Giới phân tích nhận định Triều Tiên liên tục tấn công thị trường tiền số không phải để xây dựng một mạng lưới thanh toán nhằm lách lệnh trừng phạt, mà chủ yếu để lấy nguồn tiền trực tiếp phục vụ phát triển vũ khí.

Ngày 12/4 (giờ địa phương), CoinDesk dẫn lời các chuyên gia an ninh cho biết các vụ hack tiền số liên quan đến Triều Tiên có cách tiếp cận khác biệt so với những chiến dịch tấn công mạng do nhà nước hậu thuẫn ở các quốc gia khác. Thông tin về một chiến dịch xâm nhập kéo dài 6 tháng nhắm vào Drift cũng khiến ngành này nâng mức cảnh giác.

Theo các chuyên gia, khác biệt lớn nhất nằm ở cách Triều Tiên sử dụng tiền số. Trong khi Nga và Iran chủ yếu dùng tiền số như một công cụ dịch chuyển dòng tiền để né trừng phạt, Triều Tiên lại xem chính hệ sinh thái này là mục tiêu để khai thác tiền.

Dave Schwed, Giám đốc vận hành (COO) của SVRN, cho rằng Triều Tiên đang chịu áp lực rất lớn trong việc tìm nguồn tài trợ cho chương trình vũ khí dưới các lệnh trừng phạt nghiêm ngặt. Ông nói các tổ chức quốc tế và cơ quan tình báo từ lâu đã coi hoạt động đánh cắp tiền số là một trong những nguồn vốn chủ chốt cho chương trình hạt nhân và tên lửa của nước này.

Vì vậy, Triều Tiên chấp nhận thực hiện cả những vụ đánh cắp quy mô lớn trên blockchain công khai, dù các giao dịch này có thể bị lần theo dấu vết. Schwed cho biết Nga vẫn còn dầu mỏ, khí đốt, hàng hóa xuất khẩu và các đối tác thương mại, còn Iran vẫn có thể dựa vào dầu bị trừng phạt cùng mạng lưới vốn tại Trung Đông. Trong khi đó, Triều Tiên gần như không còn nhiều thứ để bán ra thị trường.

Theo ông, phần lớn hàng xuất khẩu của Triều Tiên thực tế đều nằm trong diện bị trừng phạt, còn hoạt động kinh tế thì bị bó hẹp. Vì thế, nước này cần dòng tiền trực tiếp hơn là một hạ tầng thanh toán. Đánh cắp tiền số giúp họ có thanh khoản gần như ngay lập tức trên phạm vi toàn cầu mà không cần phụ thuộc vào đối tác giao dịch.

Mục tiêu của các cuộc tấn công cũng rất rõ ràng. Alexander Urbelis, Giám đốc an ninh thông tin (CISO) của ENS Labs, cho biết các đối tượng thường bị nhắm tới gồm sàn giao dịch, dịch vụ ví, giao thức DeFi và những nhân sự chủ chốt nắm quyền phê duyệt giao dịch hoặc quyền truy cập hạ tầng. Nói cách khác, các cá nhân và hệ thống có thể tiếp cận trực tiếp dòng tiền luôn nằm ở trung tâm của những chiến dịch này.

Phương thức tấn công của Triều Tiên cũng khác với tội phạm mạng thông thường. Nước này bị đánh giá là theo đuổi các chiến dịch thâm nhập dài hơi theo kiểu hoạt động tình báo, vượt xa những vụ lừa đảo phishing đơn lẻ. Cách làm thường là xây dựng quan hệ trong nhiều tháng, sử dụng danh tính giả và len vào chuỗi cung ứng. Trong vụ Drift, nhóm tấn công được cho là đã nhắm vào một cá nhân, tạo dựng lòng tin trong thời gian dài rồi mới tiếp cận mục tiêu.

Bản chất của thị trường tiền số cũng bị xem là yếu tố tạo thuận lợi cho Triều Tiên. Trong tài chính truyền thống, ngay cả khi xảy ra tấn công mạng vẫn còn nhiều lớp phòng vệ như trì hoãn thanh toán, xác minh theo quy định hay hủy giao dịch chuyển tiền. Nhưng với tiền số, một khi giao dịch đã được xác nhận thì gần như rất khó đảo ngược.

Urbelis nhắc lại vụ tấn công Bybit hồi đầu năm ngoái, khi 1,5 tỷ USD bị chuyển đi chỉ trong khoảng 30 phút, để nhấn mạnh khác biệt này. Theo ông, đây cũng là lý do chiến lược phòng thủ trong lĩnh vực tiền số phải đặt nặng việc ngăn chặn từ trước, thay vì xử lý sau sự cố như trong hệ thống tài chính truyền thống.

Các chuyên gia cho rằng thách thức lớn nhất hiện nay của ngành là phát hiện danh tính giả ngày càng tinh vi và kiểm soát quyền truy cập nội bộ. Sau vụ Drift, mức độ cảnh giác đã tăng lên, nhưng khi Triều Tiên xem tiền số là một loại tài sản có thể nhanh chóng đổi thành tiền, thay vì chỉ là hạ tầng thanh toán, áp lực an ninh với ngành này được dự báo sẽ còn kéo dài.