Lazarus Group nắm giữ lượng BTC khổng lồ sau vụ Hack Bybit

Ngày 18 tháng 3 năm 2025, thế giới tiền điện tử tiếp tục rung chuyển trước thông tin nhóm hacker khét tiếng Lazarus Group, được cho là cánh tay nối dài của Triều Tiên, đã vươn lên trở thành một “cá voi” Bitcoin với khối tài sản trị giá hơn 1 tỷ USD. Theo báo cáo mới nhất từ Arkham Intelligence, tổ chức này hiện sở hữu 13.580 BTC, tương đương 1,12 tỷ USD, sau khi chuyển đổi số Ethereum (ETH) đánh cắp từ vụ hack sàn Bybit hồi tháng 2 năm 2025. Hãy cùng Blog Meme tìm hiểu sự kiện không chỉ làm nổi bật sự tinh vi của Lazarus mà còn đặt ra câu hỏi lớn về an ninh trong ngành công nghiệp tiền điện tử đang phát triển chóng mặt này.

Vụ hack Bybit: Cú đánh lịch sử vào thị trường crypto

Vào ngày 21 tháng 2 năm 2025, Lazarus Group đã thực hiện một vụ tấn công mạng táo bạo, đánh cắp hơn 1,5 tỷ USD từ Bybit – một sàn giao dịch tiền điện tử lớn có trụ sở tại Dubai. Đây được xem là vụ hack lớn nhất trong lịch sử tiền điện tử, vượt qua cả vụ Ronin Bridge (625 triệu USD) mà chính Lazarus gây ra vào năm 2022. Các nhà phân tích blockchain, bao gồm ZachXBT và Elliptic, đã nhanh chóng truy vết các giao dịch, phát hiện dấu vết đặc trưng của nhóm này: các giao dịch thử nghiệm nhỏ trước khi chuyển khoản lớn, cùng với việc sử dụng hàng trăm ví trung gian để phân tán tài sản.

Sau khi đánh cắp số lượng lớn ETH từ Bybit, Lazarus đã chuyển đổi phần lớn sang Bitcoin (BTC), một động thái được cho là nhằm tận dụng tính thanh khoản cao và khả năng ẩn danh của BTC. Theo dữ liệu từ Arkham, ngoài 13.580 BTC, nhóm này còn nắm giữ 13.696 ETH (26 triệu USD), 5.022 BNB (3,17 triệu USD) và một lượng lớn stablecoin như USDT và USDC. Sự đa dạng hóa danh mục tài sản này cho thấy Lazarus không chỉ là một nhóm hacker mà còn là một “tay chơi” chiến lược trong thị trường crypto.

Lazarus Group: Hồ sơ tội phạm mạng toàn cầu

Lazarus Group không phải là một cái tên mới trong thế giới an ninh mạng. Được thành lập từ khoảng năm 2007 và hoạt động dưới sự chỉ đạo của Cục Tình báo Tổng hợp Triều Tiên (RGB), nhóm này đã gây ra hàng loạt vụ tấn công đình đám trong hơn một thập kỷ qua. Từ vụ hack Sony Pictures năm 2014 nhằm trả đũa bộ phim “The Interview” đến vụ tấn công hệ thống SWIFT của Ngân hàng Bangladesh năm 2016 (81 triệu USD), Lazarus đã chứng minh khả năng tấn công đa dạng, từ các tập đoàn giải trí đến tổ chức tài chính truyền thống.

Tuy nhiên, kể từ khi tiền điện tử bùng nổ, Lazarus đã chuyển trọng tâm sang lĩnh vực này. Theo báo cáo của Chainalysis, từ năm 2017 đến 2024, nhóm này đã đánh cắp hơn 3 tỷ USD từ các sàn giao dịch, cầu nối blockchain và dự án DeFi. Một số vụ nổi bật bao gồm hack KuCoin (281 triệu USD, 2020), Harmony Horizon Bridge (100 triệu USD, 2022), và gần đây nhất là Bybit. Tổng thiệt hại do Lazarus gây ra hiện được ước tính lên tới hàng chục tỷ USD, biến họ thành một trong những tổ chức tội phạm mạng nguy hiểm nhất thế giới.

Chiến thuật của Lazarus cũng ngày càng tinh vi. Họ sử dụng các kỹ thuật như phishing nhắm mục tiêu (spear-phishing), phần mềm độc hại tùy chỉnh như WannaCry ransomware năm 2017, và khai thác lỗ hổng trong các giao thức DeFi. Sau khi đánh cắp tài sản, nhóm này thường rửa tiền qua các mixer như Tornado Cash (trước khi bị cấm), Sinbad, hoặc các DEX aggregator như của OKX, trước khi chuyển đổi sang BTC hoặc các loại tiền khác.

Phản ứng từ ngành công nghiệp tiền điện tử

Vụ hack Bybit đã gây ra làn sóng phản ứng mạnh mẽ từ thị trường. OKX, một sàn giao dịch lớn khác, đã tạm dừng dịch vụ DEX aggregator của mình vào ngày 17 tháng 3 năm 2025 sau khi phát hiện Lazarus cố gắng rửa khoảng 100 triệu USD từ vụ hack qua nền tảng của họ. OKX cho biết họ đã triển khai hệ thống phát hiện địa chỉ hacker và công nghệ chặn giao dịch độc hại theo thời gian thực trên cả CEX và DEX, đồng thời tạm dừng việc tạo ví mới ở một số khu vực để tăng cường bảo mật.

