1100 triệu mã hóa coin gặp cướp, tấn công vật lý dần trở thành mối đe dọa chính

Tác giả: Liam Akiba Wright

Biên dịch: Saoirse, Foresight News

Theo báo cáo của tờ San Francisco Chronicle, vào khoảng 6 giờ 45 phút sáng ngày 22 tháng 11, một nghi phạm giả danh nhân viên giao hàng đã vào một ngôi nhà nằm gần giao lộ giữa phố 18 và phố Dolores, khống chế cư dân trong nhà và cướp đi một chiếc điện thoại di động, một chiếc laptop và khoảng 11 triệu đô la tiền điện tử.

Đến Chủ nhật, cảnh sát San Francisco vẫn chưa công bố việc bắt giữ ai và cũng chưa cung cấp chi tiết cụ thể về tài sản bị cướp, hiện vẫn chưa tiết lộ mạng lưới blockchain hoặc loại token của tiền điện tử liên quan.

Các cuộc tấn công vật lý nhằm vào những người nắm giữ tiền điện tử không phải là hiếm, một xu hướng đáng lo ngại đang dần xuất hiện.

Các vụ án mà chúng tôi đã báo cáo trước đây bao gồm: một vụ cướp nhà ở Anh với số tiền liên quan là 4,3 triệu USD; vụ bắt cóc và tra tấn xảy ra ở khu Soho, New York nhằm ép buộc nạn nhân giao quyền truy cập ví Bitcoin; sự gia tăng số vụ bắt cóc liên quan đến tiền điện tử ở Pháp và các biện pháp ứng phó của chính phủ; các biện pháp bảo vệ cực đoan của những người nắm giữ tiền điện tử nổi tiếng (như “Gia đình Bitcoin”) để nâng cao an toàn thao tác bằng cách phân tán lưu trữ cụm từ khôi phục ví trên nhiều châu lục; xu hướng những nhà đầu tư tiền điện tử có giá trị tài sản ròng cao thường thuê nhân viên bảo vệ; và phân tích xu hướng “tấn công bằng cờ lê” (chỉ các cuộc tấn công nhằm chiếm đoạt tiền điện tử thông qua cưỡng ép bạo lực) và những lợi ích cũng như bất lợi của việc tự lưu trữ tiền điện tử.

Sau khi vụ cướp xảy ra, việc theo dõi trên chuỗi ngay lập tức được tiến hành.

Dù việc cướp bóc bắt đầu từ một cánh cửa nhà, tiền bẩn thường vẫn sẽ lưu thông trên sổ cái blockchain công khai, điều này khiến cho việc theo dõi trở nên khả thi - từ đó hình thành một “cuộc đua”: một bên là sự chuyển giao của các kênh rửa tiền, bên còn lại là các công cụ đóng băng và theo dõi ngày càng hoàn thiện và trưởng thành vào năm 2025. Và USDT trên TRON vẫn là yếu tố cốt lõi trong “cuộc đua” này.

Năm nay, thông qua sự hợp tác giữa các nhà phát hành token, mạng lưới blockchain và các công ty phân tích dữ liệu, khả năng đóng băng tài sản trái phép của toàn ngành đã được cải thiện. Theo báo cáo của “Bộ phận Tội phạm Tài chính T3”, từ cuối năm 2024, đã đóng băng hàng trăm triệu đô la token giao dịch trái phép.

Nếu số tiền bị cướp bao gồm stablecoin, khả năng ngăn chặn lưu thông tiền trong ngắn hạn sẽ tăng đáng kể - vì các nhà phát hành stablecoin lớn sẽ hợp tác với các cơ quan thực thi pháp luật và các đối tác phân tích dữ liệu, liệt kê địa chỉ ví liên quan vào danh sách đen sau khi nhận được thông báo.

Dữ liệu rộng rãi hơn cũng đã xác nhận quan điểm rằng “stablecoin là công cụ ưu tiên cho dòng tiền bất hợp pháp”. Báo cáo tội phạm của Chainalysis năm 2025 cho thấy vào năm 2024, stablecoin chiếm khoảng 63% tổng khối lượng giao dịch bất hợp pháp, điều này tạo ra sự chuyển biến đáng kể so với những năm trước khi BTC và ETH chiếm ưu thế trong các kênh rửa tiền.

