Khi AI tiếp tay hacker: Cuộc tấn công crypto tự động khiến cả thị trường lo ngại

ChatGPT đang bị các nhóm hacker lợi dụng để tự động hóa toàn bộ quy trình tấn công tiền mã hóa, từ theo dõi ví, tạo phishing đến chuyển tiền chỉ trong vài giây khi phát hiện mục tiêu. Những gì từng cần kỹ năng cao và thao tác thủ công giờ đã trở thành một "dây chuyền" tấn công vận hành bằng AI, khiến người dùng crypto đứng trước rủi ro mất tài sản nhanh hơn và khó phòng vệ hơn bao giờ hết. Trước làn sóng lừa đảo ngày càng tinh vi này, CoinMinutes sẽ cùng bạn phân tích rõ cách thức các chiêu trò AI đang vận hành, nhận diện những rủi ro tiềm ẩn và trang bị các nguyên tắc cần thiết để bảo vệ tài sản của mình trước khi trở thành nạn nhân tiếp theo.

Hacker Triều Tiên lợi dụng ChatGPT để tự động hóa tấn công tiền mã hóa

Nhóm hacker Kimsuky của Triều Tiên đã sử dụng ChatGPT để giả mạo thẻ căn cước chính phủ trong một chiến dịch phishing, đánh dấu một kỷ nguyên mới của chiến tranh mạng có sự hỗ trợ của AI. Vụ việc được công ty an ninh mạng Genians của Hàn Quốc phát hiện vào tháng 7/2025, nhanh chóng trở thành tâm điểm chú ý của cộng đồng bảo mật toàn cầu.

Đây là một trong những lần đầu tiên có bằng chứng cụ thể về việc AI được triển khai trực tiếp trong một cuộc tấn công mạng đang diễn ra. Những kẻ tấn công sử dụng công cụ AI để phác thảo một thẻ căn cước quân sự Hàn Quốc giả mạo, tạo ra hình ảnh đủ chân thực để làm cho một cuộc tấn công phishing trở nên đáng tin cậy hơn. Thay vì đính kèm hình ảnh thật, email lại chứa liên kết đến mã độc có khả năng trích xuất dữ liệu từ thiết bị của người nhận.

Nhóm hacker Triều Tiên này cũng sử dụng ChatGPT để phát triển phần mềm độc hại và cơ sở hạ tầng command-and-control, thực nghiệm với cấu hình Windows và macOS, đồng thời soạn thảo các email phishing, khám phá các kỹ thuật để tạo điều kiện cho việc tải DLL và đánh cắp thông tin xác thực.

Điều đáng lo ngại hơn là đây không phải hành động đơn lẻ. Các nhóm hacker Triều Tiên đã đánh cắp 2,02 tỷ USD tiền mã hóa trong năm 2025, tăng 51% so với cùng kỳ năm trước, đưa tổng số tiền đánh cắp từ trước đến nay lên 6,75 tỷ USD.

Tháng 10/2025, OpenAI chính thức xác nhận đã phá vỡ ba chiến dịch tấn công phối hợp có nguồn gốc từ Nga, Triều Tiên và Trung Quốc, trong đó các tác nhân sử dụng ChatGPT để tăng tốc quy trình tấn công hiện có. Các tác nhân Nga đã lặp đi lặp lại mã nguồn qua nhiều phiên ChatGPT để tinh chỉnh chức năng của trojan truy cập từ xa. Hacker Triều Tiên sử dụng AI để mô phỏng các mồi nhử phishing và tự động hóa các đoạn script triển khai phần mềm độc hại.

Hacker Triều Tiên dùng ChatGPT tạo thẻ giả, tự động hóa phishing và đánh cắp tiền mã hóa.

AI đang thay đổi hoàn toàn cách thức tấn công crypto như thế nào?

