Một vụ án tuyệt đối "im hơi lặng tiếng"
Ngày 2/8, Arkham Intelligence, một trong những nền tảng phân tích blockchain, đã công bố những phát hiện mới nhất về vụ trộm Bitcoin "bí hiểm" nhất trên thế giới số.
Theo báo cáo chi tiết từ Arkham, pool đào Bitcoin LuBian của Trung Quốc đã bị hack vào ngày 28/12/2020, với 127.426 Bitcoin bị đánh cắp - tương đương 3,5 tỷ USD theo giá Bitcoin thời điểm đó. Về giá trị bị đánh cắp, quy mô của vụ trên được xem là lớn nhất trong lịch sử tiền tiền số và nếu tính theo giá Bitcoin hiện tại dao động quanh 114.000 USD, số tiền này đã "phình to" lên thành 14,5 tỷ USD.
Ngoài ra, Arkham Intelligence không phải là một tổ chức bình thường. Được thành lập bởi các chuyên gia từ Goldman Sachs và Palantir, công ty này chuyên sử dụng AI và machine learning để phân tích các giao dịch blockchain. Họ đã từng hỗ trợ FBI và các cơ quan thực thi pháp luật theo dõi các vụ tội phạm tiền số lớn. Chính danh tiếng này khiến phát hiện của họ được cộng đồng tiền số quốc tế chú ý đặc biệt.
Để hiểu rõ hơn về tính chất vụ án, chúng ta cần biết rằng, LuBian không phải là một pool đào nhỏ lẻ mà từng là pool đào Bitcoin lớn thứ 6 thế giới vào năm 2020. Theo dữ liệu từ BTC.com và Blockchain.info, vào cuối năm 2020, LuBian kiểm soát khoảng 8-10% tổng hashrate của mạng lưới Bitcoin toàn cầu. Điều này có nghĩa là họ xử lý hàng trăm nghìn giao dịch Bitcoin mỗi ngày và quản lý một lượng Bitcoin khổng lồ cho hàng nghìn thợ đào.
| |
Tiền từ LuBian bị đánh cắp thông qua nhiều giao dịch được ghi lại trên onchain. Nguồn: Arkham Intelligence. |
Đáng chú ý, ngay sau khi bị tấn công, LuBian đã nhanh chóng di chuyển 11.886 Bitcoin còn lại - khoảng 10% tổng số Bitcoin của pool - vào các ví khôi phục. Con số này cho thấy quy mô thực sự của hoạt động LuBian: tổng cộng họ đã quản lý gần 140.000 Bitcoin, tương đương khoảng 0,67% tổng nguồn cung Bitcoin toàn cầu.
Song, điểm làm cho vụ tấn công này trở nên khác biệt so với các vụ án khác đó là sự im lặng tuyệt đối từ cả hai phía. Arkham Intelligence nhấn mạnh rằng "cả nền tảng và hacker đều không công khai cuộc tấn công vào thời điểm đó." Điều này hoàn toàn trái ngược với các vụ hack tiền số thông thường.
Thông thường, khi một sàn giao dịch hay pool đào bị hack, họ sẽ nhanh chóng thông báo công khai để bảo vệ danh tiếng và tuân thủ các quy định pháp lý. Ví dụ, khi Mt. Gox bị hack 850.000 Bitcoin năm 2014, họ đã thông báo công khai và nộp đơn phá sản. Khi Coincheck bị mất 530 triệu đồng NEM năm 2018, họ cũng lập tức thông báo và xin lỗi công chúng.
Tại sao LuBian lại chọn im lặng?
Không chỉ vậy, việc hacker cũng không khoe khoang về "chiến tích" của mình cũng rất bất thường, vì nhiều hacker thường muốn nổi tiếng trong cộng đồng underground.
Vén màn bí mật
Theo phân tích của Arkham, LuBian có thể đã trở thành nạn nhân của lỗ hổng trong thuật toán tạo khóa riêng tư. Báo cáo viết: "Có vẻ như LuBian đang sử dụng một thuật toán để tạo các khóa riêng tư của mình dễ bị tấn công brute-force. Đây có thể là lỗ hổng bị các hacker khai thác."
Brute-force attack là phương pháp tấn công "vũ phu", trong đó hacker sử dụng sức mạnh tính toán để thử tất cả các khả năng cho đến khi tìm ra mật khẩu hoặc khóa đúng. Trong trường hợp Bitcoin, mỗi ví đều có một khóa riêng tư - một chuỗi số 256-bit cực kỳ phức tạp. Lý thuyết, khóa này không thể bị brute-force với công nghệ hiện tại.
