Các đặc vụ Triều Tiên đã bị bắt quả tang trực tiếp sau khi nhóm nghiên cứu an ninh dẫn dụ họ vào một “laptop dành cho lập trình viên” gài bẫy, cho thấy cách nhóm liên quan nhóm hacker khét tiếng Lazarus tìm cách chen vào quy trình tuyển dụng crypto tại Mỹ bằng công cụ AI hợp pháp và dịch vụ cloud.

Diễn biến này được ghi nhận theo thời gian thực bởi các nhóm nghiên cứu của BCA LTD, NorthScan và nền tảng phân tích malware ANY.RUN.

Bắt quả tang hacker Triều Tiên

Chiến dịch bắt đầu khi Heiner García của NorthScan giả mạo một lập trình viên Mỹ — người bị một recruiter của Lazarus nhắm tới dưới bí danh “Aaron” (hay còn gọi là “Blaze”).

Đóng vai một “doanh nghiệp” tuyển dụng, Blaze cố gắng thuê lập trình viên giả này làm bình phong — một chiến thuật Chollima quen thuộc nhằm đưa lao động IT Triều Tiên vào các công ty phương Tây, đặc biệt trong lĩnh vực tài chính, crypto, y tế và kỹ thuật.

Quy trình phỏng vấn

Kế hoạch vận hành theo mô hình quen thuộc:

Khi Blaze yêu cầu toàn quyền truy cập — gồm SSN, giấy tờ ID, LinkedIn, Gmail và quyền sử dụng laptop 24/7 — nhóm nghiên cứu chuyển sang giai đoạn hai.

Cái bẫy: “Laptop Farm” nhưng thực ra không có laptop

Môi trường ảo an toàn từ Interactive Sandbox của ANY.RUN

Thay vì dùng laptop thật, Mauro Eldritch của BCA LTD triển khai máy ảo trong ANY.RUN Sandbox, được cấu hình giống hệt một máy cá nhân hoạt động thực tế với lịch sử sử dụng, công cụ lập trình và proxy dân cư tại Mỹ.

Đội nghiên cứu cũng có thể chủ động tạo crash, giới hạn băng thông hoặc ghi lại từng thao tác mà không làm hacker nghi ngờ.

Những gì họ tìm thấy trong bộ công cụ của Famous Chollima

Các phiên sandbox hé lộ một bộ công cụ gọn nhẹ nhưng hiệu quả, tập trung vào chiếm đoạt danh tính và truy cập từ xa thay vì triển khai malware. Sau khi đồng bộ hồ sơ Chrome, các hacker tải lên:

Trong một phiên, hacker thậm chí để lại tin nhắn trong Notepad yêu cầu “lập trình viên” tải lên ID, SSN và thông tin ngân hàng — xác nhận mục tiêu cuối cùng: chiếm trọn danh tính và thiết bị làm việc mà không cần triển khai bất kỳ malware nào.

Dòng tiền tỷ USD

Sự việc này nằm trong chiến lược lớn hơn của Bình Nhưỡng, nơi mô hình lừa đảo tuyển dụng trở thành nguồn thu chính.

Nhóm Giám sát Trừng phạt Đa phương ước tính các nhóm liên quan Triều Tiên đã đánh cắp 2,83 tỷ USD tài sản số từ 2024 đến tháng 9/2025, tương đương gần 1/3 nguồn thu ngoại tệ của quốc gia.

Hiệu quả của việc tấn công vào “lớp con người” được thể hiện rõ nhất trong vụ hack Bybit tháng 2/2025, khi nhóm TraderTraitor dùng thông tin nội bộ bị đánh cắp để biến giao dịch chuyển ra ngoài thành chuyển nội bộ, cuối cùng chiếm quyền ví lạnh.

Khủng hoảng tuân thủ

Mô hình tấn công dựa vào social engineering đã tạo ra cuộc khủng hoảng tuân thủ mới trong ngành tài sản số.