Trước khi AI trở nên phổ biến, một cuộc tấn công tiền mã hóa quy mô đòi hỏi đội ngũ kỹ thuật lành nghề, nguồn lực lớn và nhiều tuần chuẩn bị. Ngày nay, bức tranh đó đã thay đổi hoàn toàn. Các nhà nghiên cứu tại CoinMinutes nhận định rằng AI đang tái định hình cán cân quyền lực giữa kẻ tấn công và người phòng thủ theo hướng bất lợi cho thị trường.

AI giúp hacker tự động hóa tấn công crypto ra sao?

Các nhóm hacker Triều Tiên đã có thể tối ưu hóa hoạt động của mình bằng cách sử dụng các đoạn script được cấu hình bởi AI. Các script này tự động chuyển tiền mã hóa sang ví do hacker kiểm soát ngay khi số dư của nạn nhân vượt quá 200 USD.

Mô hình tự động hóa này làm thay đổi hoàn toàn "chuỗi giá trị" hack. Trước đây, hacker cần theo dõi thủ công từng mục tiêu, dễ bị phát hiện bởi hệ thống AML/KYC hoặc cảnh báo on-chain analytics. Nay, với AI, mọi công đoạn giám sát, phân tích, thực thi có thể vận hành song song và liên tục, khiến detection rate giảm mạnh. Các bước gồm:

• Sử dụng mô hình behavioral analytics quét hàng triệu ví tiền mã hóa để săn tìm địa chỉ bất thường về biến động số dư

• Tự động hóa soạn gửi email phishing cá nhân hóa dựa trên lịch sử giao dịch đã crawl từ blockchain explorer

• Áp dụng automation attack để chiếm quyền truy cập (privilege escalation), kiểm soát tài khoản và chuyển tài sản trong thời gian thực

• Rửa tiền/làm "đứt chuỗi truy vết" qua nhiều lớp ví, giao thức DeFi và atomic swap – khiến việc điều tra truyền thống gần như bị vô hiệu hóa

Hackers đã đánh cắp khoảng 1,5 tỷ USD Ethereum và các tài sản khác trong một vụ vi phạm duy nhất, sau đó nhanh chóng hoán đổi các token bị đánh cắp và phân tán số tiền qua hàng chục ví trong vài giờ, vượt qua nhiều hệ thống phòng thủ tự động.

Vì sao AI làm giảm rào cản kỹ thuật cho hacker tiền mã hóa?

Với việc sử dụng AI tạo sinh, Triều Tiên hiện nay đối mặt với rào cản ngôn ngữ thấp hơn khi thực hiện tội phạm và cần ít tiền hơn đáng kể khi lên kế hoạch và thực hiện các âm mưu, theo nhận định của giáo sư Kim Seung-joo tại Trường An ninh mạng Đại học Korea.

Lời cảnh báo này phản ánh một thực tế đáng lo ngại: AI không chỉ giúp hacker giỏi hơn, mà còn biến những kẻ thiếu kỹ năng thành mối đe dọa thực sự. Để tạo một email phishing thuyết phục bằng tiếng Anh hoặc tiếng Nhật, nhóm hacker Triều Tiên trước đây cần nhân sự thông thạo ngoại ngữ. Nay, ChatGPT đảm nhận vai trò đó chỉ trong vài giây.

Hơn thế nữa, chi phí tấn công giảm mạnh đồng nghĩa với lợi nhuận kỳ vọng tăng cao. Với việc AI hạ thấp rào cản gia nhập, các hoạt động này dự kiến sẽ mở rộng quy mô hơn nữa, trong khi các lực lượng bảo vệ vẫn đang chạy theo để bắt kịp.

Xu hướng "AI-powered cyber attack" trong thị trường crypto

Trong suốt năm 2025, các cuộc tấn công phishing và kỹ nghệ xã hội có sự hỗ trợ của AI đã bùng nổ. Hacker sử dụng giả giọng nói, cuộc gọi hỗ trợ giả mạo và các chiêu trò mạo danh để lừa dối người dùng và người trong nội bộ.

