Một người dùng Bitcoin vừa mất 91 triệu USD trong một giao dịch vì bị lừa đảo kỹ nghệ social, theo nhà điều tra blockchain ZachXBT, và số Bitcoin bị đánh cắp sau đó được che giấu qua ví tập trung vào quyền riêng tư.
Nạn nhân bị kẻ giả mạo đội hỗ trợ sàn giao dịch và ví phần cứng dẫn dụ, chuyển 783 Bitcoin trong một lần. Dữ liệu on-chain cho thấy kẻ tấn công rửa tiền qua Wasabi Wallet, trong khi ZachXBT loại trừ nhóm Lazarus của Triều Tiên là thủ phạm.
- Mất 91 triệu USD do kỹ nghệ social: 783 BTC bị chuyển trong một giao dịch, sau đó rửa qua Wasabi Wallet.
- ZachXBT loại trừ Lazarus; thủ đoạn giả mạo hỗ trợ sàn, ví phần cứng gia tăng, đặc biệt với Ledger, Trezor.
Vụ mất 91 triệu USD diễn ra như thế nào?
Nạn nhân bị lừa bởi những kẻ mạo danh đội hỗ trợ sàn tiền điện tử và ví phần cứng, chuyển 783 Bitcoin (BTC) trong một giao dịch, theo ZachXBT.
Thông tin được ZachXBT công bố trên X khẳng định đây là cú lừa dựa trên kỹ nghệ social, khai thác niềm tin để chiếm đoạt quyền kiểm soát. Con số 783 BTC tương đương khoảng 91 triệu USD tại thời điểm giao dịch, phản ánh mức thiệt hại cực lớn chỉ trong vài phút.
Vụ việc tái khẳng định xu hướng kẻ gian nhắm vào con người thay vì lỗ hổng kỹ thuật, đặc biệt khi nạn nhân sở hữu lượng tài sản đáng kể và có thói quen tương tác với “hỗ trợ kỹ thuật”.
Giao dịch bị đánh cắp xảy ra khi nào và dòng tiền đi đâu?
Giao dịch diễn ra lúc 11:06 UTC, tương đương 18:06 giờ Việt Nam, thứ 3. Ngày hôm sau, tiền bị rửa qua Wasabi Wallet.
Dữ liệu on-chain cho thấy kẻ tấn công nhận tiền vào địa chỉ sạch bc1qyxyk rồi sử dụng tính năng quyền riêng tư của Wasabi Wallet để che mờ dấu vết, theo ZachXBT. Bạn có thể xem địa chỉ giao dịch tại công cụ explorer độc lập để đối chiếu luồng tiền.
Việc dùng Wasabi phản ánh mục tiêu làm gián đoạn khả năng truy vết, một chiến thuật quen thuộc sau các vụ đánh cắp lớn để phân tán và hợp thức hóa tài sản.
Lazarus Group có liên quan không?
Không. ZachXBT cho biết không xác định được nghi phạm nhưng loại trừ Lazarus Group của Triều Tiên.
Theo mô tả, tiền được chuyển vào một địa chỉ sạch trước khi vào Wasabi Wallet, không cho thấy các dấu hiệu trùng khớp mẫu hành vi thường được gán cho Lazarus. ZachXBT cũng lưu ý trùng hợp rằng vụ tấn công diễn ra đúng một năm sau vụ trộm 243 triệu USD nhắm vào chủ nợ Genesis.
Việc loại trừ Lazarus giúp khoanh vùng điều tra vào mô hình lừa đảo dựa trên mạo danh hỗ trợ kỹ thuật, thay vì tấn công tinh vi vào hạ tầng sàn.
Vì sao tấn công kỹ nghệ social vẫn hiệu quả?
Vì nó khai thác yếu tố con người: sợ hãi, cấp bách, tin tưởng sai chỗ, khiến nạn nhân tự giao quyền truy cập.
