Tại sao các vụ hack tiền điện tử lớn nhất thế giới luôn dẫn về Park Jin Hyok? Từ Sony đến Bybit, anh ta đã hoàn thiện cách thực hiện các vụ trộm mạng trị giá hàng tỷ USD như thế nào?
Lazarus lại ra tay
Vào ngày 21/2, Bybit, một sàn giao dịch tiền điện tử lớn có trụ sở tại Dubai, đã trở thành nạn nhân của một cuộc tấn công mạng quy mô lớn gây sốc.
Các hacker đã xâm nhập vào ví lạnh Ethereum (ETH) của công ty, đánh cắp khoảng 1,5 tỷ USD tài sản số. Sự việc này hiện được coi là vụ trộm lớn nhất trong lịch sử tiền điện tử.
Vụ vi phạm đầu tiên được nhà phân tích chuỗi khối ZachXBT phát hiện, khi ông nhận thấy các khoản rút tiền bất thường từ tài khoản của Bybit.
CEO của Bybit, Ben Zhou, sau đó xác nhận rằng kẻ tấn công đã thao túng một giao dịch, lừa các người ký ví vào việc phê duyệt chuyển khoản đến một địa chỉ không được ủy quyền.
Phương pháp tinh vi này liên quan đến việc ngụy trang giao dịch để trông hợp pháp, qua đó vượt qua các giao thức bảo mật chữ ký đa bên (multi-signature) đang được sử dụng.
Sau sự cố, các nhà điều tra blockchain đã liên kết vụ tấn công với nhóm Lazarus nổi tiếng của Triều Tiên – một tổ chức khét tiếng với việc thực hiện các vụ trộm mạng lớn, bao gồm vụ vi phạm 600 triệu USD tại Ronin Network năm 2022 và vụ hack 234 triệu USD tại WazirX năm 2024.
Các báo cáo mới đây cho rằng Park Jin Hyok, thành viên của nhóm Lazarus, có thể là chủ mưu đằng sau vụ hack Bybit.
Vụ hack Bybit đã bị phanh phui, và các báo cáo mới cho thấy Park Jin Hyok có thể là người chịu trách nhiệm. Nếu đúng, điều này sẽ đặt anh ta vào hàng ngũ những hacker đáng gờm nhất từng được ghi nhận, dựa trên hồ sơ hoạt động được cho là của anh. Sự việc này đang được mô tả là một trong những vụ lớn… pic.twitter.com/BqnB8kCPw2— Nana Sei Anyemedu (@RedHatPentester) 22/2/2025
Hyok không phải là cái tên xa lạ trong thế giới tội phạm mạng. Năm 2018, FBI đã phát lệnh truy nã anh, cáo buộc anh là thành viên của một tổ chức hack do nhà nước Triều Tiên bảo trợ, chịu trách nhiệm cho một số cuộc xâm nhập máy tính gây thiệt hại lớn nhất trong lịch sử.
Park Jin Hyok bị @FBILosAngeles truy nã với các cáo buộc liên quan đến vai trò được cho là của anh với tư cách là một lập trình viên máy tính người Triều Tiên, thuộc tổ chức hack do nhà nước bảo trợ, chịu trách nhiệm cho một số cuộc xâm nhập máy tính tốn kém nhất trong lịch sử. https://t.co/m6Blto337L pic.twitter.com/DWEfad9cbV— FBI (@FBI) 8/9/2018
Hãy cùng đi sâu vào bối cảnh của Park Jin Hyok, hoạt động của nhóm Lazarus, các cáo buộc họ từng đối mặt trước đây, và lịch sử các vụ hack liên quan đến tiền điện tử qua nhiều năm.
Một hacker được nhà nước nuôi dưỡng
Được cho là được chính phủ Triều Tiên hậu thuẫn, nhóm Lazarus đã thực hiện một số cuộc tấn công mạng tàn khốc nhất trong lịch sử, nhắm vào các tổ chức tài chính và cơ sở hạ tầng quan trọng trên toàn cầu.
Nhưng đằng sau các hoạt động không mặt của nhóm, một cái tên liên tục xuất hiện – Park Jin Hyok, một lập trình viên người Triều Tiên bị cáo buộc dẫn dắt một số vụ trộm mạng nổi bật nhất trong thập kỷ qua.
Những cuộc tấn công ban đầu của nhóm tập trung vào gián điệp, thu thập thông tin tình báo từ các thực thể quân sự và doanh nghiệp. Tuy nhiên, theo thời gian, nhóm chuyển hướng sang tội phạm tài chính, rút hàng tỷ USD từ các ngân hàng, sàn giao dịch tiền điện tử và các nền tảng tài chính số khác.
Sự chuyển đổi quan trọng trong quá trình này đến với sự ra đời của Bluenoroff, một phân nhánh của Lazarus chuyên về tấn công mạng tài chính, được công ty an ninh mạng Kaspersky Lab phát hiện đầu tiên.