Huntress và Silent Push từng ghi nhận mạng lưới công ty bình phong như BlockNovas và SoftGlide — có đăng ký hợp pháp tại Mỹ và hồ sơ LinkedIn đáng tin — chuyên dụ lập trình viên cài mã độc dưới dạng “bài test kỹ thuật”.

Trong khi quy trình KYC tập trung vào khách hàng, mô hình của Lazarus buộc ngành áp dụng tiêu chuẩn mới: “Know Your Employee”.

Bộ Tư pháp Mỹ đã thu giữ 7,74 triệu USD liên quan các sơ đồ IT này, nhưng độ trễ phát hiện vẫn lớn.

Như chiến dịch của BCA LTD cho thấy, để bắt những hacker này, ngành có thể phải chuyển từ phòng thủ thụ động sang đánh lừa chủ động — thiết kế môi trường kiểm soát buộc họ bộc lộ kỹ thuật trước khi được trao quyền truy cập hệ thống.

Thạch Sanh

Cố vấn kinh tế cấp cao của Tổng thống Vladimir Putin cho biết crypto nên được đưa vào tính toán cán cân thanh toán của Nga, đồng thời gọi hoạt động đào coin là một “ngành xuất khẩu còn bị đánh giá thấp”.

Cán cân thanh toán là bộ dữ liệu thống kê theo quý hoặc theo năm, ghi lại các giao dịch kinh tế giữa cư dân, doanh nghiệp trong nước và nước ngoài. Tại Nga, Ngân hàng Trung ương chịu trách nhiệm tổng hợp và công bố các số liệu này, vốn được dùng để đánh giá sức khỏe kinh tế quốc gia.

Tuy nhiên, Maxim Oreshkin, Phó Chánh văn phòng Tổng thống, cho biết các khoản giao dịch bằng crypto “không được tính vào số liệu hiện tại vì diễn ra ngoài các kênh thanh toán truyền thống”.

Ông nói rằng crypto “là một dạng cung tiền”, đồng thời tiết lộ doanh nghiệp Nga “có thể và đang thanh toán hàng nhập khẩu bằng crypto”, tác động trực tiếp tới thị trường tiền tệ truyền thống.

Trong bối cảnh chính phủ Nga dần thay đổi quan điểm về tài sản số, Moscow đang chịu áp lực phải hợp thức hóa một lĩnh vực mà trước đây họ từng nhìn nhận với sự cảnh giác cao.

Ngành đào crypto tăng trưởng mạnh của Nga

Oreshkin cũng ca ngợi tốc độ phát triển của ngành đào coin trong nước, cho rằng Nga đã có “một mặt hàng xuất khẩu mới và bị đánh giá thấp”. Theo ông, đây là một dạng “xuất khẩu ngầm” với “quy mô đáng kể”.

Việc doanh nghiệp Nga dùng crypto để thanh toán xuyên biên giới và bán số token họ đào được khiến crypto “bắt buộc phải được đưa vào cán cân thanh toán”, vì nguồn cung này “ảnh hưởng trực tiếp tới thị trường ngoại hối”.

Số liệu từ Luxor Technology cho thấy Nga hiện chiếm gần 16% hashrate Bitcoin toàn cầu, chỉ đứng sau Hoa Kỳ.

Oreshkin, cựu Bộ trưởng Phát triển Kinh tế, được Tổng thống Putin bổ nhiệm làm cố vấn kinh tế hàng đầu vào tháng 1/2020.

Oleg Ogienko, CEO Via Numeri, nhận định ngành đào crypto đã “đóng vai trò quan trọng” đối với nền kinh tế Nga, đồng thời dự báo các đơn vị khai thác trong nước có thể đào “hàng chục nghìn Bitcoin trong năm nay”.

Sergey Bezdelov, Chủ tịch Hiệp hội Đào công nghiệp Nga, cho biết các công ty trong nước đã khai thác 55.000 BTC trong năm 2023 và 35.000 BTC trong năm 2024, mức giảm chủ yếu do sự kiện halving hồi tháng 4/2024.

