Nhìn lại năm 2025: Tổng kết các cuộc tấn công mã hóa, bao gồm cả "những thành tựu xuất sắc" của tin tặc Triều Tiên.

Đương Thông, Jinse Finance

Năm 2025, ngành công nghiệp tiền điện tử chứng kiến ​​các quy định ngày càng rõ ràng hơn, sự thâm nhập sâu hơn của tài chính truyền thống và sự phát triển công nghệ được đẩy nhanh. Mỗi bước ngoặt quan trọng đều không thể tách rời khỏi những nhân vật chủ chốt, những người đã định hướng chính sách, dẫn dắt sự gia nhập của các tổ chức, giải quyết các thách thức kỹ thuật hoặc khuấy động thị trường.

Theo dữ liệu của Chainalysis, từ tháng 1 đến đầu tháng 12 năm 2025, ngành công nghiệp tiền điện tử đã chịu thiệt hại hơn 3,4 tỷ đô la do các vụ trộm cắp, riêng vụ trộm Bybit vào tháng 2 đã gây ra thiệt hại 1,5 tỷ đô la.

Bài viết này điểm lại các vụ tấn công mạng trong ngành công nghiệp tiền điện tử năm 2025.

I. Bybit: 1,46 tỷ USD

Vào ngày 21 tháng 2, sàn giao dịch tiền điện tử Bybit có trụ sở tại Dubai đã bị đánh cắp khoảng 1,46 tỷ USD tài sản tiền điện tử. Các báo cáo sơ bộ cho thấy những kẻ tấn công đã sử dụng phần mềm độc hại để lừa sàn giao dịch chấp thuận các giao dịch chuyển tiền vào tài khoản của kẻ trộm. Đây là vụ trộm tiền điện tử lớn nhất cho đến nay, vượt xa con số 611 triệu USD bị đánh cắp từ Poly Network vào năm 2021.

Tổ chức Lazarus Group của Triều Tiên được cho là kẻ chủ mưu đứng sau vụ trộm này.

Theo thông báo chính thức từ Bybit, tin tặc đã kiểm soát thành công ví lạnh Ethereum và phân tán 401.000 tài sản tiền điện tử đến 48 địa chỉ ẩn danh bằng cách sử dụng một trang web lừa đảo giả mạo nhà cung cấp dịch vụ ví đa chữ ký để dụ dỗ người ký nội bộ ủy quyền chuyển khoản. Một số tài sản thậm chí còn được chuyển đổi thành Bitcoin thông qua các cầu nối chuỗi chéo để che giấu dấu vết. Giá Ethereum giảm 4% chỉ trong một ngày, và Bitcoin cũng bị ảnh hưởng bởi tâm lý thị trường, dao động giảm từ mức cao nhất là 105.000 đô la, thậm chí giảm xuống dưới mốc 90.000 đô la trong thời gian ngắn. Để biết thêm chi tiết, vui lòng xem báo cáo đặc biệt của Jinse Finance "Cuối tuần ác mộng với vụ trộm lớn nhất trong lịch sử Bybit"

II. Cetus: 260 triệu đô la

Vào ngày 22 tháng 5, Cetus đã phải hứng chịu một cuộc tấn công hợp đồng thông minh phức tạp nhắm vào nhóm CLMM. Những kẻ tấn công đã phát hiện ra một lỗ hổng trong hợp đồng và bằng cách tạo ra các giao dịch, đã đánh cắp tài sản trong nhiều vòng hoạt động.

Cuộc tấn công này không bắt nguồn từ các lỗ hổng bảo mật trong chuỗi công khai Sui hoặc ngôn ngữ Move. Vấn đề cốt lõi nằm ở thiết kế mã nguồn mở của Cetus, như một lời cảnh tỉnh cho việc kiểm toán mã của các dự án phi tập trung trên toàn ngành. Để biết thêm chi tiết, vui lòng xem "Sau vụ tấn công Cetus: Chúng ta nên học được gì từ sự cố này?"

