Một làn sóng mới của việc trộm cắp mạng cho thấy chiến lược đã thay thế quy mô.

Vào đầu năm 2026, các nhà phân tích an ninh mạng đã truy vết khoảng $577 triệu tiền điện tử bị đánh cắp đến các nhóm hacker liên kết với Triều Tiên. Điều nổi bật không chỉ là số tiền, mà còn là cách nó bị đánh cắp. Thay vì thực hiện hàng chục cuộc tấn công nhỏ lẻ, những nhóm này tập trung vào chỉ hai chiến dịch được lên kế hoạch kỹ lưỡng—và điều đó đã đủ để thống trị các thiệt hại toàn cầu trong lĩnh vực crypto trong vài tháng đầu của năm.

Sự chuyển mình này báo hiệu một sự thay đổi rõ ràng trong cách tiếp cận. Các nhóm như vậy không còn dựa vào những cuộc tấn công thường xuyên. Họ đang chọn sự chính xác, kiên nhẫn và lập kế hoạch sâu để đạt được kết quả lớn hơn với ít nước đi hơn.

Hai cuộc tấn công đã định hình năm nay

Lỗ hổng của Drift Protocol

Sự cố lớn đầu tiên xảy ra vào ngày 1 tháng 4 năm 2026, khi Drift Protocol mất khoảng 285 triệu USD.

Đây không phải là một cuộc tấn công thông thường liên quan đến mã bị lỗi. Thay vào đó, nó được xây dựng dựa trên lòng tin. Các kẻ tấn công đã dành thời gian tương tác với những cá nhân chủ chốt có quyền kiểm soát nền tảng. Bằng cách giành được niềm tin của họ, họ đã thuyết phục họ chấp thuận các giao dịch trông có vẻ bình thường nhưng thực ra lại có hại.

Những sự chấp thuận đó đã cho tin tặc quyền truy cập mà họ cần. Từ đó, họ đã âm thầm kiểm soát, chèn các tài sản giả và rút tiền thật từ hệ thống.

Điều làm cho cuộc tấn công này quan trọng là sự nhân văn của nó. Không cần một cuộc khai thác phức tạp—chỉ cần sự kiên nhẫn và thao túng.

Lỗ hổng cầu KelpDAO

Chỉ hơn hai tuần sau, vào ngày 18 tháng 4, một cuộc tấn công lớn khác đã xảy ra với KelpDAO, dẫn đến thiệt hại khoảng 292 triệu USD.

Lần này, mục tiêu không phải là con người, mà là hạ tầng. Các kẻ tấn công đã tập trung vào hệ thống xác minh giao dịch giữa các blockchain. Bằng cách can thiệp vào quá trình đó, họ đã làm cho nó có vẻ như tiền đã được chuyển hợp pháp khi thực tế thì không.

Tín hiệu giả đó đã cho phép họ rút tiền thật.

Loại tấn công này làm nổi bật một vấn đề ngày càng gia tăng trong các hệ thống crypto: ngay cả khi mã chính là an toàn, các hệ thống hỗ trợ xung quanh nó vẫn có thể dễ bị tổn thương.

Di chuyển tiền

Sau các vụ trộm, các tài sản bị đánh cắp không ở nguyên một chỗ lâu. Chúng nhanh chóng được chuyển đổi qua các mạng khác nhau và chuyển đổi thành các loại tiền điện tử khác.

Một phần lớn đã được chuyển qua các nền tảng như THORChain, cho phép người dùng hoán đổi tài sản giữa các blockchain mà không cần phụ thuộc vào các sàn giao dịch tập trung.

Một số quỹ đã bị đóng băng bởi các đội bảo mật, nhưng phần lớn đã được chuyển đi và ẩn giấu thông qua các giao dịch phân lớp. Điều này làm cho việc phục hồi trở nên cực kỳ khó khăn.

Tại sao những cuộc tấn công này lại quan trọng

Các hoạt động này không chỉ liên quan đến tiền. Bắc Triều Tiên phải đối mặt với các lệnh trừng phạt quốc tế nghiêm ngặt, hạn chế khả năng tiếp cận tài chính toàn cầu. Trộm cắp mạng đã trở thành một cách để tạo ra quỹ bên ngoài những hạn chế đó.

Điều đó có nghĩa là tác động vượt xa ngành crypto. Tiền được cho là hỗ trợ các chương trình nhà nước, bao gồm phát triển quân sự.

Một mô hình rõ ràng đang xuất hiện

Nhiều xu hướng có thể thấy từ những sự cố này.

Đầu tiên, các cuộc tấn công đang trở nên tập trung hơn vào con người. Thay vì phá vỡ hệ thống, các hacker đang học cách ảnh hưởng đến quyết định.

Thứ hai, hạ tầng hiện đang là mục tiêu chính. Các hệ thống kết nối các blockchain hoặc xác minh giao dịch đang chịu áp lực ngày càng tăng.

Thứ ba, việc di chuyển các quỹ bị đánh cắp đang trở nên tinh vi hơn. Bằng cách phân tán tài sản qua các chuỗi và nền tảng, các kẻ tấn công làm cho việc theo dõi trở nên khó khăn hơn rất nhiều.

Cuối cùng, sự kiên nhẫn đang đóng vai trò quan trọng hơn. Một số quỹ được giữ nguyên trong một khoảng thời gian trước khi được chuyển đi, giảm thiểu phát hiện ngay lập tức.

Thách thức phía trước

Các đội bảo mật, chính phủ và các dự án blockchain đang làm việc để ứng phó, nhưng thách thức này rất phức tạp.

Các hệ thống phi tập trung không có một điểm kiểm soát duy nhất. Các cuộc tấn công thường xuyên vượt qua nhiều quyền tài phán. Và khi công nghệ phát triển, các phương pháp được sử dụng để khai thác nó cũng vậy.

Các sự kiện của năm 2026 cho thấy rằng những rủi ro lớn nhất có thể không còn đến từ những lỗi kỹ thuật rõ ràng, mà từ những điểm yếu tinh vi trong cách hệ thống và con người tương tác.

Kết luận

Số tiền 577 triệu USD bị đánh cắp vào đầu năm 2026 không chỉ là một con số nổi bật. Nó phản ánh một sự chuyển dịch sâu sắc trong cách các cuộc tấn công mạng được thực hiện.

Ít cuộc tấn công hơn, nhiều kế hoạch hơn, và thực hiện thông minh hơn đang định hình giai đoạn mới này. Dù nhắm vào lòng tin của con người hay hạ tầng kỹ thuật, các hacker liên kết với Bắc Triều Tiên đã cho thấy họ có thể thích ứng nhanh chóng và tấn công hiệu quả.

Bài học rõ ràng: bảo vệ tương lai của tài chính kỹ thuật số sẽ yêu cầu nhiều hơn chỉ là mã mạnh mẽ. Nó sẽ cần sự nhận thức mạnh mẽ hơn, hệ thống tốt hơn, và sự cảnh giác liên tục.