Khi private key phải đối mặt với phương pháp tấn công vét cạn thực sự, số dư Chuỗi của bạn sẽ trở thành một bản đồ săn tìm.
Bài viết bởi: ChandlerZ, Foresight News
"Toàn thân tôi đầy vết bầm tím. Tôi đã cố gắng hết sức để chống trả, nhưng tay chân tôi đều bị thương, lại còn bị rìu chém nữa, nên tôi chẳng thể làm gì được."
Vào ngày 5 tháng 3 năm 2026, người có ảnh hưởng crypto, sillytuna, đã đăng một dòng tweet rất ngắn gọn cho biết cô vừa bị tấn công dã man và mất khoảng 24 triệu đô la Mỹ stablecoin) loại AUSD, mô tả vụ việc có liên quan đến bạo lực, vũ khí, bắt cóc và đe dọa hiếp dâm. Cảnh sát đã can thiệp.
Sillytuna là người nắm giữ của Punk #7523 (thường được biết đến với tên gọi "Covid Alien"), một NFT đã được bán với giá 11,7 triệu đô la tại Sotheby's vào năm 2021, lập kỷ lục về mức giá cao nhất từng được trả cho một Punk duy nhất tại phiên đấu giá.
Bài đăng trên Twitter này nhanh chóng lan truyền trong cộng đồng crypto. Công ty bảo mật PeckShield đã phát hiện các giao dịch trên Chuỗi và ban đầu đánh dấu là một "cuộc tấn công đầu độc", một kỹ thuật lừa người dùng chuyển tiền bằng cách ngụy tạo các địa chỉ tương tự.
Theo dõi bởi PeckShield, hiện có khoảng 20 triệu Dai nằm trong hai ví do kẻ tấn công kiểm soát (chưa được trộn lẫn): một địa chỉ bắt đầu bằng 0xdCA9 (khoảng 10 triệu USD) và một địa chỉ bắt đầu bằng 0xd0c2 (khoảng 10 triệu USD). Kẻ tấn công đã bắt đầu chuyển những khoản tiền nhỏ giữa Chuỗi sang Arbitrum .
Có sự mâu thuẫn rõ ràng giữa hai lời khai. Nếu đó là một vụ tấn công bằng chất độc, nạn nhân đã bị lừa chuyển tiền một cách tự nguyện, và bạo lực thể xác không phải là điều kiện tiên quyết. Nếu đó là cưỡng bức thể xác, kẻ tấn công đã biết danh tính và địa chỉ thật của nạn nhân.
Chi tiết vụ việc vẫn đang chờ cảnh sát điều tra và xác nhận, và một số thành viên cộng đồng đã đặt câu hỏi liệu đó có phải là một "bài đăng gây chú ý" hay không. Tuy nhiên, bất kể kết luận cuối cùng của vụ việc này là gì, sự hoảng loạn mà nó gây ra đã cho thấy một điều:
Trong thế giới tài sản crypto minh bạch cao độ hiện nay, chỉ một sai sót nhỏ về thông tin Chuỗi cũng có thể dẫn đến hậu quả nghiêm trọng.
Đây không phải là trường hợp cá biệt: Các vụ tấn công vật lý đã tăng 169% vào năm 2025.
"Tấn công bằng vũ lực" (wrench attack) là hình thức tấn công mà kẻ tấn công sử dụng các phương tiện vật lý như bạo lực, đe dọa hoặc bắt cóc để buộc nạn nhân giao nộp private key . Loại tấn công này không dựa vào các lỗ hổng kỹ thuật mà nhắm trực tiếp vào những cá nhân đứng sau tài sản crypto .
Theo báo cáo do CertiK công bố, "các cuộc tấn công bằng cờ lê" đã tăng 75% trong năm 2025, khiến bạo lực vật lý trở thành một mối đe dọa đáng kể trong không gian crypto.