Các chuyên gia bảo mật tại CoinMinutes đã ghi nhận sự xuất hiện của một số xu hướng đáng báo động trong năm qua:

• Tấn công chuỗi cung ứng phần mềm nhắm vào cơ sở hạ tầng ví và sàn giao dịch

• Sử dụng AI để phân tích hành vi người dùng và tối ưu thời điểm tấn công

• Triển khai mô hình "Deepfake-as-a-Service" để tạo tài liệu và danh tính giả

• Kết hợp nhiều vector tấn công đồng thời theo thời gian thực

Theo báo cáo Executive Threat Monitoring của Cyble, các deepfake có sự hỗ trợ của AI liên quan đến hơn 30% các cuộc tấn công mạo danh doanh nghiệp có tác động cao trong năm 2025.

AI tái định hình tấn công crypto, tự động hóa mọi bước, giảm rào cản và tăng lợi nhuận cho hacker.

Mối nguy từ các chiến dịch phishing và tấn công tự động hóa quy mô lớn

Phishing không phải là phát minh của thời đại AI. Nhưng AI đã làm cho nó trở nên nguy hiểm hơn theo cấp số nhân. Nếu phishing truyền thống là một tấm lưới đánh cá bừa bãi, thì phishing có AI là một cú ném lao chính xác nhắm thẳng vào mục tiêu. Đây là nhận định mà đội ngũ phân tích của CoinMinutes đã đưa ra trong báo cáo bảo mật quý III/2025.

Phishing bằng AI nguy hiểm hơn các hình thức lừa đảo truyền thống

AI không chỉ làm tăng tính thuyết phục của các nỗ lực phishing mà còn giúp kẻ tấn công thực hiện nhiều cuộc tấn công hơn. Kaspersky ghi nhận phishing tăng 3,3% giữa quý I và quý II/2025, được thực hiện nhờ AI.

Sự khác biệt cốt lõi giữa phishing truyền thống và phishing bằng AI nằm ở mức độ cá nhân hóa. Trước đây, email lừa đảo thường có lỗi chính tả, định dạng kém và nội dung chung chung. Ngày nay, AI có thể:

• Phân tích lịch sử giao dịch công khai trên blockchain của nạn nhân

• Soạn email phản ánh đúng loại tài sản họ đang nắm giữ

• Bắt chước phong cách viết của sàn giao dịch họ đang dùng

• Tạo ra cảm giác cấp bách phù hợp với biến động thị trường hiện tại

Spear phishing đại diện cho một sự tiến hóa tinh tế của phishing truyền thống, nơi kẻ tấn công thực hiện nghiên cứu sâu rộng về mục tiêu để tạo ra các thông điệp được cá nhân hóa cao.

Cách hacker sử dụng AI để tạo email và website giả mạo tinh vi

Các nhà nghiên cứu của Norton ghi nhận các trang đăng nhập Coinbase giả, cổng Microsoft Office 365, và các trang hỗ trợ kỹ thuật được bản địa hóa được tạo ra bằng các công cụ xây dựng website AI. Theo dữ liệu giám sát, hơn 580 website độc hại được tạo bởi AI xuất hiện mỗi ngày trên toàn thế giới.

Những website này thường có giao diện giống hệt sàn giao dịch thật, bao gồm cả chứng chỉ SSL, thiết kế responsive và thậm chí có chatbot hỗ trợ. Người dùng chỉ có thể phân biệt qua những chi tiết nhỏ như tên miền bị thay đổi vài ký tự, ví dụ "byb1t.com" thay vì "bybit.com."

Đặc biệt nguy hiểm là sự kết hợp giữa email phishing hiện đại và deepfake voice - công nghệ AI tạo ra bản sao giọng nói gần như không thể phân biệt với bản thật. Một tập đoàn năng lượng châu Âu đã tổn thất 25 triệu USD sau khi nhận chỉ đạo chuyển tiền qua file ghi âm deepfake từ "giám đốc tài chính", vượt qua toàn bộ khâu xác thực truyền thống (voice verification). Trường hợp này cho thấy lỗ hổng multi-channel confirmation và sự cần thiết của các giải pháp multi-factor out-of-band authentication trong quy trình phê duyệt tài chính doanh nghiệp.