Các cuộc tấn công thường kết hợp gọi điện, email, tin nhắn, trang web giả để dẫn dụ cung cấp khóa riêng hoặc cụm khôi phục. Một khi thông tin lộ, tài sản trên ví tự quản rất khó cứu vãn vì giao dịch blockchain là không thể đảo ngược.
Những kẻ lừa đảo còn sử dụng công cụ hỗ trợ từ xa, giả danh “cập nhật bảo mật” để thao túng thao tác ký giao dịch của người dùng, đặc biệt với ví phần cứng.
Kẻ gian giả mạo hỗ trợ sàn và ví phần cứng như thế nào?
Chúng giả mạo liên hệ chính thức, mượn danh Ledger, Trezor… yêu cầu cụm khôi phục hoặc hướng dẫn “cập nhật bảo mật”.
Cuối tháng 4, những kẻ giả mạo Ledger gửi thư đóng dấu công ty, yêu cầu người dùng cung cấp cụm khôi phục để “khắc phục sự cố” và đe dọa hạn chế truy cập ví nếu không tuân thủ. Cũng trong tháng đó, một công dân lớn tuổi tại Hoa Kỳ mất hơn 330 triệu USD Bitcoin vì kỹ nghệ social, gây chấn động cộng đồng.
Đây là mô hình lặp lại: tạo cảm giác khẩn cấp, yêu cầu hành động ngay, và dẫn dụ tiết lộ thông tin tối mật hoặc ký giao dịch không kiểm tra kỹ.
Quy mô trộm cắp tiền điện tử năm 2025 ra sao?
Trong 5 tháng đầu 2025, thiệt hại do các vụ tấn công liên quan tiền điện tử vượt 2,1 tỷ USD, theo CertiK (tháng 6).
CertiK cho biết phần lớn tổn thất đến từ các sự cố thỏa hiệp ví và phishing, cho thấy mảng an toàn người dùng vẫn là mắt xích yếu. Sự cố lớn nhất tính đến lúc đó là vụ khai thác 1,4 tỷ USD nhắm vào sàn Bybit trong tháng 2, dù nền tảng lớn và thường xuyên được kiểm toán.
Những con số này cho thấy tội phạm mạng vẫn khai thác thành công cả mục tiêu cá nhân lẫn doanh nghiệp, với thủ đoạn kết hợp kỹ thuật và tâm lý.
Làm sao giảm rủi ro bị lừa đảo kỹ nghệ social?
Nguyên tắc cốt lõi: xác minh độc lập mọi liên hệ, không cung cấp cụm khôi phục hoặc khóa riêng trong bất kỳ tình huống nào.
– Luôn truy cập trang chính thức bằng cách tự gõ hoặc bookmark. – Không cài phần mềm/extension theo hướng dẫn từ người lạ. – Bật xác thực đa yếu tố không qua SMS. – Tách ví lưu trữ dài hạn và ví giao dịch, hạn mức thấp. – Kiểm tra kỹ chi tiết giao dịch trên màn hình ví phần cứng trước khi ký.
“Hãy giả định rằng mọi cuộc gọi hoặc email bạn nhận đều là lừa đảo theo mặc định.”
ZachXBT, nhà điều tra blockchain, trả lời trên X. Nguồn: X.com (liên hệ hỏi đáp với @JoeyMooose, tham chiếu bài đăng ngày thứ 5 của ZachXBT)
Bài học an toàn về cụm khôi phục và ví phần cứng?
Cụm khôi phục là chìa khóa sinh mạng của ví. Không ai có quyền yêu cầu bạn tiết lộ, kể cả “hỗ trợ kỹ thuật”.
Nếu ai đó yêu cầu cung cấp cụm 12/24 từ hoặc hướng dẫn nhập cụm vào trang/ứng dụng lạ, đó là lừa đảo. Với ví phần cứng, chỉ cập nhật firmware qua phần mềm chính hãng, kiểm tra URL và chữ ký số. Lưu trữ cụm khôi phục ngoại tuyến, phân tách vị trí, tránh chụp ảnh hoặc lưu trên đám mây.
“Ledger sẽ không bao giờ yêu cầu bạn cung cấp cụm khôi phục 24 từ của mình.”