III. Balancer: 128 triệu đô la

Vào ngày 3 tháng 11, giao thức DeFi Balancer đã bị tấn công, dẫn đến việc đánh cắp hơn 100 triệu đô la tài sản kỹ thuật số. Thiệt hại chính tập trung vào các pool USDe trên chuỗi Berachain, với tài sản bị đánh cắp trị giá khoảng 128 triệu đô la, khiến nó trở thành một trong những sự cố bảo mật lớn trong lĩnh vực DeFi năm 2025.

Cuộc tấn công này bắt nguồn từ một lỗi thiết kế trong Balancer V2 Composable Stable Pools (CSP). Nó chỉ ảnh hưởng đến các pool CSPv5 có cửa sổ tạm dừng đã hết hạn; Các pool CSPv6 không bị ảnh hưởng vì chúng đã được Hypernative tự động tạm dừng. Các loại pool V2 khác và kiến ​​trúc V3 vẫn an toàn. Vụ trộm Balancer, cùng với áp lực bán ra từ số tài sản bị đánh cắp gần 100 triệu đô la, đã khiến SOL giảm gần 10% trong 24 giờ. Trước đó, Balancer đã trải qua 11 cuộc kiểm toán. Để biết thêm chi tiết, vui lòng xem "5 năm, 11 cuộc kiểm toán, 6 vụ trộm: Tại sao Balancer vẫn có người hâm mộ bất chấp lịch sử bê bối dài của nó"

IV. Nobitex: 81,7 triệu đô la

Vào ngày 18 tháng 6, thám tử blockchain ZachXBT tiết lộ rằng Nobitex, sàn giao dịch tiền điện tử lớn nhất của Iran, bị nghi ngờ đã bị tấn công, liên quan đến việc chuyển khoản bất thường một lượng lớn tài sản trên nhiều chuỗi công khai. Các tài sản bị ảnh hưởng bao gồm mạng TRON, EVM và BTC, với ước tính sơ bộ về thiệt hại khoảng 81,7 triệu đô la. Những kẻ tấn công không chỉ chuyển tiền mà còn chủ động chuyển một lượng lớn tài sản đến một địa chỉ hủy bỏ được thiết kế đặc biệt; số tài sản bị "đốt" trị giá gần 100 triệu đô la.

Nhóm hacker Predatory Sparrow (Gonjeshke Darande) đã nhận trách nhiệm về vụ tấn công và tuyên bố sẽ công bố mã nguồn và dữ liệu nội bộ của Nobitex trong vòng 24 giờ.

Để biết thêm chi tiết, vui lòng xem "Gần 100 triệu đô la bị phá hủy: Tổng quan về vụ trộm Nobitex ở Iran"

V. UPCX: 70 triệu đô la

Vào ngày 1 tháng 4, giao thức thanh toán tiền điện tử UPCX đã phải chịu một cuộc tấn công đánh cắp đặc quyền nghiêm trọng. Kẻ tấn công đã chiếm đoạt thành công quyền quản trị viên cốt lõi của nền tảng và chuyển khoảng 70 triệu đô la tài sản tiền điện tử bằng cách đóng băng các nhóm thanh khoản và sửa đổi các tham số giao dịch.

Đánh giá của các cơ quan an ninh cho thấy bước đột phá cốt lõi của cuộc tấn công này nằm ở lỗ hổng nghiêm trọng trong hệ thống quản lý quyền của UPCX: nền tảng không sử dụng cơ chế đa chữ ký để hạn chế quyền quản trị viên, cho phép một tài khoản cốt lõi duy nhất thực hiện các hoạt động rủi ro cao như đóng băng thanh khoản và chuyển tài sản. Hơn nữa, cơ chế xác thực đăng nhập cho tài khoản này quá đơn giản, chỉ dựa vào mật khẩu tài khoản + xác minh SMS, mà không có các biện pháp bảo vệ nâng cao như ví phần cứng và xác thực hai yếu tố.