Về các hình thức tấn công, báo cáo chỉ ra rằng bắt cóc vẫn là phương thức tấn công chính, với 25 vụ việc trong suốt năm; các vụ tấn công trực tiếp tăng trưởng 250% so với năm trước, trở thành một trong những thay đổi đáng báo động nhất. Về mặt địa lý, châu Âu lần đầu tiên trở thành khu vực rủi ro cao nhất trên toàn cầu. Năm 2025, châu Âu sẽ chiếm hơn 40% số vụ việc được biết đến trên toàn cầu, trong đó Pháp ghi nhận số vụ tấn công cao nhất, vượt qua Hoa Kỳ. Về tác động tài chính, thiệt hại được xác nhận liên quan đến các vụ tấn công bằng cờ lê đã vượt quá 40,9 triệu đô la vào năm 2025, tăng trưởng 44% so với năm trước.
Jameson Lopp, Giám đốc An ninh của công ty bảo mật Bitcoin Casa và là người theo dõi lâu năm các vụ tấn công vật lý, duy trì một cơ sở dữ liệu hiện bao gồm hơn 225 trường hợp đã được xác minh. Năm 2025, danh sách này tăng trưởng với tốc độ chưa từng có, và năm 2026, dữ liệu này tiếp tục tăng nhanh chóng.
Hơn nữa, con số thực tế có thể cao hơn nhiều, vì lượng lớn nạn nhân vẫn im lặng vì sợ hãi, lo ngại về quyền riêng tư hoặc không tin tưởng lực lượng thực thi pháp luật. Nhóm nạn nhân không chỉ giới hạn ở tầng lớp tinh hoa crypto, mà còn bao gồm giáo viên, công nhân xây dựng, lính cứu hỏa và gia đình của họ.
Ba vụ án mang tính bước ngoặt trong năm 2025
Trường hợp 1: Đồng sáng lập Ledger bị bắt cóc, các ngón tay bị chặt đứt (Pháp, tháng 1 năm 2025)
Vào tháng 1 năm 2025, David Balland, đồng sáng lập công ty ví phần cứng tiền crypto Ledger, và vợ ông đã bị bắt cóc khỏi nhà riêng ở Vierzon, một thành phố ở miền trung nước Pháp, và bị giam giữ riêng biệt. Sau đó, những kẻ tấn công đã gửi một video quay cảnh ngón tay bị cắt rời của Balland cho Eric Larchevêque, một đồng sáng lập khác của Ledger, đòi tiền chuộc crypto tương đương 10 triệu euro.
Sau sự can thiệp của lực lượng cảnh sát tinh nhuệ GIGN (Nhóm Can thiệp Hiến binh Quốc gia) của Pháp, Balland đã được tìm thấy và giải cứu thành công; vợ ông được tìm thấy vài giờ sau đó trong một chiếc xe tải. Gần như toàn bộ số tiền chuộc đã được truy tìm, đóng băng và tịch thu. Mười nghi phạm, tuổi từ 20 đến 40, đã bị bắt giữ, và các công tố viên tuyên bố rằng nếu bị kết tội, họ có thể phải đối mặt với án tù chung thân.
Trường hợp 2: Con gái của CEO Paymium bị tấn công trên đường phố Paris (Pháp, tháng 5 năm 2025)
Vào sáng ngày 13 tháng 5 năm 2025, Pierre Noizat, Giám đốc điều hành của sàn giao dịch crypto Paymium của Pháp, đang đi dạo cùng cháu trai nhỏ trên đường phố quận 11 của Paris thì bị ba người đàn ông đeo mặt nạ chặn lại và cố gắng ép buộc họ lên một chiếc xe tải.
Vụ tấn công xảy ra giữa ban ngày trên một con phố đông đúc và đã được camera giám sát ghi lại. Con gái của bà Noizat đã chống trả, giằng lấy trong đó khẩu súng và ném xuống đất; những người qua đường sau đó cũng tham gia, một người nhặt súng lên và chĩa vào những kẻ tấn công, trong khi người khác dùng bình chữa cháy để giải tán chúng. Ba kẻ tấn công cuối cùng rút lui trong hoảng loạn.
Sau khi vụ việc leo thang, nhà chức trách Pháp đã mở cuộc điều tra các vụ án liên quan, lấy vụ bắt cóc bất thành lần làm trọng tâm, và khởi kiện tổng cộng 25 người, trong đó 6 trẻ vị thành niên. Chi tiết này đã gây ra lượng lớn tranh luận trên các phương tiện truyền thông tiếng Pháp về "sự Mexico hóa nước Pháp".