Sự chuyển đổi này rất quan trọng cho việc thu hồi vốn: vì các nhà phát hành stablecoin tập trung có thể ngăn chặn giao dịch ở cấp độ token, và khi tiền trung gian đi vào giai đoạn cần thực hiện quy trình KYC, các nền tảng tập trung (như sàn giao dịch) sẽ trở thành “nút chặn” bổ sung.

Trong khi đó, Tổ chức Cảnh sát Hình sự Châu Âu cảnh báo rằng các tổ chức tội phạm có tổ chức đang nâng cấp phương thức phạm tội bằng cách sử dụng trí tuệ nhân tạo - điều này không chỉ có thể rút ngắn chu kỳ rửa tiền mà còn tự động hóa việc phân tách tài chính qua các mạng blockchain và các nền tảng dịch vụ khác nhau. Nếu có thể xác định địa chỉ mục tiêu của tiền bẩn, chìa khóa của hành động nằm ở việc thông báo sớm cho các bên phát hành token và sàn giao dịch.

Từ góc độ vĩ mô, tình hình thiệt hại của nạn nhân vẫn đang xấu đi.

Theo báo cáo từ “Trung tâm Khiếu nại Tội phạm Internet” thuộc FBI, thiệt hại do tội phạm mạng và lừa đảo vào năm 2024 đạt 16,6 tỷ USD, trong đó vụ lừa đảo đầu tư tiền điện tử tăng 66% so với năm trước. Từ năm 2024 đến 2025, các vụ ép buộc vật lý nhắm vào người nắm giữ tiền điện tử (đôi khi được gọi là “tấn công bằng cờ lê”) đã thu hút nhiều sự chú ý hơn - các vụ việc này thường liên quan đến cướp nhà, chiếm đoạt SIM (giành quyền kiểm soát SIM của người khác bằng các phương pháp gian lận) và kỹ thuật xã hội. TRM Labs (công ty an ninh blockchain) đã ghi nhận các xu hướng liên quan đến việc cướp bóc kiểu ép buộc này.

Mặc dù vụ án ở San Francisco chỉ liên quan đến một ngôi nhà, nhưng cách thức thực hiện lại có tính đại diện: xâm nhập thiết bị → ép buộc nạn nhân chuyển tiền hoặc xuất khẩu khóa riêng → nhanh chóng phân tán tài sản trên chuỗi → kiểm tra xem kênh rút tiền có khả thi hay không.

Các chính sách quản lý mới ở bang California, Hoa Kỳ đã thêm một biến số khác cho vụ việc này. Đạo luật Tài sản Tài chính Kỹ thuật số của bang sẽ có hiệu lực vào tháng 7 năm 2025, trao quyền cho “Bộ Bảo vệ và Đổi mới Tài chính” trong việc cấp phép và thực thi các hoạt động của các sàn giao dịch tiền điện tử và các tổ chức lưu ký nhất định.

Nếu bất kỳ “kênh rút lui” nào có liên quan đến California (chỉ các kênh để đổi tiền điện tử thành tiền pháp định), các nhà môi giới giao dịch ngoài sàn (OTC) hoặc nhà cung cấp dịch vụ lưu trữ tiếp cận được với số tiền bị đánh cắp này, khung pháp lý của “Luật Tài sản Tài chính Kỹ thuật số” có thể hỗ trợ họ hợp tác với các cơ quan thực thi pháp luật. Mặc dù đây không phải là một biện pháp trực tiếp để thu hồi tài sản tự quản, nhưng nó sẽ ảnh hưởng đến các bên đối tác mà kẻ trộm thường dựa vào để đổi tiền điện tử thành tiền pháp định.

Sự thay đổi chính sách ở các khu vực khác cũng sẽ ảnh hưởng đến diễn biến tiếp theo của vụ việc.

Theo phân tích pháp lý của văn phòng luật sư Wiener, Bộ Tài chính Hoa Kỳ đã gỡ bỏ Tornado Cash khỏi “Danh sách công dân được chỉ định đặc biệt” (danh sách cá nhân hoặc thực thể bị Mỹ trừng phạt) vào ngày 21 tháng 3 năm 2025, điều này đã thay đổi các yêu cầu tuân thủ khi tương tác với mã nguồn của công cụ trộn này.

Nhưng sự thay đổi này không hợp pháp hóa việc rửa tiền, cũng không làm giảm khả năng phân tích giao dịch trên chuỗi.