Tấn công crypto quy mô lớn: khi phishing được tự động hóa hoàn toàn

Tổng số vụ trộm cắp crypto tăng vọt lên 158.000 vụ trong năm 2025, gần gấp ba lần so với 54.000 vụ được ghi nhận vào năm 2022. Số nạn nhân duy nhất tăng từ 40.000 năm 2022 lên ít nhất 80.000 trong năm 2025.

Những con số này phản ánh một thực tế đơn giản: khi phishing được tự động hóa hoàn toàn bằng AI, chi phí mỗi cuộc tấn công gần như bằng không nhưng quy mô có thể mở rộng không giới hạn.

Trong vụ tấn công hệ thống hỗ trợ Coinbase được phát hiện vào tháng 5, những kẻ tấn công sử dụng giả giọng nói bằng AI và phishing để hối lộ hoặc lừa dối các nhân viên hỗ trợ ở nước ngoài, cung cấp cho chúng "quyền truy cập đặc quyền" vào dữ liệu khách hàng và các công cụ nội bộ, cho phép chúng vượt qua các giao thức bảo mật cho các tài khoản có giá trị cao, với thiệt hại ước tính từ 180 đến 400 triệu USD.

AI tăng cường phishing, tự động hóa tấn công, đánh lừa nạn nhân và mở rộng quy mô trộm cắp crypto nguy hiểm.

Hệ lụy nghiêm trọng đối với người dùng và thị trường tiền mã hóa

Con số hàng tỷ USD bị đánh cắp đôi khi làm người ta quên mất rằng đằng sau mỗi con số là những câu chuyện cá nhân. Một nhà đầu tư mất toàn bộ khoản tiết kiệm hưu trí bằng Bitcoin. Một startup blockchain mất vốn vận hành sau một cuộc tấn công phishing nhắm vào CFO. Đây là chiều kích nhân văn mà thị trường thường bỏ qua khi phân tích các sự kiện bảo mật.

Người dùng crypto đối mặt rủi ro mất tài sản nhanh ra sao

Hàng triệu USD tài sản crypto đã bị rút khỏi tài khoản người dùng, để lại nhiều nhà đầu tư bị tàn phá tài chính. Với một số người, đây là cú đánh thay đổi cả cuộc đời tài chính của họ.

Tốc độ mất tài sản trong các cuộc tấn công có AI là điểm đặc biệt đáng chú ý. Không giống các vụ lừa đảo truyền thống mất nhiều ngày hoặc tuần để thực hiện, một cuộc tấn công tự động có thể hoàn thành toàn bộ chu kỳ, từ phishing, chiếm quyền truy cập, chuyển tài sản đến rửa tiền ban đầu, trong vòng chưa đầy một giờ.

Tốc độ rửa tiền cực nhanh đặt ra những thách thức mới cho điều tra viên, vì các cơ chế phòng chống rửa tiền truyền thống không theo kịp khối lượng giao dịch bất hợp pháp lớn.

Điều này tạo ra một nghịch lý khắc nghiệt: hệ thống blockchain có tính minh bạch cao, mọi giao dịch đều có thể truy vết, nhưng chính sự nhanh chóng của các giao dịch trên chuỗi lại tạo lợi thế cho kẻ tấn công. Khi điều tra viên xác định được ví đích, số tiền thường đã được phân tán qua hàng chục địa chỉ khác nhau.

Tác động của tấn công AI đến niềm tin thị trường crypto

Tác động lên thị trường từ các vụ tấn công quy mô lớn không chỉ dừng ở thiệt hại tài sản trực tiếp. Vụ hack khiến giá Ethereum giảm 24%, Bitcoin giảm mạnh, đồng thời đẩy các cơ quan quản lý (regulator) khắp thế giới phải siết chặt rà soát cybersecurity compliance, cập nhật anti-money laundering (AML) protocols cho ngành crypto.

