Tác giả: Liam Akiba Wright
Dịch: Saoirse, Foresight News
Theo báo San Francisco Chronicle, vào khoảng 6 giờ 45 sáng ngày 22 tháng 11, một nghi phạm giả làm nhân viên giao hàng đã vào một căn nhà ở khu vực "Mission Dolores" gần giao lộ phố 18 và phố Dolores, khống chế cư dân và cướp đi một chiếc điện thoại, một máy tính xách tay cùng khoảng 11 triệu USD tiền điện tử.
Tính đến Chủ nhật, cảnh sát San Francisco vẫn chưa công bố bất kỳ vụ bắt giữ nào cũng như chưa cung cấp chi tiết cụ thể về tài sản bị cướp, hiện vẫn chưa tiết lộ mạng blockchain hoặc loại token liên quan đến số tiền điện tử bị đánh cắp.
Các vụ tấn công vật lý nhằm vào người sở hữu tiền điện tử không phải là cá biệt, một xu hướng đáng lo ngại đang dần xuất hiện.
Những vụ việc tương tự mà chúng tôi từng đưa tin bao gồm: một vụ cướp đột nhập ở Anh với số tiền liên quan là 4.3 triệu USD; vụ bắt cóc và tra tấn ở khu Soho, New York nhằm buộc nạn nhân giao quyền truy cập ví bitcoin; sự gia tăng các vụ bắt cóc liên quan đến tiền điện tử ở Pháp và các biện pháp đối phó của chính phủ; các biện pháp bảo vệ cực đoan của những người nổi tiếng sở hữu tiền điện tử (như "Gia đình Bitcoin") bằng cách phân tán cụm từ ghi nhớ ví trên nhiều châu lục để tăng cường an toàn; xu hướng các nhà đầu tư tiền điện tử có giá trị tài sản ròng cao thuê nhân viên bảo vệ; cũng như phân tích xu hướng "tấn công bằng cờ lê" (dùng bạo lực để ép buộc giao nộp tiền điện tử) và ưu nhược điểm của việc tự lưu ký tiền điện tử.
Sau vụ cướp, truy vết on-chain lập tức bắt đầu
Dù vụ cướp bắt đầu từ một cánh cửa nhà, nhưng số tiền bất chính thường vẫn sẽ di chuyển trên sổ cái blockchain công khai, điều này khiến việc truy vết trở nên khả thi — từ đó hình thành một "cuộc đua": một bên là các kênh rửa tiền, bên còn lại là các công cụ đóng băng và truy vết ngày càng hoàn thiện vào năm 2025. USDT trên TRON vẫn là yếu tố trọng tâm trong "cuộc đua" này.
Năm nay, nhờ sự hợp tác giữa các nhà phát hành token, mạng lưới blockchain và các công ty phân tích dữ liệu, năng lực đóng băng tài sản bất hợp pháp của toàn ngành đã được nâng cao. Theo báo cáo của "T3 Financial Crime Unit", kể từ cuối năm 2024, hàng trăm triệu USD token giao dịch bất hợp pháp đã bị đóng băng.
Nếu số tiền bị cướp bao gồm stablecoin, khả năng ngăn chặn dòng tiền trong ngắn hạn sẽ tăng lên đáng kể — vì các nhà phát hành stablecoin lớn sẽ phối hợp với cơ quan thực thi pháp luật và đối tác phân tích dữ liệu để đưa địa chỉ ví liên quan vào danh sách đen ngay khi nhận được thông báo.
Dữ liệu rộng hơn cũng xác nhận quan điểm rằng "stablecoin là công cụ ưu tiên cho dòng tiền bất hợp pháp". Báo cáo tội phạm năm 2025 của Chainalysis cho thấy, năm 2024, stablecoin chiếm khoảng 63% tổng khối lượng giao dịch bất hợp pháp, đánh dấu sự thay đổi rõ rệt so với những năm trước khi BTC và ETH chiếm ưu thế trong các kênh rửa tiền.