Theo Mikhail Brezhnev, đồng sáng lập 51ASIC, doanh thu khai thác crypto của Nga hiện ở mức khoảng 12,9 triệu USD mỗi ngày. Ogienko bổ sung rằng tổng mức đầu tư của doanh nghiệp Nga vào trung tâm dữ liệu, kết nối lưới điện, phát điện và thiết bị khai thác có thể “chạm hoặc vượt mốc 1,3 tỷ USD”.

Crypto giúp Nga lách trừng phạt?

Một chính trị gia cấp cao từng khẳng định doanh nghiệp Nga đã dùng crypto để thực hiện khối lượng giao dịch xuyên biên giới trị giá hàng tỷ USD nhằm né tránh lệnh trừng phạt của Mỹ, EU và Anh.

Trong những tháng gần đây, Moscow nỗ lực đưa hoạt động thương mại dựa trên crypto vào khuôn khổ pháp lý. Cuối tháng 10, Ngân hàng Trung ương và Bộ Tài chính đã thống nhất hợp pháp hóa thanh toán crypto như một hình thức “hoạt động kinh tế đối ngoại”.

Ngân hàng Trung ương cũng vận hành một “chế độ pháp lý thử nghiệm”, tức sandbox cho các doanh nghiệp muốn sử dụng crypto làm phương tiện thanh toán xuyên biên giới. Các hoạt động của sandbox được giữ bí mật để tránh rủi ro trừng phạt.

Vương Tiễn

Yearn Finance thông báo đã thu hồi được khoảng 2,4 triệu USD giá trị tài sản bị đánh cắp trong vụ khai thác gần đây trên giao thức DeFi cũ của họ, trong bối cảnh tổng thiệt hại ước tính đang tiến gần 9 triệu USD, theo cập nhật ngày thứ Hai. Một chiến dịch phục hồi phối hợp đang “diễn ra và tiếp tục,” thông tin đăng trên X cho biết.

Vụ việc xảy ra vào Chủ Nhật khi một lỗ hổng trong giao thức yield-farming từng phổ biến đã bị khai thác, dẫn đến việc rút tài sản từ pool Yearn Ether (yETH) stableswap và pool yETH‑WETH nhỏ hơn trên Curve. Đây là vụ tấn công thứ ba nhắm vào Yearn kể từ năm 2021 và được mô tả là có “độ phức tạp cao tương tự” vụ hack Balancer gần đây.

Theo báo cáo hậu sự kiện được công bố ngày thứ Hai, “nguyên nhân gốc rễ” xuất phát từ một lỗi “tính toán không kiểm soát” cùng với các “vấn đề thiết kế liên quan” khác, cho phép hacker tạo ra 2,3544 × 10^56 token yETH — gần như vô hạn — để rút thanh khoản khỏi giao thức.

“Các giao dịch khai thác thực tế diễn ra theo mô hình: lượng token khổng lồ được mint trước, sau đó là chuỗi rút tài sản thực chuyển về tay kẻ tấn công, trong khi nguồn cung yETH gần như vô nghĩa,” báo cáo hậu sự kiện giải thích.

Yearn khẳng định vụ tấn công có tính chất nhắm mục tiêu và không ảnh hưởng tới các vault V2 hoặc V3. “Bất kỳ tài sản nào được phục hồi thành công sẽ được trả lại cho các nhà gửi tiền bị ảnh hưởng,” nhóm cho biết.

Trước đó, kẻ tấn công đã chuyển ít nhất 1.000 ETH cùng nhiều token staking thanh khoản sang Tornado Cash để ẩn danh. Yearn, phối hợp với các công ty bảo mật crypto SEAL 911 và ChainSecurity, cùng Plume Network, đã thu hồi được 857,49 pxETH tính đến thời điểm hiện tại.

BlockScout cho biết hacker đã sử dụng các “hợp đồng hỗ trợ tự hủy” trong vụ tấn công. Đây là các hợp đồng thông minh phụ trợ được thiết kế để thực hiện các tác vụ tự động, thường bị lợi dụng trong các cuộc tấn công flash loan nhiều bước trong cùng một giao dịch.