Kẻ tấn công đã lấy được thông tin tài khoản quản trị viên thông qua sự kết hợp giữa tấn công cơ sở dữ liệu kỹ thuật xã hội và email lừa đảo. Sau khi đăng nhập, chúng nhanh chóng thực hiện các hoạt động độc hại: đầu tiên, chúng đóng băng các nhóm thanh khoản chính trong hệ sinh thái UPCX, ngăn người dùng giao dịch và rút tiền bình thường; sau đó, chúng sửa đổi các quy tắc chuyển tài sản, chuyển tài sản cốt lõi theo lô đến các địa chỉ ẩn danh dưới sự kiểm soát của chúng; cuối cùng, chúng xóa một số nhật ký hoạt động nhằm che giấu cuộc tấn công. VI. CoinDCX: Vụ rò rỉ dữ liệu CoinDCX trị giá 44,2 triệu đô la: Vào tháng 7 năm 2025, sàn giao dịch tiền điện tử CoinDCX của Ấn Độ đã bị xâm nhập máy chủ và các tài khoản hoạt động nội bộ bị tấn công. Vụ tấn công này dẫn đến thiệt hại 44,2 triệu đô la. CoinDCX đã gánh chịu toàn bộ thiệt hại để bảo vệ tiền của người dùng, thiết lập một chuẩn mực về tính minh bạch và niềm tin của người dùng. Nguyên nhân cốt lõi của sự cố này là do một nhân viên "nhận thêm việc làm thêm" và làm rò rỉ quyền quản trị, sau đó bị nhân viên nội bộ lợi dụng với sự cấu kết của tin tặc bên ngoài. Đây là một trường hợp điển hình của cuộc tấn công cấu kết "nội bộ + tin tặc bên ngoài", nhấn mạnh tầm quan trọng của việc quản lý nhân sự nội bộ trong các sàn giao dịch.

VII. GMX: 42 triệu đô la

Vào ngày 9 tháng 7, giao thức phái sinh phi tập trung GMX đã bị tấn công lỗ hổng quản trị, dẫn đến thiệt hại khoảng 42 triệu đô la. Điểm độc đáo của sự cố này là lỗ hổng không tồn tại sẵn có, mà là một lỗi logic mới do nhóm phát triển nền tảng tạo ra trong quá trình khắc phục một lỗ hổng cũ. Lỗ hổng này đã bị tin tặc khai thác, tạo ra tình huống khó xử kiểu "càng sửa chữa, lỗ hổng càng lớn".

Nguyên nhân gốc rễ nằm ở việc gọi hàm `executeDecreaseOrder` không chính xác: tham số đầu tiên của hàm này đáng lẽ phải là Tài khoản Bên ngoài (EOA), nhưng kẻ tấn công lại truyền vào địa chỉ hợp đồng thông minh. Điều này cho phép kẻ tấn công thao túng trạng thái nội bộ trong quá trình chuộc lại, cuối cùng rút ra tài sản có giá trị vượt xa giá trị thực tế của số GLP mà họ nắm giữ.

Sau đó, nhóm GMX đã ngay lập tức đình chỉ tất cả các chức năng giao dịch của hợp đồng phiên bản V2, đưa ra thông báo khẩn cấp thừa nhận lỗ hổng mới được đưa vào trong quá trình khắc phục lỗ hổng và triển khai kế hoạch bồi thường cho người dùng, bồi thường đầy đủ cho người dùng bị ảnh hưởng thông qua quỹ bảo hiểm của nền tảng.