Tuy nhiên, nó thực sự đã làm giảm “sức răn đe” trước đây đã khiến một số người tham gia chuyển sang các công cụ trộn khác hoặc cầu nối chuỗi chéo. Nếu tài sản bị đánh cắp được sử dụng trước khi rút tiền qua các công cụ trộn truyền thống, hoặc được chuyển qua cầu nối chuỗi chéo sang stablecoin, thì công việc truy nguồn tài sản và giai đoạn kích hoạt quy trình KYC lần đầu vẫn sẽ là những điểm mấu chốt của vụ án.

Do vì địa chỉ ví liên quan chưa được công khai, các sàn giao dịch có thể lập kế hoạch cho các phương án ứng phó trong 14 đến 90 ngày tới dựa trên ba con đường cốt lõi. Bảng dưới đây dựa trên cấu trúc thị trường và tình hình quy định năm 2025, liệt kê “Mô hình chuyển tiền cấp một”, các chỉ số cần chú ý và khoảng xác suất cho việc đóng băng và thu hồi tài sản:

Dấu vết thời gian của vụ án có thể được suy luận dựa trên mô hình đã nêu ở trên.

Trong 24-72 giờ đầu tiên, cần tập trung vào việc hợp nhất và chuyển tiền sớm. Nếu địa chỉ liên quan bị lộ và tiền bao gồm stablecoin, cần ngay lập tức thông báo cho nhà phát hành khởi động quá trình xem xét danh sách đen; nếu tiền tồn tại dưới dạng Bitcoin hoặc Ethereum, cần theo dõi động thái của các công cụ trộn tiền, cầu nối chuỗi chéo, và xem có chuyển sang USDT trước khi rút thành tiền pháp định hay không.

Theo quy trình hợp tác của “Trung tâm khiếu nại tội phạm Internet”, nếu các nơi có dòng tiền vào cần thực hiện KYC, thường sẽ phát hành “Thư bảo toàn tài sản” và đóng băng các tài khoản liên quan đến sàn giao dịch trong vòng 7-14 ngày.

Trong vòng 30-90 ngày, nếu xuất hiện các đường giao dịch tiền ẩn danh, trọng tâm điều tra sẽ chuyển sang các manh mối ngoại tuyến, bao gồm thu thập chứng cứ thiết bị, hồ sơ liên lạc và các dấu vết liên quan đến lừa đảo “giao hàng giả” - Công việc truy tìm nguồn gốc tài chính của TRM Labs và các tổ chức tương tự cũng sẽ dần được thúc đẩy trong giai đoạn này.

Thiết kế ví đang được nâng cấp liên tục để đối phó với rủi ro bị ép buộc vật lý.

Năm 2025, phạm vi ứng dụng của “ví tính toán đa bên” và “ví trừu tượng tài khoản” sẽ mở rộng thêm, bổ sung các chức năng như kiểm soát chiến lược, phục hồi không cần hạt giống, hạn mức chuyển khoản hàng ngày và quy trình phê duyệt đa yếu tố - những thiết kế này có thể giảm thiểu rủi ro “tiết lộ điểm đơn” của khóa riêng trong các sự kiện cưỡng chế vật lý (tức là khóa riêng sẽ không bị lộ qua một thiết bị hoặc khâu đơn lẻ).

Chức năng “khóa thời gian” (chỉ cơ chế thiết lập độ trễ thực hiện giao dịch) ở mức hợp đồng và chức năng “giới hạn chi tiêu” có thể làm chậm tốc độ chuyển giao vốn có giá trị cao, nếu tài khoản bị đánh cắp, còn có thể tạo ra khoảng thời gian cảnh báo cho nhà phát hành hoặc sàn giao dịch.

Những biện pháp bảo vệ này không thể thay thế các quy tắc an toàn cơ bản trong việc sử dụng thiết bị và an toàn gia đình, nhưng có thể giảm khả năng thành công trong việc trộm cắp tiền khi tên trộm tiếp xúc với điện thoại di động hoặc máy tính xách tay.

Báo cáo của “Báo San Francisco Chronicle” đã cung cấp các sự kiện cốt lõi của vụ án, nhưng trang web chính thức của Sở Cảnh sát San Francisco vẫn chưa phát hành thông báo đặc biệt nào về vụ án này.

Tiến triển tiếp theo của vụ án sẽ phụ thuộc vào hai yếu tố lớn: một là địa chỉ mục tiêu liên quan có được công khai hay không, hai là bên phát hành stablecoin hoặc sàn giao dịch đã nhận được yêu cầu xem xét và can thiệp hay chưa.