Ví dụ, hacker đã dùng hợp đồng hỗ trợ để thao túng chức năng yETH dễ bị tấn công, mint một lượng token phi lý, rút tài sản khỏi giao thức, rồi tự hủy hợp đồng. “Việc tự hủy sẽ xóa bytecode, khiến hợp đồng không đọc được sau đó, nhưng các giao dịch tạo ra và log vẫn được lưu lại,” BlockScout giải thích.

Yearn nhấn mạnh: “Phân tích ban đầu cho thấy vụ hack này có độ phức tạp cao tương tự vụ hack Balancer gần đây. Chúng tôi đang tiến hành phân tích hậu sự kiện. Không có sản phẩm Yearn nào khác sử dụng mã tương tự với phần bị ảnh hưởng.”

Vương Tiễn

Ngân hàng Nhân dân Trung Quốc (PBoC), ngân hàng trung ương của nước này, đã khẳng định lại lập trường rằng các hoạt động liên quan đến tài sản số là bất hợp pháp tại Trung Quốc, đồng thời cảnh báo những rủi ro đặc thù liên quan đến việc sử dụng stablecoin, sau một cuộc họp liên cơ quan diễn ra vào thứ Sáu.

“Tiền ảo không có cùng địa vị pháp lý như tiền pháp định, không mang giá trị thanh toán hợp pháp, và không nên cũng không thể được sử dụng làm tiền tệ trên thị trường,” PBoC nhấn mạnh trong thông báo. Ngân hàng trung ương cũng cho biết sẽ “nghiêm trị các hành vi phi pháp và tội phạm.”

Những phát biểu này được đưa ra sau cuộc họp tại Bắc Kinh vào thứ Sáu với sự tham gia của đại diện từ 13 cơ quan chính phủ, giữa bối cảnh hoạt động đầu cơ tài sản số “bùng phát trở lại,” theo thông báo. PBoC khẳng định chiến dịch trấn áp tiền ảo của họ, điển hình là lệnh cấm giao dịch và khai thác vào tháng 9/2021, đã “ổn định thị trường tiền ảo” và “đạt được kết quả đáng kể.” Đây là lần công khai mạnh mẽ nhất của PBoC về tiền điện tử kể từ lệnh cấm.

Stablecoin nhận được sự chú ý đặc biệt. PBoC chỉ ra rằng các loại tiền này không đáp ứng các tiêu chuẩn về nhận diện khách hàng (KYC) và phòng chống rửa tiền (AML), đồng thời cảnh báo các rủi ro liên quan đến rửa tiền, huy động vốn gian lận, chuyển tiền bất hợp pháp xuyên biên giới và thanh toán ngầm, cho rằng chúng là mối đe dọa đối với an ninh tài chính quốc gia.

Trung Quốc tiếp tục cấm giao dịch và khai thác crypto trên đại lục, trong khi Hồng Kông đã mở cửa cho ngành này với các cơ chế cấp phép cho sàn giao dịch và nhà phát hành stablecoin. Đồng thời, PBoC vẫn thúc đẩy chương trình thí điểm đồng nhân dân tệ kỹ thuật số, với hơn 225 triệu ví cá nhân đã được mở.

Tuy nhiên, Bắc Kinh gần đây cũng đã siết chặt một số hoạt động tài sản số tại Hồng Kông, yêu cầu một số công ty môi giới lớn tạm dừng các dự án mã hóa tài sản thực vào tháng 9 và ngăn một số tập đoàn công nghệ Trung Quốc phát hành stablecoin tại khu vực này vào tháng 10.