Niềm tin là “tài sản” cốt lõi trong toàn bộ thị trường tài chính phi tập trung. Khi một sàn lớn bị tấn công, không chỉ dòng tiền bị rút đồng loạt mà còn kích hoạt hiệu ứng domino - các crypto custodian, exchange, DeFi protocol đều phải rà soát lại risk management framework, chứng chỉ bảo hiểm an ninh và tuân thủ tiêu chuẩn bảo mật quốc tế (ISO/IEC 27001, SOC 2…).

Ngành tiền mã hóa đã trở thành khu vực tấn công deepfake số một, chiếm tới 88% tổng số vụ lừa đảo deepfake được phát hiện vào năm 2023, và con số này tiếp tục tăng mạnh trong các năm tiếp theo.

Doanh nghiệp blockchain chịu ảnh hưởng thế nào từ các cuộc tấn công AI

Với các doanh nghiệp trong hệ sinh thái blockchain, tác động từ làn sóng tấn công AI vượt ra ngoài thiệt hại tài chính trực tiếp. Chi phí bảo hiểm an ninh mạng tăng vọt, quy trình tuyển dụng trở nên phức tạp hơn, và gánh nặng tuân thủ quy định ngày càng nặng nề hơn.

Nhiều công ty vẫn dựa vào các chính sách xác thực thông tin lỗi thời, thiếu MFA kháng phishing, hoặc không kiểm tra kỹ ứng viên làm việc từ xa, đây là những kẽ hở mà các tác nhân được nhà nước hậu thuẫn đang khai thác.

Nguy hiểm hơn, một số doanh nghiệp đang mắc bẫy từ bên trong. Anthropic xác nhận vào tháng 8 rằng các hacker Triều Tiên đã sử dụng công cụ Claude Code để được tuyển dụng và làm việc từ xa cho các công ty công nghệ Fortune 500 của Mỹ, sử dụng AI để xây dựng các danh tính giả mạo phức tạp, vượt qua các bài kiểm tra lập trình và thực hiện công việc kỹ thuật thực sự sau khi được tuyển dụng.

Các cuộc tấn công AI khiến người dùng và doanh nghiệp crypto mất tài sản, niềm tin và gặp rủi ro nghiêm trọng.

AI và bước ngoặt mới của an ninh mạng trong kỷ nguyên crypto

Nhìn lại lịch sử an ninh mạng, mỗi thế hệ công nghệ mới đều mang theo một thế hệ mối đe dọa mới. Sự tiến hóa của công nghệ an ninh mạng song hành cùng sự nổi lên của các loại hình tấn công mới: internet khiến phishing bùng phát, email kéo theo spam, smartphone dẫn đến smishing, và AI mở ra kỷ nguyên indistinguishable attack - tức các mối đe dọa không thể nhận diện bằng phương pháp truyền thống.

Vì sao AI đang thay đổi bản chất của an ninh mạng?

Khả năng tiếp cận của công nghệ deepfake đã dân chủ hóa gian lận: nhân bản giọng nói hiện chỉ cần 20 đến 30 giây âm thanh, trong khi deepfake video thuyết phục có thể được tạo ra trong 45 phút bằng phần mềm miễn phí.

Điều này đặt ra một thách thức căn bản: hệ thống phòng thủ truyền thống được xây dựng dựa trên giả định rằng con người có thể nhận biết sự giả mạo. Khi AI có thể sao chép giọng nói, khuôn mặt và phong cách viết với độ chính xác vượt qua nhận thức của người thường, giả định đó không còn đúng nữa.

Đối với nhiều tình huống hàng ngày, đặc biệt là các cuộc gọi video độ phân giải thấp và phương tiện được chia sẻ trên mạng xã hội, độ thực của deepfake hiện nay đủ cao để đánh lừa người xem không phải chuyên gia một cách đáng tin cậy. Deepfakes đã trở nên không thể phân biệt được với các bản ghi thật đối với người bình thường và trong một số trường hợp, ngay cả đối với các tổ chức.

