Ngày 16/7/2025, CoinDCX – một trong những sàn giao dịch tiền điện tử lớn nhất Ấn Độ – đã bị rút sạch 44,2 triệu USD chỉ trong vòng 5 phút. Điều đáng chú ý là vụ tấn công diễn ra đúng một năm sau sự cố tại sàn WazirX cũng trong ngày 16/7/2024 – dấy lên nghi ngờ về một chiến dịch tấn công có tổ chức.

Và cái tên được nhắc đến nhiều nhất trong các phân tích bảo mật chính là: Lazarus Group – nhóm hacker khét tiếng có liên hệ với nhà nước Triều Tiên.

Chi tiết vụ hack CoinDCX: Tinh vi, đa chuỗi và gần như không thể phát hiện

Theo ông Deddy Lavid, CEO nền tảng giám sát on-chain Cyvers, vụ hack diễn ra theo trình tự cực kỳ chuyên nghiệp:

  • Dò xét thanh khoản của sàn và các tuyến chuyển tiền trên chuỗi Polygon, Solana, FixedFloat.
  • Ẩn dấu vết bằng Tornado Cash – một trình trộn (mixer) từng bị Mỹ trừng phạt.
  • Thử nghiệm với giao dịch nhỏ chỉ 1 USDT vào ngày 18/7 trước khi ra tay toàn diện.
  • Hoàn tất toàn bộ vụ rút tiền chỉ trong 5 phút, với giá trị lên đến 44,2 triệu USD.

“Đây không phải hành động đơn lẻ. Hacker hiểu rất rõ cách sàn vận hành, cách thanh khoản luân chuyển, và cách che giấu dòng tiền xuyên chuỗi.” – Deddy Lavid

Tại sao Lazarus Group bị nghi ngờ đứng sau?

Cyvers và nhiều chuyên gia an ninh mạng nhận định có nhiều điểm trùng hợp với các chiến thuật Lazarus từng sử dụng:

  • Khai thác cầu nối chuỗi chéo (cross-chain bridge) – giống vụ hack Ronin Network trị giá 625 triệu USD.
  • Ẩn danh bằng Tornado Cash, mixer yêu thích của Lazarus.
  • Tấn công vào các sàn tập trung có độ bảo mật kém, thường từ các quốc gia đang phát triển, nơi pháp luật còn lỏng lẻo.
  • Đúng chu kỳ 1 năm – trùng khớp với WazirX 2024.

Việc Lazarus thực hiện tấn công đúng ngày từng thành công trước đó có thể là lời tuyên bố ngầm về khả năng tái lập đòn đánh và vượt mặt hệ thống phòng thủ.

Hệ thống bảo mật truyền thống "lạc hậu" trước hacker Blockchain

Theo Subhash Chandra Garg, cựu Bộ trưởng Tài chính Ấn Độ:

“Nếu các sàn không có bảo mật thời gian thực và kiểm tra ngoài chuỗi, thì sẽ tiếp tục bị khai thác một cách dễ dàng.”

Thống kê năm 2024 cho thấy:

  • Tổn thất từ sàn tập trung tăng 900%.
  • Các cuộc tấn công diễn ra ngày càng nhanh, bằng các đoạn mã khó truy vết, rò rỉ khóa riêng (private key), hoặc thậm chí lợi dụng API nội bộ.

Ấn Độ và rủi ro từ khoảng trống pháp lý

Việc thiếu một khung pháp lý hoàn chỉnh đang đẩy các sàn và người dùng Ấn Độ vào vùng rủi ro cao:

  • Vụ WazirX năm 2024 chưa giải quyết xong thì CoinDCX lại trở thành nạn nhân.
  • Cơ quan chức năng không đủ công cụ giám sát blockchain theo thời gian thực.
  • Người dùng thiếu bảo vệ pháp lý khi thiệt hại xảy ra.

Trong khi đó, các nhóm hacker như Lazarus đang tận dụng triệt để sự lỏng lẻo này như một "vùng săn mồi mới".

Kết luận: Lazarus là nghi phạm hàng đầu – nhưng hệ thống bảo mật mới là mắt xích yếu nhất

Dù chưa có bằng chứng kỹ thuật công khai để khẳng định 100%, nhưng tất cả dấu hiệu kỹ thuật, thời điểm và cách thức tấn công đều trùng khớp với “DNA” của Lazarus Group.

Tuy nhiên, điều quan trọng hơn là:

  • Các sàn cần nâng cấp hệ thống phòng thủ, tích hợp AI giám sát dòng tiền theo thời gian thực.
  • Chính phủ Ấn Độ cần đẩy nhanh luật hóa ngành tiền số, để vừa bảo vệ nhà đầu tư, vừa khuyến khích doanh nghiệp áp dụng bảo mật hiện đại.

Nếu không có bước chuyển mình về an ninh và pháp lý, Lazarus – hay bất kỳ nhóm APT nào – sẽ còn tiếp tục “thử lại” vào năm sau.