Cựu Thống đốc PBoC, Zhou Xiaochuan, cũng từng cảnh báo về những rủi ro tiềm ẩn khi áp dụng stablecoin trong một hội thảo kín hồi tháng 7. Ông nói: “Cần cảnh giác với việc stablecoin bị sử dụng quá mức cho đầu cơ tài sản, vì lệch hướng có thể dẫn tới gian lận và gây bất ổn cho hệ thống tài chính.” Zhou giữ chức Thống đốc Ngân hàng Nhân dân Trung Quốc từ 2002 đến 2018.

Vương Tiễn

Lazarus Group của Triều Tiên bị nghi đã đứng sau vụ đánh cắp khoảng 44,5 tỷ won (tương đương 30,4 triệu USD) tiền điện tử từ Upbit, sàn giao dịch crypto lớn nhất Hàn Quốc, theo báo chí địa phương đưa tin hôm thứ Sáu.

Hãng Yonhap dẫn lời các nguồn tin ẩn danh từ chính phủ và ngành công nghiệp cho biết, cơ quan chức năng đang chuẩn bị tiến hành kiểm tra trực tiếp tại Upbit, khi niềm tin rằng Lazarus là thủ phạm vụ vi phạm bảo mật ngày càng gia tăng.

Vào thứ Năm, Upbit thông báo phát hiện các giao dịch rút bất thường trên một số tài sản crypto dựa trên Solana. Sàn ngay lập tức đình chỉ các dịch vụ gửi và rút tiền đồng thời tiến hành kiểm tra.

Ban đầu, Upbit báo cáo thiệt hại lên đến 54 tỷ won (36,8 triệu USD), nhưng sau đó đã điều chỉnh xuống còn khoảng 44,5 tỷ won (30,4 triệu USD).

Cơ quan chức năng cho biết phương thức tấn công lần này tương tự vụ đánh cắp năm 2019, càng làm dấy lên nghi ngờ về sự tham gia của Lazarus. Cảnh sát Hàn Quốc kết luận năm ngoái rằng Lazarus đứng sau vụ hack 342.000 ETH từ Upbit vào tháng 11/2019.

Theo một quan chức chính phủ, thay vì tấn công trực tiếp vào máy chủ, các hacker có thể đã xâm nhập tài khoản quản trị hoặc giả mạo quản trị viên để phê duyệt các giao dịch chuyển tiền.

Trong khi đó, dữ liệu trên blockchain cho thấy một ví tiền được cho là liên quan đến hacker hôm thứ Năm đã hoán đổi Solana sang USDC và đang chuyển tiền sang Ethereum, theo nhà cung cấp phân tích blockchain Dethective.

Vụ hack của Upbit xảy ra ngay sau khi Naver Financial chính thức xác nhận sáp nhập với Dunamu, công ty vận hành Upbit. Naver Financial công bố hôm thứ Tư rằng họ sẽ tiếp quản Dunamu thành công ty con sở hữu hoàn toàn để “đảm bảo động lực tăng trưởng trong tương lai dựa trên tài sản số.”

Thạch Sanh

Ngày 27/11/2025, Upbit – sàn giao dịch crypto lớn nhất Hàn Quốc – thông báo phát hiện một vụ rút tiền bất thường trên mạng Solana, ước tính thiệt hại khoảng 37 triệu USD (~540 tỷ won).

Theo thông báo từ CEO Oh Kyung-seok của Dunamu, công ty vận hành Upbit, vụ việc được phát hiện vào lúc 02:42 sáng hôm nay, theo giờ Việt Nam, liên quan đến một số token trên mạng Solana bị chuyển tới các ví ngoài không xác định. Danh sách các tài sản liên quan bao gồm: 2Z, ACS, BONK, DOOD, DRIFT, HUMA, IO, JTO, JUP, LAYER, ME, MEW, MOODENG, ORCA, PENGU, PYTH, RAY, RENDER, SOL, SONIC, SOON, TRUMP, USDC và W.

Ngay sau khi phát hiện, Upbit đã tạm dừng dịch vụ nạp/rút crypto, triển khai kiểm tra an ninh toàn diện và di chuyển toàn bộ tài sản sang ví lạnh để ngăn chặn rủi ro thêm. Đồng thời, sàn đã thực hiện các biện pháp cố gắng đóng băng các giao dịch nghi ngờ trên chuỗi và phối hợp với cơ quan chức năng.