Ngoài ra, AI còn thay đổi cán cân tốc độ. Trong an ninh mạng, tốc độ phát hiện và phản ứng là yếu tố quyết định. Nhưng khi kẻ tấn công có thể triển khai hàng nghìn cuộc tấn công đồng thời, tự động điều chỉnh chiến thuật dựa trên phản hồi thực tế và rửa tiền trong vài giờ, con người không thể theo kịp bằng các quy trình thủ công.

Tương lai của các cuộc tấn công crypto trong thời đại AI

Nhìn về năm 2026, các công nghệ mới nổi như trí tuệ nhân tạo đang trên đà trao quyền cho tội phạm mạng, khiến các hoạt động của chúng chính xác hơn và khó phát hiện hơn.

Một số xu hướng cần đặc biệt theo dõi trong giai đoạn tới:

• Các mô hình ngôn ngữ lớn chuyên biệt được tinh chỉnh riêng cho mục đích tấn công crypto

• AI agent tự động quản lý toàn bộ vòng đời của một cuộc tấn công mà không cần sự can thiệp của con người

• Tấn công chuỗi cung ứng phần cứng, khi AI được dùng để phân tích và khai thác lỗ hổng trong các thiết bị ví vật lý

• Kết hợp tấn công tài chính và phi tài chính, dùng thông tin đánh cắp từ crypto để phục vụ mục tiêu tình báo

Thiệt hại từ gian lận có sự hỗ trợ deepfake dự kiến có thể đạt 40 tỷ USD vào năm 2027, theo dự báo từ nhiều tổ chức nghiên cứu an ninh mạng hàng đầu.

Doanh nghiệp cần chuẩn bị gì trước làn sóng AI-driven threat

Đối mặt với mối đe dọa từ AI, câu trả lời không thể chỉ là "cẩn thận hơn." Cần có sự thay đổi hệ thống từ cả góc độ kỹ thuật lẫn tổ chức. Sau đây là những bước cụ thể mà các doanh nghiệp trong hệ sinh thái crypto cần thực hiện:

• Về kỹ thuật, tổ chức cần tích hợp multi-factor authentication (MFA) chống phishing, ưu tiên các protocol nâng cao như WebAuthn hoặc FIDO2 thay vì chỉ SMS/OTP truyền thống. Ứng dụng các hệ thống giám sát dựa trên AI, như anomaly detection engine hoặc user behavior analytics (UBA), đồng thời thực hiện kiểm thử thâm nhập (pen-test) định kỳ với các kịch bản red team chuyên về AI-powered attack.

• Về quy trình, cần xây dựng các giao thức xác minh ngoài băng tần, tức là không bao giờ xác nhận giao dịch lớn chỉ qua một kênh liên lạc duy nhất, đặc biệt là email hay cuộc gọi điện thoại thông thường.

• Về nhân sự, đào tạo nhân viên không chỉ về nhận diện phishing mà còn về tâm lý học kỹ thuật xã hội, bao gồm khả năng nhận biết khi nào mình đang bị thao túng cảm xúc để hành động nhanh chóng mà không kiểm tra.

Doanh nghiệp cần ứng dụng AI và bảo mật chủ động để chống các mối đe dọa crypto tinh vi.

AI đã và đang trao cho kẻ tấn công những công cụ chưa từng có: khả năng tự động hóa quy mô lớn, cá nhân hóa tấn công đến từng cá nhân, và tạo ra sự giả mạo không thể phân biệt. Mỗi tác nhân tấn công đều tìm cách sử dụng ChatGPT để tăng tốc quy trình tấn công hiện có hơn là phát minh ra các khả năng tấn công hoàn toàn mới.

Hãy nâng cấp "lá chắn số” của bạn ngay hôm nay, trước khi AI biến bạn thành mục tiêu tiếp theo trong làn sóng tấn công crypto tự động.