Chữ ký đa người: Đánh bại sự xâm nhập tiền mã hóa của Triều Tiên

Sổ tay an ninh đã thay đổi.

Các cuộc tấn công brute-force vẫn tồn tại, nhưng mối đe dọa sắc bén hơn giờ đây trông giống như một mô hình điệp viên ngủ công nghiệp hóa:

Kẻ xấu xâm nhập vào đội ngũ, quy trình làm việc và hệ thống truy cập trước khi chờ thời điểm thuận lợi nhất để ra tay.

Điều đó khiến việc tuyển dụng không chỉ là tìm kiếm nhân tài. Mỗi nhân viên kỹ thuật mới trở thành một quyết định tin cậy gắn liền với rủi ro tài chính thực tế. Chỉ cần một lập trình viên bị xâm nhập, một nhà thầu không được kiểm tra kỹ, hoặc một kênh nội bộ bị lợi dụng có thể biến thủ tục tuyển dụng thành thiệt hại hàng triệu đô trong tổng giá trị bị rút (TVL).

Hàng triệu đô được chi cho việc kiểm toán hợp đồng thông minh, nhưng lỗ hổng an ninh tàn phá nhất hiện nay lại là cửa hậu con người — một con đường trực tiếp mà không cuộc kiểm toán phần mềm nào có thể phát hiện hay ngăn chặn.

 

Khai thác mọi lỗ hổng

Đối với một sàn giao dịch tiền mã hóa hoặc giao thức tài chính phi tập trung (DeFi), mỗi nhân viên mới thực chất là một giao dịch đòn bẩy cao. Tài sản thế chấp chính là tài sản của người dùng và danh tiếng thương hiệu.

Các nhóm do nhà nước Triều Tiên tài trợ như Nhóm Lazarus khét tiếng đã công nghiệp hóa chiến lược điệp viên ngủ. Chiến thuật của họ chuyển sang bẫy nhà tuyển dụng giả tinh vi, nhắm vào trung tâm của ngành công nghiệp tiền mã hóa.

Văn hóa làm việc từ xa của ngành crypto khiến chiến lược này càng hiệu quả hơn, vì tường lửa bảo mật duy nhất chính là phòng nhân sự (HR). Do đó, các bộ phận HR phải nhanh chóng học cách những kẻ này vượt qua hàng rào kỹ thuật để xâm nhập đội ngũ.

Họ phải xây dựng một quy trình tuyển dụng không tin tưởng (zero-trust) để bảo vệ không chỉ tài sản và thương hiệu, mà còn cả tầm nhìn của tổ chức.

 

Từ giao thức đến con người

Theo Chainalysis, các tác nhân đe dọa Triều Tiên đã đánh cắp kỷ lục 2,02 tỷ USD tiền mã hóa vào năm 2025 — tăng 51% so với năm trước, trong đó phần lớn đến từ quyền truy cập kiểu nội gián.

Chiến lược mới được gọi là Xâm nhập thượng nguồn (Upstream Infiltration).

Thay vì đột nhập vào công ty, họ chỉ đơn giản là nộp đơn xin việc. Khi đã vào bên trong, điệp viên có thể dễ dàng vẽ sơ đồ mạng nội bộ và xác định mọi ví nóng. Kết quả không chỉ là mất tiền mà còn là sự phá vỡ hoàn toàn logic của giao thức.

Sự thay đổi này được minh họa rõ nhất qua các vụ tấn công kỹ nghệ xã hội và thao túng hạ tầng nghiêm trọng đã định nghĩa lại an ninh của sàn giao dịch và giao thức.

Vào tháng 2 năm 2025, Nhóm Lazarus đã xâm nhập môi trường phát triển mà Bybit sử dụng. Họ chèn mã độc vào giao diện ví, lừa các nhà vận hành ký mù các giao dịch trông như “chuyển khoản thường lệ”.

Điều này dẫn đến thiệt hại kỷ lục 1,5 tỷ USD, làm nổi bật một lỗ hổng nghiêm trọng: an ninh của sàn giao dịch chỉ vững chắc bằng sự liêm chính của những người quản lý quy trình triển khai.

Chỉ riêng tháng 4 năm 2026, Kelp tổ chức tự trị phi tập trung (DAO) đã chịu một vụ tấn công trị giá 292 triệu USD liên quan đến nhóm phụ TraderTraitor của Lazarus. Cuộc điều tra cho thấy kẻ tấn công đã xâm nhập dự án với tư cách là người đóng góp.