Đáng chú ý, CEO Oh Kyung-seok khẳng định: “Để ngăn chặn bất kỳ thiệt hại nào đến tài sản của khách hàng, toàn bộ khoản thiệt hại sẽ được bù đắp từ tài sản của Upbit. Chúng tôi xin nhấn mạnh rằng điều này sẽ không ảnh hưởng tới tài sản của khách hàng.”

Hiện sàn đang tiếp tục phối hợp với các dự án và tổ chức liên quan để theo dõi và cố gắng đóng băng các tài sản còn lại, đồng thời tiến hành kiểm tra bảo mật tổng thể cho hệ thống nạp/rút của toàn bộ các token, không chỉ riêng mạng Solana. Dịch vụ nạp/rút sẽ được khôi phục lần lượt khi các biện pháp bảo mật được đảm bảo.

Upbit tiến gần IPO trên Nasdaq nhờ thương vụ với Naver

Trong bối cảnh này, Upbit cũng đang tiến gần hơn tới khả năng IPO trên Nasdaq khi Naver chuẩn bị thâu tóm công ty mẹ Dunamu thông qua thương vụ hoán đổi cổ phiếu trị giá hàng chục tỷ won. Thương vụ dự kiến được hội đồng quản trị phê duyệt vào tuần tới, tạo ra một tập đoàn fintech–crypto hàng đầu châu Á và thúc đẩy bước tiến của Hàn Quốc vào thị trường vốn Mỹ.

Nếu hoàn tất, Upbit sẽ trở thành công ty con 100% của Naver, kết hợp 70% thị phần giao dịch crypto nội địa của Upbit với hệ sinh thái fintech rộng lớn của Naver. Thị trường đã phản ứng mạnh: cổ phiếu chưa niêm yết của Dunamu vượt 400.000 won, còn cổ phiếu Naver tăng gần 20%.

Giới phân tích nhận định thực thể hợp nhất có thể IPO trên Nasdaq sớm nhất vào năm 2026, với định giá tiềm năng khoảng 50 nghìn tỷ won. Với hậu thuẫn của Naver, triển vọng niêm yết tại Mỹ của Upbit vượt trội so với các đối thủ như Bithumb hay K Bank.

Bàng Quyên

Kịch bản tấn công đơn giản nhưng hiệu quả: giả làm shipper giao hàng, gõ cửa, cưỡng nhập bằng súng và ép chủ nhà chuyển private key.

Vào tháng 6/2024, ba người đàn ông thực hiện chính xác kịch bản này tại một căn hộ ở Anh và chiếm đoạt hơn 4,3 triệu USD crypto.

Năm tháng sau, Tòa Sheffield Crown kết án Faris Ali cùng hai đồng phạm, sau khi cảnh sát Metropolitan thu hồi gần như toàn bộ số tài sản bị đánh cắp.

Vụ việc, được nhà điều tra blockchain ZachXBT ghi lại, trở thành một minh chứng đáng chú ý cho câu hỏi mà ngành công nghiệp crypto vẫn né tránh: bảo mật vận hành (operational security) cần thế nào khi giá trị tài sản tồn tại trên trình duyệt, còn địa chỉ nhà là thông tin công khai? 

Vụ cướp diễn ra như thế nào?

Thời điểm tấn công rơi vào khoảng trống giữa sự cố rò rỉ dữ liệu và việc nạn nhân nhận thức về rủi ro.

Những đoạn chat ZachXBT thu được cho thấy các nghi phạm thảo luận chiến lược vài giờ trước khi tấn công, chia sẻ hình ảnh tòa nhà của nạn nhân, xác nhận vị trí đứng trước cửa, và thống nhất câu chuyện ngụy trang. Một bức ảnh ghi lại cả ba mặc đồng phục giao hàng. Vài phút sau, họ gõ cửa — nạn nhân, mong nhận bưu kiện, mở cửa.