Để biết thêm chi tiết, vui lòng xem "Giải thích chi tiết về vụ tấn công lỗ hổng GMX trị giá 40 triệu đô la"

VIII. x402bridge: 38 triệu đô la

Vào ngày 28 tháng 10, giao thức cầu nối chuỗi chéo x402bridge đã phải chịu một sự cố đánh cắp tài sản, với thiệt hại lên tới khoảng 38 triệu đô la. Nguyên nhân cốt lõi của cuộc tấn công này là do khóa riêng của quản trị viên bị đánh cắp vì lưu trữ không đúng cách trên máy chủ, dẫn đến việc chuyển giao tài sản chuỗi chéo quy mô lớn.

Để nâng cao hiệu quả của các giao dịch chuỗi chéo, quản trị viên x402bridge đã lưu trữ khóa riêng cốt lõi trong các phân mảnh trên nhiều máy chủ đám mây, nhưng không thực hiện đủ các biện pháp tăng cường bảo mật trên các máy chủ, chỉ áp dụng bảo vệ tường lửa cơ bản, và cường độ mã hóa của các phân mảnh khóa riêng thấp.

Để biết thêm chi tiết, vui lòng xem "Tổng quan về cuộc tấn công 402Bridge: Các trường hợp đánh cắp khác do rò rỉ khóa riêng"

IX. Upbit: 36 triệu USD

Ngày 27 tháng 11, Upbit tiết lộ rằng họ đã bị tấn công mạng Solana với số tiền thiệt hại 54 tỷ won (36 triệu USD), và Upbit sẽ chịu mọi tổn thất cho khách hàng. Một số tài sản trên mạng Solana (trị giá khoảng 54 tỷ won) đã được chuyển vào một ví bên ngoài không xác định. Sau khi phát hiện giao dịch rút tiền bất thường, Upbit đã ngay lập tức tiến hành rà soát an ninh khẩn cấp đối với hệ thống mạng và ví liên quan.

Để biết thêm chi tiết, vui lòng xem "Upbit bị tấn công: Ngành công nghiệp thay đổi sau thương vụ mua lại trị giá 10,3 tỷ USD của Naver"

X. UXLINK: 11,3 triệu USD

Ngày 23 tháng 9, UXLINK bị tấn công do rò rỉ khóa riêng của ví đa chữ ký. Kẻ tấn công đã tạo ra token UXLINK và bán chúng, thu lợi nhuận hơn 11,3 triệu đô la.

Do khóa riêng của hợp đồng dự án UXLINK bị rò rỉ, địa chỉ của kẻ tấn công đã được thêm vào tài khoản đa chữ ký của hợp đồng, và các tài khoản đa chữ ký ban đầu khác đã bị xóa. Hơn nữa, ngưỡng chữ ký của hợp đồng đã được đặt lại thành 1, có nghĩa là chỉ cần địa chỉ của kẻ tấn công ký để thực hiện các thao tác hợp đồng. Kẻ tấn công đã giành được quyền kiểm soát hoàn toàn đối với hợp đồng.

Sau đó, kẻ tấn công bắt đầu phát hành thêm token UXLINK và bán chúng để kiếm lời.

Để biết thêm chi tiết, vui lòng xem "Thiệt hại hơn mười triệu đô la: Phân tích lỗ hổng sự cố bảo mật UXLINK và theo dõi số tiền bị đánh cắp"

Phụ lục: Triều Tiên đã đánh cắp bao nhiêu tiền vào năm 2025?

Theo dữ liệu của Chainalysis: Năm 2025, tin tặc Triều Tiên đã đánh cắp ít nhất 2,02 tỷ đô la tiền điện tử (tăng 681 triệu đô la so với năm 2024), tăng 51% so với năm trước. Về số tiền bị đánh cắp, đây là năm tồi tệ nhất về các vụ trộm tiền điện tử của Triều Tiên được ghi nhận, và các cuộc tấn công của Triều Tiên chiếm 76% tổng số vụ xâm nhập dịch vụ, lập kỷ lục mới. Nhìn chung, dữ liệu năm 2025 cho thấy tổng số tiền điện tử bị Triều Tiên đánh cắp ước tính tối thiểu là 6,75 tỷ đô la.