Họ đã đầu độc quy trình xác minh của giao thức và buộc hệ thống chuyển sang hạ tầng độc hại.

Đây là lời nhắc nhở rõ ràng rằng phi tập trung không có nghĩa là không thể bị hack nếu các thành viên cốt lõi bị xâm nhập. Nó là một bài học tỉnh táo rằng một giao thức chỉ có thể bất biến khi lập trình viên của nó liêm chính.

 

Giải phẫu của cái bẫy

Sự xâm nhập bắt đầu từ lâu trước cuộc gọi Zoom đầu tiên.

• Kẻ tấn công dựng nên toàn bộ lịch sử kỹ thuật số để cung cấp bằng chứng công việc thuyết phục ngay cả những nhà tuyển dụng hoài nghi nhất.

• Điệp viên thường sử dụng các công ty đầu tư mạo hiểm (VC) hoặc công ty tuyển dụng giả để xây dựng dấu vết kéo dài hàng năm, bao gồm blog kỹ thuật, xác nhận trên LinkedIn và các cam kết GitHub.

Họ không dừng lại ở việc gửi sơ yếu lý lịch. Thay vào đó, họ trình bày một cuộc sống kỹ thuật số được chọn lọc và tăng cường bởi AI để trông giống như một chuyên gia crypto cao cấp.

Trong các trường hợp khác, điệp viên giả làm nhà tuyển dụng từ một sàn giao dịch hoặc quỹ VC danh tiếng. Họ tiếp cận các lập trình viên hiện tại của dự án với cơ hội việc làm yêu cầu bài kiểm tra kỹ thuật — thực chất là một mưu mẹo để cài phần mềm độc hại.

Đây chính là trường hợp của Veltrix Capital, vốn không phải là công ty tuyển dụng thật. Nó được tạo ra để dụ các lập trình viên crypto vào quy trình ứng tuyển giả nhằm khởi động dự án kỹ nghệ xã hội của mình.

 

Bài kiểm tra mã hóa như ngựa thành Troy

Giai đoạn đánh giá kỹ thuật là điểm xâm nhập tối ưu vào bảo mật ví của dự án crypto. Trong quy trình tuyển dụng tiêu chuẩn, ứng viên thường gửi kho mã cho trưởng nhóm phát triển xem xét.

• Đầu độc phụ thuộc: Các nhà nghiên cứu tại ReversingLabs đã xác định các gói độc hại như graphalgo (trên PyPI) và bigmathutils (trên npm) được sử dụng đặc biệt trong các bài kiểm tra này.

• Tải trọng: Khi người quản lý tuyển dụng hoặc trưởng nhóm chạy npm install để kiểm tra bài làm, một script hậu cài đặt sẽ được kích hoạt.

• Kết quả: Một Trojan truy cập từ xa (RAT), thường là biến thể của BeaverTail, được triển khai. Nó ngay lập tức kiểm tra tiện ích mở rộng MetaMask và trích xuất cookie phiên.

Việc phát tán phần mềm độc hại hoàn tất. Điều này cho phép kẻ tấn công truy cập vào Slack nội bộ, GitHub và môi trường sản xuất.

Nhận diện dấu hiệu cảnh báo trong cuộc gọi

Phát hiện điệp viên Triều Tiên đòi hỏi phải nhìn vượt qua kỹ năng kỹ thuật và tập trung vào sự bất nhất trong các cuộc gọi Zoom, chẳng hạn.

1. Cảnh giác với các lỗi kỹ thuật liên tục hoặc lý do băng thông thấp ngăn xuất hiện trên camera trong các buổi thảo luận kỹ thuật chuyên sâu.

2. Nhạy cảm với việc giả giọng bằng AI thời gian thực hoặc độ trễ phản hồi kỳ lạ. Sự không khớp giữa giọng nói và danh tính xảy ra khi một người nói chuyện trong khi người khác cung cấp câu trả lời kỹ thuật ở hậu trường.

3. Có sự không tương xứng giữa kỹ năng và kinh nghiệm khi một ứng viên cấp cao Rust gặp khó khăn với bài whiteboard ngẫu hứng về DeFi. Nếu họ chỉ làm được khi có đội hỗ trợ, có thể họ không phải là người họ nói.

