở mức thấp, đây là một sự thay đổi có ý nghĩa.
Hai yếu tố sau có thể giải thích sự khác biệt này:
· Cải thiện tính bảo mật: Mặc dù TVL tiếp tục tăng, tỷ lệ tấn công của tin tặc tiếp tục giảm, điều này cho thấy rằng các giao thức DeFi có thể đang áp dụng biện pháp bảo mật hiệu quả hơn so với thời kỳ 2020-2021.
· Chuyển đổi mục tiêu: Sự tăng đồng thời của vụ đánh cắp ví cá nhân và vụ tấn công DDoS với dịch vụ trung gian cho thấy sự chú ý của tin tặc có thể đang chuyển sang mục tiêu khác.
Sự kiện của Venus Protocol vào tháng 9 năm 2025 cho thấy rằng các biện pháp bảo mật cải thiện đang tạo ra hiệu quả thực sự. Lúc đó, tin tặc tận dụng một phiên bản Zoom bị xâm nhập để có quyền truy cập hệ thống và thuyết phục một người dùng cấp quyền gửi tiếp 1,3 triệu đô la cho tài khoản của mình, điều này có thể đã gây ra hậu quả thảm khốc. Tuy nhiên, Venus đã kích hoạt nền tảng giám sát an ninh Hexagate chỉ một tháng trước đó.
Nền tảng này đã phát hiện các hoạt động đáng ngờ 18 giờ trước khi vụ tấn công xảy ra, và ngay khi giao dịch độc hại xảy ra, một cảnh báo khác đã được gửi ngay lập tức. Chỉ trong vòng 20 phút, Venus đã tạm ngừng giao thức của mình, ngăn chặn bất kỳ lưu thông vốn nào. Phản ứng nhất quán như vậy đã thể hiện sự tiến triển về tính an toàn của DeFi:
· Trong vòng 5 giờ:Phục hồi một phần chức năng sau kiểm tra an ninh
· Trong vòng 7 giờ:Thanh lý bắt buộc ví của kẻ tấn công
· Trong vòng 12 giờ:Thu hồi toàn bộ vốn bị đánh cắp và khôi phục dịch vụ
Một điều đáng chú ý là, Venus đã thông qua một đề xuất quản trị, đóng băng 30 triệu USD tài sản mà kẻ tấn công vẫn kiểm soát; kẻ tấn công không chỉ không thể thu lợi nhuận mà còn mất mát vốn.
Sự kiện này cho thấy cơ sở hạ tầng an ninh của DeFi đã có những cải tiến đáng kể. Việc giám sát chủ động, khả năng phản ứng nhanh chóng cùng với cơ chế quản trị có thể hành động quả quyết kết hợp đã làm cho toàn bộ hệ sinh thái linh hoạt và đáng tin cậy hơn. Mặc dù vẫn có các tấn công xảy ra, nhưng khả năng phát hiện, ứng phó và thậm chí đảo ngược tấn công, so với những tấn công thành công ở thời kỳ DeFi sớm thường đồng nghĩa với sự mất mát vĩnh viễn, đã trải qua một sự chuyển biến cơ bản.
Dữ liệu năm 2025 đã thể hiện quá trình phức tạp hóa đáng kể của Triều Tiên như mối đe dọa lớn nhất đối với ngành công nghiệp tiền điện tử. Số lần tấn công của quốc gia này đã giảm, nhưng mức độ phá hoại tăng đáng kể, điều này cho thấy các biện pháp của họ ngày càng tinh vi và kiên nhẫn hơn. Tác động của sự kiện Bybit đối với mô hình hoạt động hàng năm của họ cho thấy rằng khi Triều Tiên thực hiện thành công một vụ trộm lớn, họ sẽ giảm nhịp độ hành động và chuyển sang tập trung vào rửa tiền.
Đối với ngành công nghiệp tiền điện tử, sự phức tạp hóa này đòi hỏi tăng cường cảnh giác đối với các mục tiêu giá trị cao và nâng cao khả năng nhận diện mô hình rửa tiền cụ thể của Triều Tiên. Sở thích liên tục của họ đối với các loại dịch vụ cụ thể và số tiền chuyển khoản đã tạo cơ hội cho việc phát hiện, làm cho họ khác biệt so với các tội phạm khác và giúp các nhà điều tra nhận dạng đặc điểm hành vi trên chuỗi của họ.
Khi Triều Tiên tiếp tục sử dụng đạo vụ tiền điện tử để tài trợ cho các ưu tiên quốc gia và tránh tránh trừ từ các biện pháp trừng phạt quốc tế, ngành công nghiệp tiền điện tử phải nhận ra rằng cách hoạt động của Triều Tiên hoàn toàn khác với các tên tội phạm mạng thông thường. Hiệu suất ghi nhận kỷ lục của Triều Tiên vào năm 2025 (giảm 74% số vụ tấn công đã biết) cho thấy, hiện tại có thể chỉ thấy phần rõ nhất của hoạt động của họ. Thách thức ở năm 2026 là, làm thế nào để phát hiện và ngăn chặn các hành động này trước khi Triều Tiên lại tiến hành một vụ tấn công quy mô tương tự Bybit.
Liên kết gốc