Trường hợp 3: Cựu sĩ quan cảnh sát Mỹ phát động cuộc tấn công crypto(Los Angeles, 2024-2025)
Cuối năm 2024, một cựu sĩ quan Sở Cảnh sát Los Angeles (LAPD) đã bị bồi thẩm đoàn kết tội dùng vũ lực ép buộc crypto người nắm giữ tiền điện tử chuyển khoảng 350.000 đô Bitcoin. Vụ án này đặc biệt vì thủ phạm có bối cảnh ngành thực thi pháp luật — nghĩa là anh ta có kiến thức chuyên môn về cách né tránh sự giám sát và cách thực hiện hành vi cưỡng ép.
Phán quyết này đã được cộng đồng crypto trích dẫn rộng rãi vì nó phá vỡ quan niệm cố hữu rằng "các cuộc tấn công vật lý chỉ đến từ tội phạm đường phố".
Tại sao người nắm giữ crypto lại đặc biệt dễ bị tổn thương, và người dùng có thể làm gì?
Kết luận cốt lõi của báo cáo CertiK là tin tặc đang chủ động lọc mục tiêu dựa trên phân tích rủi ro - lợi nhuận ích, ưu tiên các tổ hợp "lợi nhuận tiềm năng cao và khả năng phòng thủ an ninh thấp". Logic này đã dẫn đến bốn loại mục tiêu điển hình.
Mục tiêu trực tiếp nhất là nhà đầu tư bán lẻ công khai tài sản vị thế giữ trên mạng xã hội, với số dư Chuỗi có thể kiểm chứng và hầu như không có bảo mật. Các giám đốc điều hành ngành và người sáng lập giao thức đại diện cho giá trị cao hơn và, mặc dù thường được bảo vệ, vẫn dễ bị tấn công khi đi du lịch hoặc tham dự các sự kiện công cộng. Loại thứ ba là gia đình và bạn bè, thường bị bỏ qua. Tội phạm biết rằng khi vợ/chồng, con cái hoặc cha mẹ già bị điều khiển, mục tiêu chính sẽ bỏ qua bất kỳ giao thức bảo mật nào. Hơn nữa, nhiều thành viên gia đình thường thiếu đào tạo an ninh vận hành cơ bản, dẫn đến mức độ bảo vệ thấp hơn nhiều so với mục tiêu chính. Loại thứ tư là các nhà giao dịch OTC. Kẻ tấn công ngụy trang các giao dịch ngoại tuyến thành các cuộc họp kinh doanh thông thường, và ngay khi nạn nhân xuất trình bằng chứng về tài sản, chúng sẽ lập tức tiến hành chiếm đoạt.
Trong khi đó, các phương pháp giám sát tấn công đã nâng cấp từ việc theo dõi con người sang phân tích dấu vết kỹ thuật số dựa trên OSINT (Tình báo nguồn mở), với việc kẻ tấn công xác định các điểm yếu trong hệ thống phòng thủ của mục tiêu trước đó vài tuần. Trong giai đoạn xâm nhập, giả danh tài xế giao hàng hoặc nhân viên điện nước vẫn là phương pháp xâm nhập hiệu quả nhất, khiến nạn nhân không được chuẩn bị về mặt tâm lý. Sau khi vào được bên trong, kẻ tấn công triển khai túi Faraday và thiết bị gây nhiễu tín hiệu để cắt đứt kết nối mạng và cô lập nạn nhân khỏi gia đình của họ.
Kỷ nguyên chỉ dựa vào Cụm từ hạt giống đã qua rồi. Con người vẫn là điểm yếu dễ bị tổn thương nhất trong toàn bộ hệ thống an ninh.