Sự thay đổi này rất quan trọng đối với việc thu hồi tài sản: vì các nhà phát hành stablecoin tập trung có thể ngăn chặn giao dịch ở cấp độ token, và khi dòng tiền đi vào các khâu yêu cầu thực hiện KYC, các nền tảng tập trung (như sàn giao dịch) sẽ trở thành "điểm chặn" bổ sung.
Trong khi đó, Europol cảnh báo rằng các tổ chức tội phạm có tổ chức đang sử dụng trí tuệ nhân tạo để nâng cấp phương thức hoạt động — điều này không chỉ rút ngắn chu kỳ rửa tiền mà còn tự động hóa việc phân tán tiền trên nhiều mạng blockchain và nền tảng dịch vụ khác nhau. Nếu có thể xác định được địa chỉ đích của số tiền bất chính, chìa khóa hành động là phải thông báo sớm cho nhà phát hành token và sàn giao dịch.
Ở góc độ vĩ mô, thiệt hại của nạn nhân vẫn đang xấu đi
Theo ghi nhận của "Trung tâm Khiếu nại Tội phạm Internet" thuộc FBI, năm 2024, các vụ tội phạm mạng và lừa đảo đã gây thiệt hại 16.6 billions USD, trong đó các vụ lừa đảo đầu tư tiền điện tử tăng 66% so với cùng kỳ năm trước. Trong giai đoạn 2024-2025, các vụ cưỡng ép vật lý nhằm vào người sở hữu tiền điện tử (đôi khi gọi là "tấn công bằng cờ lê") đã thu hút nhiều sự chú ý hơn — những vụ này thường kết hợp đột nhập nhà, chiếm đoạt SIM (giành quyền kiểm soát SIM của người khác bằng thủ đoạn lừa đảo) và các kỹ thuật xã hội, TRM Labs (công ty an ninh blockchain) đã ghi nhận các xu hướng liên quan đến loại trộm cắp cưỡng ép này.
Dù vụ việc ở San Francisco chỉ liên quan đến một căn hộ, nhưng phương thức gây án lại rất điển hình: xâm nhập thiết bị → ép nạn nhân chuyển tiền hoặc xuất khóa riêng tư → nhanh chóng phân tán tiền trên blockchain → kiểm tra tính khả thi của các kênh rút tiền.
Chính sách quản lý mới của bang California, Mỹ đã bổ sung thêm một biến số cho vụ án này. "Đạo luật Tài sản Tài chính Kỹ thuật số" của bang sẽ có hiệu lực từ tháng 7 năm 2025, trao quyền cấp phép và thực thi cho "Cục Bảo vệ và Đổi mới Tài chính" đối với các hoạt động của một số sàn giao dịch và tổ chức lưu ký tiền điện tử.
Nếu bất kỳ "kênh rút tiền" nào liên quan đến California (tức là kênh chuyển đổi tiền điện tử sang tiền pháp định), các nhà môi giới OTC hoặc nhà cung cấp dịch vụ lưu trữ tiếp xúc với số tiền bị đánh cắp này, khung pháp lý của "Đạo luật Tài sản Tài chính Kỹ thuật số" sẽ hỗ trợ họ phối hợp với cơ quan thực thi pháp luật. Dù đây không phải là biện pháp trực tiếp để thu hồi tài sản tự lưu ký, nhưng sẽ ảnh hưởng đến các đối tác mà kẻ trộm thường dựa vào để chuyển đổi tiền điện tử sang tiền pháp định.
Các thay đổi chính sách ở khu vực khác cũng sẽ ảnh hưởng đến diễn biến vụ án
Theo phân tích pháp lý của hãng luật Venable, Bộ Tài chính Mỹ đã loại bỏ Tornado Cash khỏi "Danh sách Công dân Đặc biệt" (danh sách các cá nhân hoặc tổ chức bị Mỹ trừng phạt) vào ngày 21 tháng 3 năm 2025, điều này thay đổi yêu cầu tuân thủ khi tương tác với mã nguồn của mixer này.
Tuy nhiên, thay đổi này không hợp pháp hóa hoạt động rửa tiền, cũng không làm giảm khả năng phân tích giao dịch on-chain.