Hậu quả là một chuyển khoản ép buộc sang hai địa chỉ Ethereum, thực hiện dưới uy hiếp bằng súng. Phần lớn coin bị đánh cắp nằm yên trong các ví này cho đến khi cơ quan pháp luật can thiệp.

ZachXBT lần theo dấu vết qua phân tích on-chain và các cuộc trò chuyện rò rỉ trên Telegram. Các đoạn chat tiết lộ kế hoạch tội phạm và hồ sơ tiền án: vài tuần trước vụ cướp, Faris Ali đăng ảnh giấy bảo lãnh tại ngoại, tiết lộ tên thật với bạn bè trên Telegram.

Sau vụ việc, một người không rõ danh tính đã đăng ký domain ENS farisali.eth và gửi thông điệp on-chain, công khai cáo buộc trên ledger Ethereum. ZachXBT chia sẻ phát hiện với nạn nhân, người này chuyển cho cơ quan chức năng. Ngày 10/10/2024, ZachXBT công bố điều tra chi tiết, và ngày 18/11, tòa Sheffield Crown ra phán quyết.

Khuynh hướng rộng hơn

ZachXBT nhận thấy vụ việc nằm trong xu hướng gia tăng các vụ xâm nhập nhà nhằm vào chủ sở hữu crypto tại Tây Âu, với tần suất cao hơn các khu vực khác.

Các phương thức tấn công khác nhau: SIM swap lộ recovery phrase, phishing tiết lộ số dư ví, social engineering xác định vị trí tài sản, nhưng điểm chung là khi kẻ tấn công xác nhận nạn nhân có giá trị lớn và biết địa chỉ nhà, họ sẽ chuyển sang cưỡng bức vật lý.

“Chiêu” giao hàng lợi hại vì sao

Ngụy trang giao hàng tận dụng lòng tin vào hệ thống logistics. Việc mở cửa đón người giao hàng là hành vi bình thường, không phải lỗi bảo mật.

Đối tượng tấn công hiểu rằng bước khó nhất của xâm nhập nhà là vào được mà không bị phát hiện. Đồng phục và gói hàng tạo lý do hợp lý để đứng chờ trước cửa. Khi cửa mở, yếu tố bất ngờ đã được kích hoạt.

Chiêu này khó mở rộng vì yêu cầu hiện diện trực tiếp, để lại dấu vết pháp y, và thất bại nếu nạn nhân từ chối mở cửa. Nhưng nó vượt qua mọi lớp bảo mật kỹ thuật số: ví multi-signature, thiết bị phần cứng hay cold storage đều vô dụng nếu bị ép ký giao dịch ngay lập tức. Điểm yếu là con người nắm chìa khóa, sống tại địa chỉ cố định có thể tìm ra qua dữ liệu rò rỉ hoặc hồ sơ công khai.

Bài học bảo vệ và chi phí opsec

Vụ này đặt ra yêu cầu cho các holder tài sản lớn: cân nhắc lại cách quản lý và công khai tài sản.

Bài học tức thời là phòng ngừa: tách bạch tài sản, xóa thông tin cá nhân khỏi cơ sở dữ liệu công khai, tránh chia sẻ số dư ví trên mạng xã hội, coi mọi lượt ghé thăm bất thường là mối đe dọa.

Nhưng các biện pháp này “tốn chi phí” về tiện lợi, minh bạch, và khả năng tham gia cộng đồng crypto mà không trở thành mục tiêu.

Vấn đề lâu dài là thị trường bảo hiểm. Các nhà cung cấp lưu ký( custody) truyền thống có bảo hiểm và đảm bảo an ninh vật lý, trong khi tự quản lý (self-custody) không có, là một trong những nhược điểm hiếm hoi. Nếu xâm nhập nhà trở thành mối đe dọa dự đoán được, nhu cầu dịch vụ lưu trữ có bảo hiểm hoặc bảo vệ cá nhân sẽ tăng. Cả hai đều đắt và đánh đổi quyền kiểm soát vốn có của self-custody.