Triều Tiên thường cài cắm nhân viên CNTT vào các dịch vụ tiền điện tử để giành quyền truy cập đặc quyền và thực hiện các cuộc tấn công có tác động lớn.

Số lượng các cuộc tấn công kỷ lục trong năm nay có thể cho thấy Triều Tiên ngày càng dựa vào nhân viên CNTT để cài cắm vào các sàn giao dịch, công ty lưu trữ và các công ty Web3, điều này có thể đẩy nhanh quá trình truy cập ban đầu và chuẩn bị cho các vụ trộm quy mô lớn. Tin tặc Triều Tiên không còn chỉ đơn giản là xin việc và cài cắm vào các công ty; chúng ngày càng giả mạo các nhà tuyển dụng từ các công ty Web3 và AI nổi tiếng, tỉ mỉ tạo ra các quy trình tuyển dụng giả mạo và cuối cùng đánh cắp thông tin đăng nhập, mã nguồn và quyền truy cập VPN hoặc SSO của nạn nhân dưới vỏ bọc "sàng lọc kỹ thuật". Ở cấp điều hành doanh nghiệp, các chiến thuật kỹ thuật xã hội tương tự đang nổi lên, giả danh là nhà đầu tư chiến lược hoặc người mua lại, dò tìm thông tin hệ thống nhạy cảm và các đường dẫn truy cập cơ sở hạ tầng có giá trị cao thông qua các bài thuyết trình và thẩm định giả mạo – một sự phát triển được xây dựng trực tiếp trên các hoạt động gian lận của Triều Tiên nhắm vào các chuyên gia CNTT và tập trung vào các công ty AI và blockchain có tầm quan trọng chiến lược. Nhóm tin tặc nổi tiếng của Triều Tiên, Lazarus Group, được cho là do chính phủ Triều Tiên điều hành. Mặc dù ít thông tin về nhóm này, các nhà nghiên cứu đã quy kết nhiều cuộc tấn công mạng được thực hiện từ năm 2010 cho nhóm này. Theo người đào tẩu Kim Kuk-song, đơn vị này được biết đến nội bộ ở Triều Tiên với tên gọi "Văn phòng Liên lạc 414". Cuộc tấn công được biết đến sớm nhất của nhóm, được gọi là "Chiến dịch Trojan", xảy ra từ năm 2009 đến năm 2012. Đây là một chiến dịch gián điệp mạng sử dụng các cuộc tấn công từ chối dịch vụ phân tán (DDoS) đơn giản chống lại chính phủ Hàn Quốc tại Seoul. Họ cũng đã thực hiện các cuộc tấn công vào năm 2011 và 2013. Mặc dù chưa được chứng minh chắc chắn, họ cũng có thể đứng sau các cuộc tấn công năm 2007 chống lại Hàn Quốc. Làm thế nào mà một quốc gia nơi hầu hết người dân không có truy cập internet lại có thể đào tạo ra nhiều hacker tay nghề cao đến vậy? Thae Yong-ho, cựu đại sứ Bình Nhưỡng tại London, người đã đào tẩu sang Hàn Quốc năm 2016, chỉ ra rằng Kim Jong-un dành phần lớn thời gian chơi trò chơi điện tử khi học tập tại Thụy Sĩ, nhưng ông cũng nhận thấy tầm quan trọng của máy tính trong cuộc sống hiện đại. Do đó, sau khi trở về Hàn Quốc cùng em trai Kim Jong-chol, ông đã truyền cảm hứng cho cha mình. "Kim Jong-il nhanh chóng nhận ra những lợi thế của máy tính và mạng lưới này." Kim Jong-il nhanh chóng thành lập các trường chuyên biệt để dạy về gián điệp, tình báo và chiến tranh công nghệ cao. Năm năm sau, phần thưởng rất lớn: các hacker đã đánh cắp các kế hoạch quân sự tối mật của Hàn Quốc, bao gồm các tài liệu vạch ra một cuộc chiến tranh tiềm tàng giữa Triều Tiên và nước láng giềng phía bắc, và một âm mưu "chặt đầu" Triều Tiên bằng cách ám sát Kim Jong-un. Lực lượng mạng của Triều Tiên hiện được cho là có hơn 8.000 người, hầu hết là những thần đồng toán học được tuyển chọn kỹ lưỡng từ các trường học. Tại Triều Tiên, họ thuộc về một "Cục Tình báo Tổng hợp" tưởng chừng vô hại, nhưng trên thực tế, mật danh trên mạng của họ bao gồm Lazarus, BeagleBoyz, Hidden Cobra và APT38 ("APT" là viết tắt của "Advanced Persistent Threat" - Mối đe dọa dai dẳng nâng cao). Những học viên này trải qua quá trình huấn luyện chuyên sâu, dài hạn, nhưng họ cũng nhận được một số đặc quyền nhất định—bao gồm miễn trừ khỏi các chương trình lao động do nhà nước điều hành, các lợi ích vật chất như ô tô và nhà ở tiện nghi, và những cơ hội hiếm hoi để đi du lịch quốc tế, chẳng hạn như tham gia các cuộc thi toán học toàn cầu như Olympic Toán học Quốc tế. Các hoạt động rửa tiền của Triều Tiên thể hiện một mô hình độc đáo, với hơn 60% giao dịch tập trung vào các khoản chuyển tiền dưới 500.000 đô la. Tin tặc Triều Tiên có xu hướng ưa chuộng: các dịch vụ chuyển tiền và ký quỹ bằng tiếng Trung (tăng 355% lên hơn 1000%): Đây là đặc điểm nổi bật nhất của họ, cho thấy sự phụ thuộc lớn vào các dịch vụ ký quỹ bằng tiếng Trung và một mạng lưới rửa tiền bao gồm nhiều nhà điều hành với các biện pháp kiểm soát tuân thủ có thể yếu hơn. Dịch vụ bắc cầu (lên đến 97%): Phụ thuộc nhiều vào các cầu nối chuỗi chéo để chuyển tài sản giữa các blockchain, nhằm mục đích tăng độ khó truy vết. Dịch vụ lai (lên đến 100%): Tăng cường sử dụng các dịch vụ lai để che giấu việc chuyển tiền. Dịch vụ chuyên biệt như Huione (+356%): Sử dụng chiến lược các dịch vụ cụ thể để tạo điều kiện thuận lợi cho các hoạt động rửa tiền của họ.

