Elliptic hôm thứ Năm cho biết vụ khai thác Drift Protocol trị giá 285 triệu USD, lớn nhất trong năm nay, mang theo “nhiều dấu hiệu” cho thấy sự tham gia của nhóm hacker DPRK do nhà nước tài trợ của Bắc Triều Tiên.
Công ty nghiên cứu đặc biệt nhấn mạnh vào hành vi trên chuỗi, các phương pháp rửa tiền và các tín hiệu ở cấp độ mạng, tất cả đều phù hợp với các cuộc tấn công liên quan đến nhà nước trước đó.
Drift Protocol, token của dự án đã giảm hơn 40% xuống còn khoảng $0.06 kể từ vụ hack, là sàn giao dịch hợp đồng vĩnh viễn phi tập trung lớn nhất trên blockchain Solana.
“Nếu được xác nhận, vụ việc này sẽ là hành động thứ mười tám của DPRK mà Elliptic đã theo dõi trong năm nay, với hơn 300 triệu USD bị đánh cắp cho đến nay,” báo cáo cho biết.
“Đây là phần tiếp theo của chiến dịch kéo dài của DPRK nhằm đánh cắp tài sản tiền mã hóa quy mô lớn, mà chính phủ Mỹ đã liên kết với việc tài trợ cho các chương trình vũ khí của họ. Các tác nhân liên quan đến DPRK được cho là chịu trách nhiệm cho hàng tỷ USD trong các vụ trộm tài sản tiền mã hóa gần đây,” Elliptic bổ sung.
Vài giờ trước đó, dữ liệu từ Arkham cho thấy hơn 250 triệu USD đã được chuyển từ Drift sang một ví tạm thời, rồi đến nhiều địa chỉ khác nhau.
Tháng 12, một báo cáo của Chainalysis tiết lộ rằng các hacker DPRK đã đánh cắp kỷ lục 2 tỷ USD tiền mã hóa trong năm 2025, bao gồm vụ vi phạm của Bybit trị giá 1,4 tỷ USD, tăng 51% so với năm trước. Tháng trước, Bộ Tài chính Mỹ cho biết Triều Tiên sử dụng các tài sản bị đánh cắp để tài trợ cho chương trình vũ khí hủy diệt hàng loạt của nước này.
Thay vì tập trung vào chính vụ khai thác, phân tích của Elliptic làm nổi bật một mô hình vận hành quen thuộc. Hoạt động này dường như “được lên kế hoạch trước và tổ chức cẩn thận,” với các giao dịch thử nghiệm ban đầu và các ví đã được chuẩn bị sẵn trước khi sự kiện chính diễn ra.
Báo cáo giải thích rằng sau khi thực hiện, các quỹ đã nhanh chóng được hợp nhất và hoán đổi, chuyển qua các chuỗi (bridged across chains), rồi được chuyển đổi thành các tài sản thanh khoản hơn, phản ánh một luồng rửa tiền có cấu trúc và có thể lặp lại, nhằm che giấu nguồn gốc trong khi vẫn duy trì quyền kiểm soát.
Một thách thức chính, Elliptic lưu ý, là mô hình tài khoản của Solana. Vì mỗi tài sản được giữ trong một tài khoản token riêng biệt, hoạt động liên quan đến một tác nhân duy nhất có thể trông như bị phân mảnh qua nhiều địa chỉ. Nếu không liên kết các địa chỉ này, các nhà điều tra có thể chỉ thấy “những mảnh trong hoạt động của kẻ tấn công, chứ không phải toàn bộ bức tranh.”
Đây là nơi báo cáo của Elliptic nhấn mạnh cách tiếp cận theo cụm (clustering), liên kết các tài khoản token về một thực thể duy nhất, giúp xác định mức độ phơi bày (exposure) bất kể địa chỉ nào bị xem xét. Trong một vụ việc liên quan đến hơn một chục loại tài sản, góc nhìn dựa trên thực thể này trở nên cực kỳ quan trọng.
Vụ việc cũng nhấn mạnh, theo Elliptic, cách rửa tiền đã trở nên xuyên chuỗi một cách tự nhiên. Các quỹ đã được chuyển từ Solana sang Ethereum và xa hơn nữa, qua đó thể hiện nhu cầu về khả năng truy vết xuyên chuỗi toàn diện (holistic cross-chain tracing capabilities).
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