Các cơ quan quản lý quốc tế cũng vào cuộc. Liên minh châu Âu (EU), thông qua quy định MiCA, đã tăng cường giám sát các sàn giao dịch như OKX và Bybit, yêu cầu minh bạch hơn trong việc xử lý các vụ tấn công mạng. Mỹ và Liên Hợp Quốc cũng đã mở rộng lệnh trừng phạt đối với các ví liên quan đến Lazarus, dù hiệu quả vẫn còn hạn chế do tính chất ẩn danh của blockchain.

Triều Tiên: Từ quốc gia bị cô lập đến “ông lớn” Bitcoin

Với 13.580 BTC trong tay, Lazarus Group đã đưa Triều Tiên – nếu được xác nhận là chủ mưu – vào danh sách các quốc gia sở hữu Bitcoin lớn nhất thế giới, vượt qua Bhutan (khoảng 600 BTC) và El Salvador (5.700 BTC). Điều này không chỉ là một thành tích tài chính mà còn mang ý nghĩa địa chính trị sâu sắc.

Trong bối cảnh bị cấm vận kinh tế nặng nề, Triều Tiên dường như đang sử dụng tiền điện tử như một công cụ để bù đắp nguồn lực, từ tài trợ chương trình hạt nhân đến mua sắm hàng hóa trên thị trường đen.

Theo các báo cáo, Lazarus Group không chỉ đánh cắp crypto để kiếm lợi nhuận mà còn tích trữ Bitcoin nhằm phục vụ các chương trình vũ khí và tên lửa của Triều Tiên. Chính phủ Mỹ đã nhiều lần bày tỏ lo ngại về khả năng Triều Tiên né tránh các lệnh trừng phạt thông qua hệ thống tài chính phi tập trung. Bitcoin trở thành tài sản quan trọng đối với chế độ này bởi tính chất chống kiểm duyệt, giúp khó bị các cơ quan toàn cầu tịch thu hay phong tỏa, cùng với tính thanh khoản cao, cho phép Triều Tiên tài trợ hoạt động mà không cần phụ thuộc vào các kênh ngân hàng truyền thống bị giám sát chặt chẽ, và khả năng dễ rửa tiền nhờ các sàn giao dịch phi tập trung (DEX) cũng như dịch vụ mixing, giúp “làm sạch” nguồn tiền trước khi sử dụng.

Các chuyên gia nhận định rằng số tiền khổng lồ này có thể được Lazarus sử dụng để đầu tư vào các hoạt động phi pháp khác, như thuê hacker bên ngoài, phát triển mã độc mới, hoặc thậm chí thao túng thị trường crypto. Điều này đặt ra thách thức lớn cho cộng đồng quốc tế trong việc ngăn chặn dòng tiền bất hợp pháp từ tiền điện tử.

Triều Tiên nắm giữ lượng lớn Bitcoin có thể đe dọa thị trường tiền điện tử như thế nào?

Kho dự trữ Bitcoin 1,12 tỷ USD của Lazarus Group, tương đương 13.580 BTC, không chỉ là mối lo an ninh mà còn đe dọa gây rối loạn thị trường tiền điện tử. Nếu Triều Tiên bán phá giá số BTC này trên các sàn lớn như Binance trong vài giờ, với giá hiện tại khoảng 84.000 USD, giá Bitcoin có thể rớt xuống dưới 70.000 USD, gây thiệt hại hàng tỷ USD và kéo theo sự sụp đổ của các đồng tiền khác.

Ngược lại, Lazarus có thể thao túng thị trường bằng cách mua thêm BTC khi giá giảm, rồi bán lúc phục hồi, tạo biến động giả để trục lợi và gây hoang mang cho nhà đầu tư nhỏ lẻ. Họ cũng có thể giữ BTC chờ giá chạm 100.000 USD rồi bán, vừa kiếm lời vừa làm lung lay niềm tin vào crypto.

Với khối lượng giao dịch Bitcoin hàng ngày khoảng 30-50 tỷ USD, 1,12 tỷ USD đủ sức gây sốc, nhất là trên các sàn thanh khoản thấp. Sự hiện diện của lượng Bitcoin này còn có thể khiến Mỹ và EU siết chặt quy định, như yêu cầu xác minh danh tính gắt gao hoặc cấm ví nghi ngờ, làm giảm tính phi tập trung của Bitcoin và cản trở sự phát triển blockchain.

Hơn nữa, nếu Triều Tiên dùng số tiền này tài trợ tấn công mạng mới, như vụ Bybit, thị trường có thể rơi vào bất ổn kéo dài. Một vụ hack tương tự có thể khiến nhà đầu tư hoảng loạn, rút vốn hàng loạt, đẩy crypto vào suy thoái. Với lịch sử từ WannaCry đến Bybit, kho Bitcoin của Lazarus là “quả bom hẹn giờ” cho ngành công nghiệp tiền điện tử.

Kết luận

Lazarus Group không chỉ là một nhóm hacker mà đã trở thành một thế lực tài chính đáng gờm trong thế giới tiền điện tử. Với hơn 1 tỷ USD Bitcoin trong tay sau vụ hack Bybit, họ đang viết lại khái niệm về tội phạm mạng, biến nó thành một công cụ quyền lực kinh tế và địa chính trị. Vụ việc này là lời nhắc nhở rằng, trong kỷ nguyên số, an ninh không chỉ là vấn đề kỹ thuật mà còn là cuộc chiến toàn cầu.