Tuy nhiên, nếu thuật toán tạo khóa có lỗ hổng - ví dụ như sử dụng bộ tạo số ngẫu nhiên yếu hoặc có pattern có thể dự đoán - thì hacker có thể rút ngắn đáng kể thời gian cần thiết để "đoán" ra khóa. Đây không phải là trường hợp hiếm: năm 2013, nhiều ví Android đã bị hack do lỗ hổng tương tự trong thuật toán tạo số ngẫu nhiên.
Một chi tiết thú vị trong vụ việc là phản ứng của LuBian sau khi phát hiện ra vụ hack. Thay vì thông báo công khai, họ đã sử dụng tính năng OP_RETURN của Bitcoin để gửi tin nhắn trực tiếp đến địa chỉ ví của hacker.
| |
Tin nhắn OP_RETURN từ LuBian gửi đến hacker. |
OP_RETURN là một tính năng cho phép người dùng nhúng một lượng nhỏ dữ liệu (tối đa 80 bytes) vào giao dịch Bitcoin. Thông thường, tính năng này được dùng để ghi chú hoặc đánh dấu giao dịch. Trong trường hợp này, LuBian đã gửi tổng cộng 1.516 tin nhắn OP_RETURN đến các địa chỉ ví của hacker, tốn kém 1,4 Bitcoin trong phí giao dịch.
Mặc dù Arkham không tiết lộ nội dung cụ thể của những tin nhắn này, có thể đoán rằng đây là những lời yêu cầu hoàn trả Bitcoin, đe dọa pháp lý, hoặc thậm chí là những lời van xin. Việc gửi 1.516 tin nhắn cho thấy mức độ tuyệt vọng của LuBian và hy vọng vào khả năng thu hồi tài sản.
Số tiền 1,4 Bitcoin tốn cho việc gửi tin nhắn, tương đương khoảng 160.000 USD theo giá hiện tại, cho thấy LuBian đã sẵn sàng chi bất kỳ chi phí nào để liên lạc với hacker. Tuy nhiên, dường như những nỗ lực này đã thất bại hoàn toàn.
Trước khi Arkham phát hiện ra vụ LuBian, vụ hack ByBit vào tháng 2/2025 được coi là lớn nhất lịch sử với 1,5 tỷ USD bị đánh cắp. Khác với LuBian, ByBit đã thông báo công khai ngay lập tức và hợp tác với các cơ quan thực thi pháp luật.
Theo báo cáo từ cybersecurity firm Mandiant và SafeWallet, vụ hack ByBit bắt nguồn từ việc máy tính của một developer SafeWallet bị nhiễm malware. Hacker đã sử dụng Amazon Web Services (AWS) tokens của developer này để truy cập vào hệ thống nhạy cảm mà không kích hoạt cảnh báo bảo mật.
Điểm đáng chú ý là phương thức tấn công này hoàn toàn khác với LuBian. Trong khi LuBian bị tấn công do lỗ hổng trong thuật toán tạo khóa, ByBit bị tấn công thông qua social engineering và malware. Điều này cho thấy sự đa dạng trong các phương thức tấn công tiền số.
Ngoài ra, báo cáo của Arkham cũng nhắc đến vụ tấn công social engineering vào tháng 4/2025, khiến một "cá nhân lớn tuổi" mất 330 triệu USD Bitcoin. Đây là ví dụ điển hình về xu hướng mới trong tội phạm tiền số: thay vì tấn công hệ thống công nghệ, tội phạm ngày càng chú trọng vào "yếu tố con người".
Social engineering là kỹ thuật thao túng tâm lý để khiến nạn nhân tự nguyện cung cấp thông tin nhạy cảm hoặc thực hiện các hành động có lợi cho kẻ tấn công. Trong trường hợp này, nạn nhân có thể đã bị lừa qua điện thoại, email hoặc các phương tiện khác để chuyển Bitcoin vào ví của tội phạm.
Việc chỉ có 7 triệu USD trong tổng số 330 triệu USD bị đóng băng cho thấy tính hiệu quả của việc rửa tiền thông qua 300 địa chỉ ví khác nhau. Đây là một kỹ thuật phổ biến: chia nhỏ số tiền lớn thành hàng trăm giao dịch nhỏ để tránh sự chú ý của các hệ thống giám sát.