Ledger Support, Trung tâm hỗ trợ chính thức. Nguồn: Hướng dẫn tránh phishing của Ledger
Những việc nên làm ngay nếu nghi ngờ bị lộ khóa?
Chuyển tài sản sang ví mới, cụm mới ngay lập tức. Thu hồi quyền truy cập ứng dụng bên thứ 3, thu hồi Token approvals, và rà soát máy tính khỏi phần mềm điều khiển từ xa.
Liên hệ đội ngũ bảo mật của sàn/ứng dụng liên quan qua kênh chính thức, cung cấp hash giao dịch và địa chỉ. Lưu giữ bằng chứng, báo cáo cơ quan chức năng tại địa phương để hỗ trợ điều tra.
Bảng tóm tắt các thủ đoạn phổ biến và cách nhận diện
Dưới đây là mô tả ngắn gọn các chiêu thức thường gặp và hành động phòng tránh khuyến nghị.
| Thủ đoạn | Dấu hiệu nhận diện | Hành động an toàn |
|---|---|---|
| Giả mạo hỗ trợ sàn/ví cứng | Yêu cầu cụm khôi phục, tạo cảm giác khẩn cấp, số điện thoại/email lạ | Không cung cấp cụm; đóng liên hệ; tự vào trang chính thức để kiểm tra |
| Email/SMS phishing | Liên kết lạ, lỗi chính tả, tên miền na ná | Không bấm liên kết; xác minh URL; bật cảnh báo bảo mật trình duyệt |
| Cập nhật phần mềm giả | File cài đặt qua chat/email, yêu cầu tắt bảo mật | Chỉ tải từ website chính hãng; kiểm tra checksum/chữ ký số |
| Công cụ điều khiển từ xa | Đề nghị cài AnyDesk/TeamViewer để “hỗ trợ” | Từ chối; không cấp quyền điều khiển máy có ví |
| SIM swap | Mất sóng bất thường, OTP thất bại | Dùng app-based 2FA; khóa SIM; liên hệ nhà mạng ngay |
Nguồn và tham chiếu chính
– Bài đăng của ZachXBT về vụ việc và dòng tiền: X.com/ZachXBT. – Dữ liệu on-chain giao dịch: trình khám phá blockchain độc lập. – Trao đổi về phòng tránh kỹ nghệ social: thảo luận trên X liên quan. – Số liệu tổn thất 5 tháng đầu 2025: CertiK, báo cáo tháng 6/2025. – Hướng dẫn chống phishing: Ledger Support, Trung tâm hỗ trợ.
Những câu hỏi thường gặp
Vì sao kẻ gian dùng Wasabi Wallet để rửa tiền?
Vì Wasabi cung cấp tính năng quyền riêng tư như coinjoin, giúp làm mờ luồng tiền on-chain. Đây là bước thường thấy sau các vụ đánh cắp lớn để cản trở truy vết.
Làm sao xác minh liên hệ hỗ trợ là chính hãng?
Không trả lời link/điện thoại gửi đến. Tự gõ địa chỉ trang chính thức, đăng nhập và mở ticket trong hệ thống. So khớp tên miền, chứng chỉ HTTPS và tài khoản mạng social đã xác minh.
Nếu đã chia sẻ cụm khôi phục thì còn cứu được không?
Hầu như không. Hãy lập cụm mới trên ví mới, chuyển toàn bộ tài sản ngay. Thu hồi quyền ứng dụng, kiểm tra thiết bị và liên hệ sàn/ứng dụng để hỗ trợ điều tra.
Bitcoin có thể đảo ngược giao dịch không?
Không. Giao dịch Bitcoin là bất biến. Cách duy nhất là phòng ngừa và phản ứng siêu nhanh để chuyển tài sản trước khi bị rút hết.
Lazarus Group có bị nghi ngờ trong vụ này?
Không. Theo ZachXBT, Lazarus bị loại trừ. Dòng tiền và cách thức không trùng mẫu hành vi thường quy của nhóm này.
