Lazarus và "bóng ma" ám ảnh thị trường tiền điện tử

Ai đứng sau điều khiển "bóng ma" Lazarus?

Trong hơn một thập kỷ qua, Lazarus Group đã nổi lên như một trong những tổ chức tin tặc nguy hiểm nhất thế giới, không chỉ vì quy mô tấn công mà còn bởi khả năng thích nghi với từng giai đoạn phát triển của công nghệ. Từ các chiến dịch phá hoại mang màu sắc địa chính trị, nhóm này từng bước chuyển mình thành một “cỗ máy kiếm tiền” tinh vi, tận dụng những lỗ hổng của hệ thống tài chính toàn cầu và đặc biệt là thị trường tiền điện tử để thực hiện các vụ đánh cắp tài sản trị giá hàng tỷ USD.

Lazarus được cho là hoạt động dưới sự chỉ đạo của cơ quan tình báo quân sự của Triều Tiên. Những dấu vết đầu tiên của nhóm xuất hiện từ năm 2009, gắn liền với các chiến dịch DDoS nhắm vào hệ thống chính phủ và tài chính tại Mỹ và Hàn Quốc. Trong giai đoạn này, Lazarus đóng vai trò như một công cụ chiến tranh mạng, với mục tiêu chính là gây gián đoạn và thu thập thông tin.

Bước sang giữa thập niên 2010, nhóm bắt đầu thực hiện các chiến dịch quy mô lớn, thu hút sự chú ý toàn cầu. Vụ tấn công vào Sony năm 2014 đã làm rò rỉ hàng loạt dữ liệu nhạy cảm, gây thiệt hại nghiêm trọng cho ngành công nghiệp giải trí. Tiếp đó, mã độc WannaCry ransomware lan rộng tại hơn 150 quốc gia, khiến hàng trăm nghìn máy tính bị tê liệt, bao gồm cả hệ thống y tế và sản xuất.

Một trong những dấu mốc quan trọng là vụ tấn công Ngân hàng Bangladesh năm 2016, khi nhóm này đánh cắp thành công 81 triệu USD thông qua hệ thống SWIFT. Đây được xem là bước chuyển mình đầu tiên, khi Lazarus không chỉ dừng lại ở phá hoại mà bắt đầu hướng đến mục tiêu tài chính với quy mô lớn.

Tiền điện tử và kho báu của Lazarus

Từ năm 2017, Lazarus chuyển hướng mạnh mẽ sang thị trường tiền điện tử, nơi dòng tiền lớn nhưng hệ thống bảo mật và quy trình vận hành vẫn còn nhiều lỗ hổng. Thị trường tiền điện tử với những hợp đồng thông minh chưa được kiểm toán đẩy đủ vô tình trở thành một "kho báu" đang chờ nhóm tin tặc Lazarus đến để khai quật Vụ tấn công sàn Bithumb với khoảng 7 triệu USD bị đánh cắp được xem là phát súng mở màn cho chiến lược mới. 

Chỉ trong vài năm, quy mô các vụ tấn công đã tăng vọt. Sàn Coincheck bị đánh cắp khoảng 530 triệu USD, trở thành một trong những vụ hack lớn nhất trong lịch sử ngành. Tiếp đó, KuCoin ghi nhận thiệt hại khoảng 280 triệu USD, cho thấy khả năng khai thác hệ thống ví nóng và quy trình nội bộ ngày càng tinh vi của nhóm này.

Điểm đáng chú ý là Lazarus không chỉ dựa vào công nghệ mà còn khai thác yếu tố con người. Các chiến dịch giả mạo tuyển dụng, lừa đảo có chủ đích và xâm nhập nội bộ được triển khai bài bản, giúp nhóm tiếp cận trực tiếp vào những mắt xích quan trọng nhất của hệ thống. Khi một nhân sự bị xâm nhập, toàn bộ cơ chế bảo mật phía sau gần như trở nên vô hiệu.

Sự bùng nổ của tài chính phi tập trung đã mở ra một “sân chơi” mới cho Lazarus, nơi các giao thức phức tạp và cầu nối blockchain trở thành mục tiêu lý tưởng. Vụ tấn công cầu Ronin liên quan đến Sky Mavis năm 2022 đã khiến khoảng 625 triệu USD bị đánh cắp, đánh dấu một trong những vụ hack DeFi lớn nhất lịch sử. Cùng năm, cầu nối Harmony Horizon tiếp tục bị rút 100 triệu USD, cho thấy mô hình tấn công này có thể được lặp lại.

Đến năm 2023, các cuộc tấn công tiếp tục lan rộng với Atomic Wallet bị mất 100 triệu USD, Alphapo và CoinsPaid thiệt hại 97 triệu USD, trong khi Stake.com và CoinEx ghi nhận khoảng 95 triệu USD bị đánh cắp. Những con số này phản ánh một thực tế rằng Lazarus đã chuẩn hóa quy trình tấn công, biến mỗi chiến dịch thành một “công thức” có thể tái sử dụng.

Giai đoạn 2024 đến 2026 chứng kiến sự leo thang cả về quy mô lẫn mức độ tinh vi. Sàn WazirX bị đánh cắp 235 triệu USD, trong khi một vụ tấn công vào Bybit năm 2025 được cho là đã gây thiệt hại tới 1,5 tỷ USD, trở thành vụ hack lớn nhất từng được ghi nhận. Ngoài ra, một vụ việc khác liên quan đến Drift Protocol năm 2026 ước tính thiệt hại khoảng 285 triệu USD.

Tính riêng các vụ có số liệu cụ thể, tổng số tiền bị đánh cắp đã vượt 3,4 tỷ USD, và con số thực tế nhiều khả năng còn cao hơn đáng kể. Điều đáng lo ngại không chỉ nằm ở số tiền, mà ở cách thức mà Lazarus thực hiện các cuộc tấn công. Nhóm này không còn đơn thuần khai thác lỗ hổng kỹ thuật mà tập trung vào chuỗi cung ứng, quy trình vận hành và yếu tố con người, những điểm yếu khó kiểm soát nhất trong hệ sinh thái tài sản số.

Sự tồn tại của Lazarus cho thấy một thực tế rằng trong thị trường tiền điện tử, rủi ro không chỉ đến từ công nghệ mà còn từ cách con người vận hành hệ thống. Khi các nền tảng ngày càng mở rộng và phức tạp, “bóng ma” này nhiều khả năng sẽ tiếp tục hiện hữu, trở thành thách thức lớn đối với toàn bộ ngành công nghiệp trong nhiều năm tới.