Vào năm 2025, việc trộm cắp tiền điện tử đã phát triển từ những vụ lừa đảo đơn giản và cơ hội thành các hoạt động tinh vi, được tài trợ bởi các quốc gia, nhắm vào các sàn giao dịch lớn và cơ sở hạ tầng quan trọng. Hơn 2.17 tỷ USD đã bị đánh cắp trong nửa đầu năm 2025, và con số này tiếp tục tăng lên từng tháng.
Chỉ riêng trong tháng 9, đã có 20 cuộc tấn công liên quan đến tiền điện tử gây thiệt hại 127.06 triệu USD, nhấn mạnh mối đe dọa ngày càng tăng. Dưới đây là ba nhóm hacker nổi tiếng đã tham gia vào các cuộc tấn công lớn vào tiền điện tử.
Sponsored1. Lazarus Group
Nhóm Lazarus là một tổ chức hacker khét tiếng, hoạt động lâu dài và được Bắc Triều Tiên hậu thuẫn. Được biết đến với các biệt danh như APT 38, Labyrinth Chollima và HIDDEN COBRA, nhóm này đã liên tục thể hiện khả năng vượt qua ngay cả các hệ thống bảo mật tiên tiến nhất.
Hacken cũng ghi nhận rằng các hoạt động của họ đã bắt đầu từ ít nhất năm 2007, với việc xâm nhập vào các hệ thống chính phủ Hàn Quốc. Các cuộc tấn công đáng chú ý khác bao gồm vụ hack Sony Pictures năm 2014 (trả đũa cho bộ phim The Interview), sự bùng phát của ransomware WannaCry năm 2017, và các chiến dịch liên tục nhắm vào các ngành kinh tế ở Hàn Quốc.
Trong những năm gần đây, Lazarus đã tập trung mạnh vào việc trộm cắp tiền điện tử, đánh cắp hơn 5 tỷ USD từ 2021 đến 2025. Vụ Bybit hack vào tháng 02/2025 là đáng kể nhất, khi nhóm này đã đánh cắp 1.5 tỷ USD Ethereum (ETH) — vụ trộm tiền điện tử lớn nhất từng được ghi nhận. Các hoạt động khác bao gồm vụ trộm 3.2 triệu USD Solana (SOL) vào tháng 05/2025.
Sponsored Sponsored“Vụ hack ByBit của CHDCND Triều Tiên đã thay đổi cơ bản bối cảnh mối đe dọa năm 2025. Với 1.5 tỷ USD, sự cố này không chỉ đại diện cho vụ trộm tiền điện tử lớn nhất trong lịch sử, mà còn chiếm khoảng 69% tổng số tiền bị đánh cắp từ các dịch vụ trong năm nay,” Chainalysis viết vào tháng 07.
2. Gonjeshke Darinde
Gonjeshke Darande (chim sẻ săn mồi) là một nhóm tấn công mạng có động cơ chính trị, được cho là có liên hệ với Israel. Giữa các xung đột leo thang giữa Israel và Iran, nhóm này đã khai thác Nobitex, sàn giao dịch tiền điện tử lớn nhất của Iran, đánh cắp khoảng 90 triệu USD trước khi đốt số tiền này.
Gonjeshke Darande cũng đã công khai mã nguồn của Nobitex, làm suy yếu hệ thống độc quyền của sàn giao dịch và gây tổn hại lớn đến uy tín của nó với người dùng và đối tác.
“12 giờ trước, 8 địa chỉ đốt đã đốt 90 triệu USD từ các ví của công cụ vi phạm lệnh trừng phạt yêu thích của chế độ, Nobitex. 12 giờ nữa mã nguồn của Nobitex sẽ được công khai, và khu vườn có tường của Nobitex sẽ không còn tường. Bạn muốn tài sản của mình ở đâu?” họ đăng vào tháng 06.
Các cuộc tấn công khác của nhóm này cũng tập trung vào cơ sở hạ tầng, ngân hàng và nhiều lĩnh vực khác của Iran.
Sponsored Sponsored- Vào tháng 07/2021, Gonjeshke Darande đã làm gián đoạn hệ thống đường sắt của Iran, gây ra sự chậm trễ lớn và đăng các thông điệp chế giễu trên bảng thông báo công cộng.
- Vào tháng 10/2022, nhóm này đã tấn công ba nhà máy thép lớn, phát hành video về các vụ cháy gây thiệt hại nghiêm trọng về vật chất và kinh tế.
- Vào tháng 05/2025, họ đã xâm nhập vào Ngân hàng Sepah, ngân hàng nhà nước của Iran, rò rỉ dữ liệu nhạy cảm và làm gián đoạn hoạt động tài chính.
3. UNC4899
UNC4899 là một đơn vị hacker tiền điện tử được nhà nước Bắc Triều Tiên tài trợ. Theo Báo cáo Cloud Threat Horizons của Google, nhóm này hoạt động dưới sự chỉ đạo của Cục Trinh sát Tổng hợp (RGB), cơ quan tình báo chính của Bắc Triều Tiên.
SponsoredBáo cáo tiết lộ rằng nhóm này đã hoạt động ít nhất từ năm 2020. Hơn nữa, UNC4899 đã tập trung nỗ lực vào các lĩnh vực tiền điện tử và blockchain. Nhóm này đã thể hiện khả năng tiên tiến trong việc thực hiện các cuộc tấn công chuỗi cung ứng.
“Một ví dụ đáng chú ý là việc họ bị nghi ngờ khai thác JumpCloud, mà họ đã sử dụng để xâm nhập vào một công ty giải pháp phần mềm và sau đó tấn công các khách hàng hạ nguồn trong lĩnh vực tiền điện tử, nhấn mạnh các rủi ro lan tỏa do các đối thủ tiên tiến như vậy gây ra,” báo cáo đọc.
Giữa năm 2024 và 2025, hacker tiền điện tử này đã thực hiện hai vụ trộm lớn. Trong một trường hợp, họ đã dụ dỗ một nạn nhân trên Telegram, triển khai phần mềm độc hại thông qua Docker containers, vượt qua MFA trong Google Cloud, và đánh cắp hàng triệu USD tiền điện tử.
Trong một trường hợp khác, họ tiếp cận mục tiêu qua LinkedIn, đánh cắp cookie phiên AWS để vượt qua các biện pháp bảo mật, tiêm mã JavaScript độc hại vào các dịch vụ đám mây, và một lần nữa rút hàng triệu USD tài sản kỹ thuật số.
Vì vậy, năm nay, việc trộm cắp tiền mã hóa đã trở thành một công cụ trong xung đột địa chính trị cũng như tội phạm tài chính. Hàng tỷ USD bị mất trong năm nay—và động cơ chiến lược đằng sau nhiều cuộc tấn công—cho thấy rằng các sàn giao dịch, nhà cung cấp hạ tầng, và thậm chí cả chính phủ cần coi bảo mật tiền mã hóa là vấn đề an ninh quốc gia. Nếu không có sự phòng thủ phối hợp, chia sẻ thông tin tình báo, và các biện pháp bảo vệ mạnh mẽ hơn trong toàn hệ sinh thái, thì tổn thất sẽ chỉ tiếp tục gia tăng.