Dù vậy, nó thực sự làm suy yếu "tác dụng răn đe" trước đây khiến một số người tham gia chuyển sang các mixer hoặc cầu nối cross-chain khác. Nếu số tiền bị đánh cắp sử dụng mixer truyền thống trước khi rút, hoặc chuyển sang stablecoin qua cầu nối cross-chain, công tác truy vết và các khâu đầu tiên kích hoạt KYC vẫn sẽ là các điểm then chốt của vụ án.
Do địa chỉ ví liên quan chưa được công khai, các nền tảng giao dịch có thể lên kế hoạch ứng phó trong 14 đến 90 ngày tới dựa trên ba hướng chính. Bảng dưới đây, dựa trên cấu trúc thị trường và tình hình quản lý năm 2025, liệt kê "mô hình chuyển tiền cấp một", các chỉ số cần chú ý cũng như khoảng xác suất đóng băng và thu hồi tài sản:
Manh mối về dòng thời gian vụ án có thể được suy luận dựa trên mô hình trên.
Trong 24-72 giờ đầu tiên, cần đặc biệt chú ý đến việc hợp nhất và chuyển tiền sớm. Nếu địa chỉ liên quan bị lộ và số tiền bao gồm stablecoin, cần thông báo ngay cho nhà phát hành để bắt đầu kiểm tra danh sách đen; nếu tiền ở dạng bitcoin hoặc ethereum, cần theo dõi động thái của mixer, cầu nối cross-chain, cũng như việc chuyển sang USDT trước khi rút sang tiền pháp định.
Theo quy trình phối hợp của "Trung tâm Khiếu nại Tội phạm Internet", nếu tiền chảy vào nơi yêu cầu KYC, thường trong vòng 7-14 ngày sẽ có "thư bảo toàn tài sản" và đóng băng tài khoản liên quan trên sàn giao dịch.
Trong 30-90 ngày, nếu xuất hiện đường đi qua các đồng tiền riêng tư, trọng tâm điều tra sẽ chuyển sang các manh mối ngoài chuỗi, bao gồm giám định thiết bị, ghi chép liên lạc và dấu vết liên quan đến trò lừa đảo "giả danh giao hàng" — công tác truy vết của TRM Labs và các tổ chức tương tự cũng sẽ được đẩy mạnh trong giai đoạn này.
Thiết kế ví tiếp tục nâng cấp để đối phó rủi ro cưỡng ép vật lý
Năm 2025, phạm vi ứng dụng của "ví tính toán đa bên" và "ví trừu tượng hóa tài khoản" tiếp tục mở rộng, bổ sung các chức năng kiểm soát chiến lược, khôi phục không cần seed, giới hạn chuyển khoản hàng ngày và quy trình phê duyệt đa yếu tố — những thiết kế này giúp giảm rủi ro "lộ điểm đơn" của khóa riêng tư trong các vụ cưỡng ép vật lý (tức là khóa riêng tư không bị lộ qua một thiết bị hoặc khâu duy nhất).
Các chức năng "khóa thời gian" ở cấp hợp đồng (tức là thiết lập cơ chế trì hoãn thực hiện giao dịch) và "giới hạn chi tiêu" có thể làm chậm tốc độ chuyển tiền giá trị lớn, nếu tài khoản bị đánh cắp còn tạo ra khoảng thời gian để cảnh báo cho nhà phát hành hoặc sàn giao dịch.
Những biện pháp bảo vệ này không thể thay thế các quy tắc an toàn cơ bản về sử dụng thiết bị và an ninh gia đình, nhưng có thể giảm khả năng kẻ trộm thành công khi tiếp cận điện thoại hoặc máy tính xách tay.
Báo cáo của San Francisco Chronicle đã cung cấp các thông tin cốt lõi của vụ án, nhưng trang web của Sở Cảnh sát San Francisco vẫn chưa đăng thông báo chuyên biệt nào về vụ việc này.
Diễn biến tiếp theo của vụ án sẽ phụ thuộc vào hai yếu tố lớn: một là liệu địa chỉ mục tiêu liên quan có được công khai hay không, hai là nhà phát hành stablecoin hoặc sàn giao dịch đã nhận được yêu cầu kiểm tra và can thiệp hay chưa.