Các nhà nghiên cứu đã liên kết nhiều vụ hack lớn với Bluenoroff, thậm chí phát hiện một kết nối IP trực tiếp với Triều Tiên. Đồng thời, họ cảnh báo rằng một số mô hình có thể là sự đánh lạc hướng có chủ ý – những “cờ giả” nhằm đổ lỗi cho Bình Nhưỡng.
Tuy nhiên, Hyok không phải là một danh tính giả tạo. Dù Triều Tiên khẳng định anh không tồn tại, anh thực sự có thật, với lịch sử được ghi chép rõ ràng liên quan đến Lazarus và cơ quan chiến tranh mạng của nước này.
Tốt nghiệp Đại học Công nghệ Kim Chaek ở Bình Nhưỡng, Hyok bắt đầu sự nghiệp tại Chosun Expo, một công ty công nghệ thông tin liên kết với chính phủ, hoạt động tại cả Triều Tiên và Trung Quốc.
Được cho là một vỏ bọc cho các hoạt động mạng do nhà nước bảo trợ, công ty này là nơi tuyển dụng các lập trình viên ưu tú được giao nhiệm vụ thực hiện các cuộc tấn công mạng theo chỉ thị của đơn vị tình báo quân sự Triều Tiên, Lab 110.
Tên của Hyok lần đầu tiên gây chú ý quốc tế sau vụ hack Sony Pictures nổi tiếng năm 2014.
Cuộc tấn công, thực hiện để trả đũa bộ phim hài hước The Interview, đã làm tê liệt mạng nội bộ của Sony, rò rỉ lượng lớn dữ liệu nhạy cảm và gây thiệt hại ước tính 35 triệu USD.
Nhưng chính vụ ransomware WannaCry năm 2017 đã củng cố danh tiếng của cả Lazarus và Hyok như những bậc thầy tội phạm mạng.
Phần mềm độc hại này mã hóa dữ liệu trên máy tính bị nhiễm và yêu cầu thanh toán bằng tiền điện tử để giải mã, gây ra thiệt hại nghiêm trọng trên toàn cầu.
Tác động của cuộc tấn công là thảm khốc, nhưng Triều Tiên phủ nhận liên quan dù có bằng chứng áp đảo cho thấy Lazarus đứng sau.
Kể từ đó, chiến thuật của nhóm đã phát triển, chuyển mạnh sang trộm tiền điện tử – một chiến lược phù hợp với sự phụ thuộc ngày càng tăng của Triều Tiên vào các hoạt động tài chính bất hợp pháp để né tránh các lệnh trừng phạt quốc tế.
Sự hình thành của một huyền thoại tội phạm mạng
Sự tham gia của nhóm vào tội phạm tiền điện tử thu hút sự chú ý rộng rãi từ năm 2017 – cùng năm Park được xác định là nhân vật quan trọng trong Lazarus.
Năm đó, một loạt cuộc tấn công mạng vào các sàn giao dịch Hàn Quốc đã rút hàng triệu USD từ các nền tảng, bao gồm Youbit – nay đã phá sản sau khi mất 17% tài sản trong một vụ vi phạm duy nhất.
Sau đó, vào năm 2018, nhóm thực hiện vụ trộm 530 triệu USD từ sàn giao dịch Nhật Bản Coincheck, vụ hack tiền điện tử lớn nhất tại thời điểm đó.
Các nhà điều tra liên kết vụ tấn công với các đặc vụ Triều Tiên, sử dụng kết hợp chiến dịch lừa đảo, kỹ thuật xã hội và phần mềm độc hại tinh vi để xâm nhập mạng của Coincheck.
Kỹ năng của Hyok trong việc phát triển phần mềm độc hại và tạo danh tính số lừa dối được cho là đã đóng vai trò then chốt, giúp kẻ tấn công truy cập vào các khóa riêng tư kiểm soát lượng lớn token NEM.
Khi chiến thuật ngày càng tinh vi, Lazarus chuyển sang nhắm trực tiếp vào các mạng blockchain.
Vụ vi phạm Ronin (RON) Network năm 2022, một trong những vụ gây thiệt hại nhất trong lịch sử tiền điện tử, đã rút 600 triệu USD từ sidechain của Axie Infinity (AXS) thông qua một cuộc tấn công kỹ thuật xã hội được lên kế hoạch cẩn thận.
Các hacker khai thác lỗ hổng trong hệ thống xác thực của Ronin, sử dụng khóa riêng bị xâm phạm để ủy quyền các giao dịch gian lận – một cuộc tấn công đòi hỏi kiến thức kỹ thuật sâu, kiên nhẫn và độ chính xác, tất cả đều là dấu ấn của chuyên môn của Park.
Các cơ quan Mỹ sau đó xác nhận rằng số tiền bị đánh cắp đã được giặt qua nhiều giao thức phi tập trung trước khi chảy vào hệ thống tài chính của Triều Tiên.
Xu hướng này tiếp tục vào năm 2023 và 2024, với Lazarus tiếp tục ra tay.
Vào tháng 7/2024, WazirX, một trong những sàn giao dịch lớn nhất Ấn Độ, chịu tổn thất 234 triệu USD trong một vụ lừa đảo đa tầng khác.