4. Cuối cùng, chú ý đến phông nền tĩnh hoặc mờ không phù hợp với ánh sáng hoặc chuyển động của ứng viên. Những sự bất nhất hình ảnh này thường là sản phẩm của phần mềm deepfake thời gian thực.

 

Lỗi con người

Các tổ chức phải triển khai khung tuyển dụng không tin tưởng (zero-trust) để bảo vệ ngân quỹ khỏi lỗi con người. Khung này cần có quy trình xác minh nghiêm ngặt, nhiều lớp trước khi cấp bất kỳ quyền truy cập nội bộ nào.

Khung tuyển dụng zero-trust thay thế tuyển dụng dựa trên niềm tin bằng chu trình xác thực bảo mật, nơi không có thông tin nào được coi là hợp lệ cho đến khi được chứng minh. Các dự án vô hiệu hóa mối đe dọa từ ứng viên tổng hợp tiên tiến bằng cách xác thực danh tính và kỹ năng theo thời gian thực.

Trong Web3, mỗi nhân viên là một khoản đầu tư vào quyền lưu ký giao thức, và do đó, thêm một người ký mới vào multi-sig của tổ chức. Với chiến lược hacker ngày càng phức tạp, các bộ phận HR từ xa phải được đào tạo về các vụ vi phạm an ninh và thực hiện xác minh nghiêm ngặt trước khi phát hành hợp đồng cho ứng viên tiềm năng.

Cách triển khai tuyển dụng zero-trust

An ninh vận hành xã hội (Social OpSec) là một khung phòng thủ được thiết kế để làm sạch dấu vết kỹ thuật số của đội ngũ. Nó đảm bảo rằng dữ liệu công khai rời rạc không thể bị khai thác bởi các tác nhân nhà nước để tạo ra cuộc tấn công có tổ chức.

Quy trình tuyển dụng của một giao thức phải an toàn như hợp đồng thông minh của nó để bảo vệ tài sản của các bên liên quan. Để làm được điều đó, nên triển khai ngay các bước sau:

• Xác minh danh tính trước tiên: Sử dụng dịch vụ xác minh ID trực tiếp (như Jumio hoặc Clear) để đối chiếu danh tính ứng viên với giấy tờ tùy thân do chính phủ cấp. Việc này phải được thực hiện trực tiếp trong cuộc gọi video đầu tiên.

• Đánh giá kỹ thuật trong môi trường cách ly: Không bao giờ chạy mã của ứng viên trên máy cục bộ. Hãy sử dụng môi trường đám mây tạm thời, cách ly như Gitpod hoặc Replit để xem xét và chạy mã. Đây là tương đương với việc dùng ví đốt cho các giao dịch rủi ro.

• Lập trình trực tiếp, bật camera: Thay thế bài kiểm tra tại nhà bằng phiên whiteboard hoặc lập trình tương tác trực tiếp. Điều này ngăn ứng viên thuê đội hỗ trợ làm thay.

• Kiểm toán các phụ thuộc: Trước khi xem xét bất kỳ kho mã bên ngoài nào, hãy quét các tệp cấu hình (như package.json) để phát hiện gói lạ hoặc ít lượt tải. Chúng có thể là phiên bản giả mạo của công cụ hợp pháp.

 

Vượt ra ngoài tường lửa

An ninh không còn chỉ là trách nhiệm của Giám đốc Kỹ thuật (CTO) vào năm 2026; nó bắt đầu từ phòng nhân sự (HR).

Các vụ việc tại Kelp DAO và Bybit cho thấy ngay cả hệ thống kỹ thuật mạnh mẽ nhất cũng có thể bị phá hủy bởi một con người đáng tin cậy bị xâm nhập. Mô hình tuyển dụng zero-trust giúp đảm bảo rằng nhân viên mới đến để xây dựng tầm nhìn, không phải phá hủy nó.

Đối xử với mỗi lần tuyển dụng với mức độ thẩm định như một giao dịch hàng triệu đô là cách duy nhất để đảm bảo sự tồn tại lâu dài của giao thức.

 

Cách mua tiền mã hóa trên Toobit

Để mua tiền mã hóa trên Toobit, hãy tạo tài khoản, hoàn tất xác minh và vào mục Mua crypto. Chọn token, chọn phương thức thanh toán và xác nhận giao dịch. Tài sản của bạn sẽ xuất hiện trong Tài khoản Spot khi giao dịch hoàn tất.

Chúc mừng, bạn đã biết cách mua tiền mã hóa trên Toobit!