Theo báo cáo được BeInCrypto dẫn lại ngày 1/5, các nhóm bị nghi có liên hệ với Triều Tiên đã gây ra 76% tổng thiệt hại từ các vụ tấn công vào tiền mã hóa tính từ đầu năm đến hết tháng 4. TRM Labs cho biết phần lớn mức thiệt hại này đến từ hai vụ tấn công nhằm vào Drift Protocol và KelpDAO.

Tổng thiệt hại từ hai sự cố ước khoảng 577 triệu USD. Trong đó, vụ tấn công ngày 1/4 khiến Drift Protocol, một sàn giao dịch hợp đồng tương lai vĩnh cửu trên Solana, thiệt hại 285 triệu USD. Đến ngày 18/4, cầu nối chuỗi chéo của KelpDAO bị rút 116.500 rsETH, tương đương khoảng 292 triệu USD. Dù chỉ chiếm 3% tổng số vụ hack từ đầu năm, hai sự cố này lại chiếm phần lớn thiệt hại toàn thị trường.

Trong báo cáo cập nhật về sự cố, Drift cho biết vụ tấn công là kết quả của một chiến dịch thu thập thông tin kéo dài 6 tháng và có liên hệ với các tác nhân liên quan Triều Tiên. Sự cố này cũng ảnh hưởng đến nhiều giao thức khác. Ngày 30/4, Carrot, một nền tảng tối ưu lợi suất trên Solana, thông báo chấm dứt hoạt động.

Carrot cho biết việc duy trì vận hành trở nên khó khăn do hệ lụy từ vụ tấn công Drift. Nền tảng này đồng thời yêu cầu người dùng rút số dư ở các vị thế Boost, Turbo và CRT trước ngày 14/5. Sau mốc thời gian này, quá trình giảm đòn bẩy bắt buộc sẽ được kích hoạt.

Vụ việc tại KelpDAO được ghi nhận là vụ hack DeFi lớn nhất từ đầu năm đến nay. Kết quả điều tra ban đầu cho thấy TraderTraitor, một nhánh thuộc Lazarus Group, là nghi phạm đứng sau vụ tấn công. Sau sự cố, tổng giá trị tài sản khóa (TVL) của Aave cũng như toàn bộ thị trường DeFi đồng loạt giảm mạnh.

Tỷ trọng các vụ đánh cắp tiền mã hóa có liên quan đến Triều Tiên đã tăng liên tục trong vài năm gần đây. Theo TRM Labs, các nhóm này đã đánh cắp ít nhất 2,02 tỷ USD tài sản số trong năm 2025. Tỷ lệ thiệt hại gắn với Triều Tiên trong tổng thiệt hại do hack cũng tăng từ dưới 10% vào các năm 2020 và 2021 lên 22% vào năm 2022, sau đó tiếp tục tăng lên 37%, 39% và 64%. Mức 76% tính đến hết tháng 4 năm 2026 là cao nhất trong các thống kê liên quan.

TRM Labs đánh giá tần suất tấn công không gia tăng đáng kể. Các nhóm tin tặc chủ lực của Triều Tiên vẫn chỉ nhắm vào một số ít mục tiêu mỗi năm, nhưng với độ chính xác rất cao. Dù vậy, các cuộc tấn công đang ngày càng tinh vi hơn.

Theo TRM Labs, các nhóm này có thể đã đưa công cụ trí tuệ nhân tạo (AI) vào quá trình trinh sát và các hoạt động lừa đảo thao túng tâm lý. Riêng vụ Drift được mô tả là gần với một chiến dịch tấn công phức tạp nhằm thao túng cấu trúc blockchain trong nhiều tuần, hơn là một vụ đánh cắp khóa cá nhân đơn thuần.