Lưu ý: Huione là một tập đoàn tài chính có trụ sở tại Phnom Penh, Campuchia. Các hoạt động kinh doanh cốt lõi của tập đoàn bao gồm thanh toán, bảo lãnh và giao dịch tiền điện tử. Từ tháng 7 năm 2024, tập đoàn này đã bị nhiều quốc gia cáo buộc rửa tiền và các hoạt động chuyển tiền gian lận trực tuyến liên quan.

Lưu ý: Huione là một tập đoàn tài chính có trụ sở tại Phnom Penh, Campuchia. Các hoạt động kinh doanh cốt lõi của tập đoàn bao gồm thanh toán, bảo lãnh và giao dịch tiền điện tử. Từ tháng 7 năm 2024, Huione đã bị nhiều quốc gia cáo buộc rửa tiền và các hoạt động chuyển tiền gian lận trực tuyến liên quan.

Vào tháng 11, nó đã bị Bộ Tài chính Hoa Kỳ trừng phạt, và vào tháng 12, Ngân hàng Quốc gia Campuchia đã đình chỉ một số hoạt động của nó.

Để biết thêm chi tiết, vui lòng xem "Hé lộ vụ án mật mã gây sốc do tin tặc Triều Tiên thực hiện: Tại sao nó lại mạnh mẽ đến vậy? Tiền đã đi về đâu?"