Ở cấp độ cá nhân, bước quan trọng nhất là thiết lập một kiến trúc riêng biệt cho "ví mồi" và ví chính. Ví mồi cần chứa một lượng tài sản nhỏ, có vẻ hợp lý; số lượng quá nhỏ sẽ kích động kẻ tấn công và gây ra thêm bạo lực. Trong trường hợp bị ép buộc, nó cung cấp một lối thoát thỏa hiệp, bảo vệ tài sản chính khỏi sự xâm nhập. Trong khi đó, Cụm từ hạt giống và thiết bị ký không bao giờ được lưu trữ ở cùng một nơi; lý tưởng nhất là Cụm từ hạt giống nên được lưu trữ trong két an toàn của ngân hàng, chứ không phải để ở nhà.
Trong cuộc sống hàng ngày, nguyên tắc cơ bản là "đừng khoe khoang"; tránh đăng tải địa chỉ ví, ảnh chụp màn hình tài sản hoặc kế hoạch du lịch lên bất kỳ nền tảng công cộng nào. Khi đi du lịch, hãy sử dụng điện thoại di động chuyên dụng với quyền truy cập tài khoản tối thiểu và không cài đặt các ứng dụng ví điện tử giá trị cao trên các thiết bị thường dùng hàng ngày. Các giao dịch giá trị cao chỉ nên được thực hiện trên một máy tính chuyên dụng mà bạn không mang theo bên mình.
Đối với các cá nhân và tổ chức nắm giữ lượng tài sản lớn, báo cáo đưa ra hai công cụ có cấu trúc: các phương án đa chữ ký (như 2/3 hoặc 3/5) về cơ bản loại bỏ khả năng một người bị ép buộc chuyển tiền; và các hợp đồng có thời hạn quy định sự chậm trễ bắt buộc đối với việc rút tiền vượt quá một ngưỡng nhất định, tạo ra cơ hội cho sự can thiệp từ bên ngoài.
Ngoài ra, CertiK đã liệt kê ba dấu hiệu cảnh báo cần đề phòng: nhận mã xác thực hai yếu tố không mong muốn (điều này có thể có nghĩa là kẻ tấn công đã có được thông tin đăng nhập kỹ thuật số của bạn và đang kiểm tra phản hồi); các sự kiện bất thường trong đời thực như nhận hàng giao mà không đặt lệnh; bị quấy rối liên tục để xác nhận xem có ai ở nhà hay không; và những tin nhắn đột ngột từ những người quen lâu ngày không gặp nhấn mạnh sự cần thiết phải gặp mặt trực tiếp. Ba dấu hiệu này xuất hiện nhiều lần trong cơ sở dữ liệu vụ việc, nhưng hiếm khi được các nạn nhân nhận ra là nguy hiểm vào thời điểm đó.
Đây không chỉ là vấn đề an toàn cá nhân.
Lần giá Bitcoin đạt Cao nhất mọi thời đại (ATH), cơ sở dữ liệu của Jameson Lopp lại nhận được một loạt dữ liệu mới. Ông đã theo dõi mối tương quan giữa giá cả và bạo lực này trong gần một thập kỷ.
Ngành công nghiệp crypto đã dành mười lăm năm để giải quyết vấn đề bảo mật private key, xây dựng các ví, giao thức và kiến trúc đa chữ ký ngày càng khó bị hacker. Nhưng khi kẻ tấn công nhắm vào cơ thể con người, những biện pháp phòng vệ kỹ thuật này gần như trở nên vô dụng.
Vụ việc sillytuna vẫn còn gây tranh cãi, nhưng nó đặt ra một câu hỏi thực sự: khi tính minh bạch trong tài sản crypto trở thành điểm bán hàng hấp dẫn cho ngành công nghiệp này, liệu nó cũng đang tạo ra một "bản đồ săn mồi" cho một số cá nhân nhất định?
Pháp đã bắt đầu thảo luận về việc liệu có cần một khuôn khổ pháp lý chuyên biệt để chống lại tội phạm tống crypto hay không, trong khi các cơ quan thực thi pháp luật ở Anh, Singapore và các khu vực khác đang cập nhật chỉ dẫn an toàn cá nhân cho người nắm giữ tài sản kỹ thuật số.
Người tiếp theo bị dồn vào đường cùng bằng rìu không nhất thiết phải là một tỷ phú. Họ có thể chỉ là một người dùng bình thường có số dư Chuỗi mà người khác có thể nhìn thấy.