Kẻ tấn công khai thác lỗ hổng trong quyền API của sàn, giành quyền truy cập không được ủy quyền để chuyển tiền mà vượt qua các cơ chế bảo mật nội bộ.
Các nhóm điều tra blockchain đã truy vết tài sản bị đánh cắp qua mê cung các dịch vụ trộn, với dấu vết số lại một lần nữa dẫn về Triều Tiên.
Và giờ đây, vụ hack Bybit đã tái hiện cùng mô hình – lần này ở quy mô thậm chí còn lớn hơn.
Thế giới đang thua cuộc chiến mạng – và Hyok biết điều đó
Chiến tranh mạng của nhóm Lazarus đã phát triển thành một kịch bản được dàn dựng kỹ lưỡng, kết hợp lừa dối, xâm nhập và giặt tiền chính xác.
Khả năng biến tâm lý con người thành vũ khí là lợi thế lớn nhất của họ, cho phép vượt qua ngay cả các biện pháp bảo mật tinh vi nhất. Và như dữ liệu gần đây cho thấy, họ chỉ ngày càng hiệu quả hơn trong lĩnh vực này.
Theo Chainalysis, các hacker liên kết với Triều Tiên đã đánh cắp 660,50 triệu USD qua 20 vụ việc vào năm 2023.
Năm 2024, con số này tăng vọt lên 1,34 tỷ USD qua 47 vụ việc, ghi nhận mức tăng hơn 102%. Các con số này chiếm 61% tổng số tiền điện tử bị đánh cắp trong năm đó, và nhóm Lazarus chịu trách nhiệm cho gần như tất cả các vụ khai thác quy mô lớn trên 100 triệu USD.
Bây giờ, chỉ trong hai tháng đầu năm 2025, họ đã vượt qua tổng số năm 2024, với riêng vụ hack Bybit đã đánh cắp 1,5 tỷ USD.
Hoạt động của nhóm bắt đầu lâu trước khi một vụ vi phạm xảy ra. Trong vài năm qua, các nhân viên công nghệ thông tin Triều Tiên đã hệ thống hóa việc xâm nhập vào các công ty tiền điện tử và web3, sử dụng danh tính giả, nhà tuyển dụng bên thứ ba và cơ hội việc làm từ xa để giành quyền truy cập nội bộ.
Bộ Tư pháp Mỹ vào năm 2024 đã truy tố 14 công dân Triều Tiên, những người đã nhận việc tại các công ty Mỹ, đánh cắp hơn 88 triệu USD bằng cách lạm dụng thông tin sở hữu và khai thác vị trí của họ.
Những đặc vụ này hoạt động như nội gián thầm lặng, cung cấp cho Lazarus thông tin về giao thức bảo mật của sàn, cấu trúc ví, và luồng giao dịch nội bộ.
Khi đã xâm nhập, Lazarus thực hiện các cuộc tấn công qua kỹ thuật xã hội, lừa đảo, và khai thác kỹ thuật. Nhân viên bị nhắm đến bằng email được thiết kế cẩn thận, mạo danh các thực thể đáng tin cậy để trích xuất thông tin đăng nhập nhạy cảm.
Vụ hack Bybit theo mô hình tương tự, khi kẻ tấn công lừa các người ký multi-signature của sàn phê duyệt giao dịch độc hại bằng cách ngụy trang chúng như các phê duyệt thông thường.
Một khi số tiền bị đánh cắp, chúng nhanh chóng được di chuyển qua mạng lưới các sàn giao dịch phi tập trung, ví bảo mật như Tornado Cash (TORN), và các cầu nối chuỗi chéo.
Những giao dịch này nhanh chóng xáo trộn tài sản qua các blockchain khác nhau, khiến các nhà điều tra khó truy vết chúng về nguồn gốc ban đầu.
Thông thường, tiền điện tử bị đánh cắp được chuyển đổi nhiều lần giữa Bitcoin (BTC), Ethereum, và stablecoin trước khi đến các ví do đặc vụ Triều Tiên kiểm soát.
Một số tài sản được chuyển qua các công ty giao dịch tiền điện tử có vẻ hợp pháp, che giấu nguồn gốc và cho phép chế độ Triều Tiên chuyển đổi tài sản số thành tiền mặt – một cách quan trọng để né tránh các lệnh trừng phạt quốc tế.
Và xuyên suốt tất cả, Park Jin Hyok đứng ở trung tâm của hầu hết mọi hoạt động lớn của Lazarus. Dù anh là kiến trúc sư của các vụ trộm này hay chỉ là một trong những đặc vụ lành nghề nhất, dấu vết của anh xuất hiện khắp nơi.
Với vụ tấn công Bybit một lần nữa viết lại kịch bản, câu hỏi thực sự không chỉ là họ đã làm thế nào – mà là thế giới còn có thể theo kịp bao lâu trước khi tỷ USD tiếp theo biến mất vào hư không số.
Theo Crypto News