Rò rỉ dữ liệu là nguy cơ gốc: sàn tập trung, nền tảng phân tích blockchain, báo cáo thuế, dịch vụ Web3 yêu cầu KYC đều lưu trữ thông tin liên kết danh tính với ví. Khi cơ sở dữ liệu này bị rò rỉ, nó trở thành “danh sách mua sắm” cho tội phạm, đối chiếu số dư ví với địa chỉ công khai.

Khuyến nghị của ZachXBT về việc “giám sát thông tin cá nhân khi bị lộ trực tuyến” là chính xác, nhưng giả định nạn nhân có công cụ và sự cảnh giác theo dõi rò rỉ theo thời gian thực — điều mà phần lớn không có.

Khả năng thực thi cũng là giới hạn: ZachXBT là cá nhân làm việc miễn phí. Cơ quan pháp luật phần lớn thiếu năng lực forensics on-chain để truy tìm crypto bị đánh cắp mà không có hỗ trợ bên ngoài. Cảnh sát Metropolitan thành công nhờ được bàn giao toàn bộ kết quả điều tra sẵn có.

Hệ quả đối với self-custody

Câu hỏi rộng hơn: self-custody có còn là lựa chọn mặc định cho người giữ tài sản lớn?

Ngành crypto đã tranh luận một thập kỷ rằng cá nhân nên kiểm soát private key và chủ quyền tài sản đáng giá chi phí vận hành. Lập luận này đúng khi mối đe dọa là sụp đổ sàn hay trưng thu của chính phủ, nhưng yếu đi khi mối đe dọa là một người mặc đồng phục giao hàng với súng và danh sách địa chỉ từ dữ liệu rò rỉ.

Nếu holder tài sản lớn nhận ra self-custody gây rủi ro vật lý không chấp nhận được, họ sẽ chuyển sang nền tảng tổ chức có bảo hiểm, đánh đổi decentralization lấy an toàn. Nếu vẫn giữ self-custody nhưng đầu tư mạnh vào bảo mật và riêng tư, crypto trở thành văn hóa ngầm dành cho người giàu và cảnh giác.

Vụ án tại Sheffield Crown Court khép lại một chương: kẻ tấn công đã bị bắt, nạn nhân lấy lại tài sản, ZachXBT có thêm case study. Nhưng điểm yếu hệ thống vẫn tồn tại: miễn là tài sản lớn có thể bị cưỡng ép trong chưa đầy một giờ và dữ liệu rò rỉ vẫn liên kết số dư ví với địa chỉ nhà, mọi biện pháp mã hóa đều không bảo vệ con người giữ chìa khóa.

Theo Interpretive Letter 1186 mới nhất từ Văn phòng Kiểm soát Tiền tệ Mỹ (OCC) – cơ quan giám sát ngân hàng – các ngân hàng có thể trả phí mạng (gas fees) và giữ lượng crypto cần thiết trên bảng cân đối để thực hiện các khoản thanh toán này.

OCC nêu rõ, trong quá trình kinh doanh, ngân hàng có thể cần phải trả các khoản phí mạng và vì vậy có thể giữ crypto trên bảng cân đối kế toán để thanh toán. Thư hướng dẫn nhấn mạnh:

OCC lấy Ethereum làm ví dụ, bởi mạng lưới Ethereum yêu cầu giao dịch được định giá bằng ETH. OCC giải thích:

Cập nhật hướng dẫn crypto

Trong năm vừa qua, dưới thời chính quyền Trump, các cơ quan quản lý, bao gồm OCC, đã thay đổi quan điểm về crypto:

Hướng dẫn này mở ra cơ hội cho các ngân hàng tích hợp sâu hơn vào hệ sinh thái blockchain, đồng thời yêu cầu quản lý rủi ro chặt chẽ để tránh tác động từ biến động giá, chi phí vận hành và rủi ro pháp lý.

Hàn Tín