Nhóm Lazarus Tạm Dừng Chiến Lược Năm 2024 Dẫn Đến Vụ Tấn Công Bybit Kỷ Lục

Hoạt động mạng của Triều Tiên chậm lại vào cuối năm 2024, có thể để tái phân bổ nguồn lực cho vụ tấn công Bybit trị giá 1,4 tỷ đô la do Nhóm Lazarus thực hiện.

Các hacker liên kết với Triều Tiên có thể đã giảm hoạt động trong nửa cuối năm 2024, tập trung nỗ lực vào việc tổ chức một vụ tấn công tiền điện tử lớn nhất từng được ghi nhận.

Ngành công nghiệp tiền điện tử đã bị chấn động bởi một vụ tấn công lớn vào ngày 21 tháng 2, khi Bybit mất hơn 1,4 tỷ đô la cho Nhóm Lazarus khét tiếng của Triều Tiên, nhóm này rõ ràng đã lên kế hoạch cho vụ tấn công trong nhiều tháng.

Theo công ty phân tích blockchain Chainalysis, có một sự giảm mạnh trong các hoạt động bất hợp pháp liên quan đến các diễn viên mạng của Triều Tiên sau ngày 1 tháng 7 năm 2024, bất chấp sự gia tăng trước đó trong các cuộc tấn công vào đầu năm đó.

Sự giảm đáng chú ý trong các cuộc tấn công mạng của các thực thể Triều Tiên đã gây ra mối lo ngại, như được Eric Jardine, nhà nghiên cứu chính về tội phạm mạng tại Chainalysis, nhấn mạnh.

*Hoạt động hack của Triều Tiên trước và sau ngày 1 tháng 7. Nguồn: Chainalysis*

Jardine giải thích rằng sự chậm lại trong các hoạt động mạng của Triều Tiên trùng khớp với hội nghị thượng đỉnh giữa Nga và Triều Tiên, điều này dẫn đến việc tái phân bổ nguồn lực của Triều Tiên, bao gồm cả nhân viên quân sự cho cuộc chiến ở Ukraine. Ông nói:

"Vì vậy, chúng tôi đã suy đoán trong báo cáo rằng có thể có những điều không thấy được liên quan đến việc tái phân bổ nguồn lực từ DPRK, và sau đó bạn tiến tới đầu tháng Hai, và bạn có vụ tấn công Bybit."

Ông còn gợi ý rằng sự chậm lại được quan sát có thể là một sự tái tập hợp chiến lược để chọn mục tiêu mới hoặc thử nghiệm cơ sở hạ tầng, có thể bị ảnh hưởng bởi các sự kiện địa chính trị này.

Chỉ mất 10 ngày để Nhóm Lazarus rửa toàn bộ số tiền bị đánh cắp từ Bybit thông qua giao thức liên chuỗi phi tập trung THORChain.

Bất chấp việc rửa tiền nhanh chóng, các chuyên gia bảo mật blockchain vẫn lạc quan rằng một phần lớn trong số 1,4 tỷ đô la có thể bị đóng băng và thu hồi bởi Bybit. Tính đến ngày 20 tháng 3, hơn 80% số tiền bị đánh cắp vẫn còn có thể theo dõi, với những nỗ lực liên tục của các nhà điều tra blockchain để đóng băng và thu hồi tài sản.

Cách Các Hacker Thực Hiện Vụ Tấn Công Tiền Điện Tử Lớn Nhất Thế Giới

Vụ tấn công Bybit nhấn mạnh sự dễ bị tổn thương của ngay cả các sàn giao dịch tập trung bảo mật nhất trước các cuộc tấn công mạng tinh vi, theo các nhà phân tích.

Vụ tấn công có những điểm tương đồng với vụ tấn công WazirX trị giá 230 triệu đô la và vụ tấn công Radiant Capital trị giá 58 triệu đô la, như được Meir Dolev, đồng sáng lập và CTO tại Cyvers, lưu ý.

Dolev giải thích rằng ví lạnh multisig Ethereum đã bị xâm nhập thông qua một giao dịch lừa đảo, khiến những người ký kết không biết đã phê duyệt một thay đổi logic hợp đồng thông minh độc hại.

"Điều này đã cho phép hacker kiểm soát ví lạnh và chuyển toàn bộ ETH đến một địa chỉ không xác định," Dolev giải thích thêm.

*Hoạt động hack của Triều Tiên. Nguồn: Chainalysis*

Trong suốt năm 2024, các hacker Triều Tiên đã đánh cắp hơn 1,34 tỷ đô la tài sản kỹ thuật số qua 47 vụ việc, đánh dấu sự gia tăng 102% từ 660 triệu đô la bị đánh cắp trong năm 2023, theo dữ liệu từ Chainalysis.

Điều này chiếm 61% tổng số tiền điện tử bị đánh cắp trong năm 2024.