Hàn Quốc nghi ngờ hacker Triều Tiên đứng sau vụ tấn công sàn Upbit gây thiệt hại 30 triệu USD

Cuộc tấn công đã được tính toán

Vụ tấn công được phát hiện vào rạng sáng 27/11/2025, đúng sáu năm sau sự cố năm 2019 khiến Upbit mất 342.000 ETH. Trớ trêu hơn, sự cố lần này nổ ra chỉ vài giờ trước khi Dunamu – công ty vận hành Upbit – công bố thương vụ sáp nhập trị giá 10,3 tỷ USD với Naver Financial, một trong những thỏa thuận lớn nhất lịch sử công nghệ Hàn Quốc. Việc sàn giao dịch bị tấn công vào đúng ngày nhạy cảm đã lập tức đặt dấu hỏi về tính chủ đích của cuộc xâm nhập.

Trong nhiều năm qua, Lazarus được giới chức Mỹ và Hàn Quốc xếp vào nhóm tác nhân rủi ro nghiêm trọng nhất trong lĩnh vực tấn công mạng. Nhóm này bị cáo buộc tiến hành nhiều chiến dịch đánh cắp tài sản số nhằm tạo nguồn tài chính cho chương trình hạt nhân của Bình Nhưỡng.

Sàn Upbit thiệt hại lên tới 30 triệu USD

Theo Reuters và Yonhap, hoạt động bất thường được ghi nhận lúc 4 giờ 42 phút sáng theo giờ Seoul, khi ví nóng của Upbit trên mạng Solana xuất hiện hàng loạt giao dịch rút tiền với tốc độ cao. Khoảng 24 loại tài sản bị dịch chuyển, từ các token thanh khoản lớn như SOL, USDC đến những memecoin và token DeFi phổ biến trên hệ Solana.

Ước tính ban đầu cho thấy gần 54 tỷ won đã bị chuyển ra ngoài, nhưng một phần tài sản được phong tỏa kịp thời, đưa mức thiệt hại cuối cùng xuống còn 44,5 tỷ won, tương đương khoảng 30 triệu USD. Upbit lập tức tạm dừng toàn bộ hoạt động nạp rút, chuyển tài sản sang ví lạnh và khẳng định người dùng sẽ được bồi thường toàn bộ bằng nguồn quỹ dự trữ của công ty.

Vì sao phía Hàn Quốc nghi ngờ Triều Tiên

Các cơ quan điều tra của Hàn Quốc cho rằng nhiều dấu hiệu trong vụ việc trùng khớp với các chiến dịch trước đây của Lazarus. Cách hacker chuyển qua nhiều ví, trộn dòng tiền và lợi dụng cấu trúc tài sản trên mạng Solana được mô tả là “đặc trưng quen thuộc”. Thời điểm tấn công trùng ngày với sự cố năm 2019 càng khiến giả thuyết về một hành động có chủ đích trở nên thuyết phục hơn.

Cảnh sát mạng quốc gia Hàn Quốc xác nhận đã mở cuộc điều tra, nhưng từ chối nêu chi tiết. Giới phân tích cho rằng nhiều khả năng đây là một vụ tấn công dựa trên rò rỉ khóa riêng, phishing tinh vi hoặc có sự tham gia của người nội bộ – ba yếu tố thường xuất hiện trong các chiến dịch của Lazarus.

So sánh hai vụ hack 2019 và 2025

Vào năm 2019, sàn Upbit cũng bị đánh cắp 342.000 ETH , trị giá khoảng 50 triệu USD tại thời điểm đó. Vụ việc sau này được xác nhận do Lazarus và nhóm nhánh Andariel thực hiện. Đến năm 2025, hơn 44,5 tỷ won bị rút khỏi ví nóng Solana. Dấu hiệu ban đầu trùng khớp với phương thức mà Lazarus từng sử dụng.

Cả hai sự cố đều diễn ra vào đúng ngày 27/11, phương thức có đặc điểm tấn công tương đồng như ví nóng và rửa tiền qua hệ thống ví trung gian. Số tiền thu hồi từ vụ 2025 hiện ở mức 1,57 triệu USD, trong khi vụ 2019 chỉ vớt vát được 4,8 BTC sau nhiều năm điều tra. Sự lập lại về thời điểm và kỹ thuật cho thấy đây khó phải là hành động ngẫu nhiên.

Tác động lên thị trường

Sự cố khiến giá SOL giảm 2–3% ngay sau khi thông tin được lan truyền, nhưng thị trường phục hồi nhanh nhờ cam kết bồi thường của Upbit – sàn chiếm thị phần áp đảo tại Hàn Quốc. Dù vậy, sự kiện làm gia tăng lo ngại về an ninh ví nóng và mức độ phụ thuộc của thị trường Hàn Quốc vào một số nền tảng trọng yếu.

Trong năm 2025, tổng thiệt hại từ các vụ hack tài sản số đã vượt 2,4 tỷ USD. Vụ tấn công Upbit trở thành sự cố lớn thứ hai sau vụ Bybit hồi tháng 2, gây sức ép buộc các sàn giao dịch trong nước tăng cường đối soát và kiểm soát rủi ro. Giới chuyên gia dự báo việc siết quy định về ví nóng, kiểm toán bảo mật và chuẩn AML/KYC tại Hàn Quốc sẽ diễn ra sớm hơn dự kiến.

Về mặt địa chính trị, vụ việc tiếp tục làm nóng nghi vấn Triều Tiên gia tăng hoạt động tấn công mạng để vượt qua lệnh trừng phạt và tài trợ cho chương trình vũ khí. Theo số liệu của Chainalysis, Lazarus được cho là đã chiếm đoạt hơn 3 tỷ USD tài sản số từ năm 2017 đến nay. Seoul và Washington đang tăng cường chia sẻ tình báo mạng để đối phó với xu hướng này.

Upbit cho biết việc khôi phục rút tiền sẽ được triển khai theo từng giai đoạn và dự kiến hoàn tất sau khi đánh giá bảo mật kết thúc vào đầu tháng 12. Cuộc điều tra chính thức dự kiến sẽ làm rõ vai trò của các nhóm tin tặc trong những ngày tới.