Mã nguồn không phải là điểm yếu nhất trong các vụ trộm tiền mã hóa

Trong thế giới tiền mã hóa, bảo mật thường được coi là một vấn đề kỹ thuật. Bạn được khuyến nghị bảo vệ khóa riêng (private key) của mình, tin dùng ví cứng (hardware wallet) và tránh xa các liên kết lừa đảo (phishing links). Tuy nhiên, một vụ án nổi bật tại Vương quốc Anh cho thấy lỗ hổng thực sự trong trường hợp này có thể không liên quan gì đến mã nguồn.

Tòa án Tối cao Vương quốc Anh hiện đang xem xét một vụ án liên quan đến cáo buộc trộm cắp 2.323 Bitcoin (BTC), trị giá khoảng 176 triệu đô la. Vụ trộm không phải do tấn công mạng (hacking) hay phần mềm độc hại (malware). Thay vào đó, nó bắt nguồn từ việc lộ khóa khôi phục (seed phrase), vốn trở thành điểm yếu duy nhất trong quá trình tự quản lý tài sản (self-custody).

Tranh chấp xoay quanh ông Ping Fai Yuen, người tuyên bố rằng người vợ ly thân của ông, Fun Yung Li, và em gái cô đã truy cập được Bitcoin của ông bằng cách lén lút ghi lại thông tin khôi phục ví của ông.

Tài sản được lưu trữ trong ví cứng (hardware wallet), được thiết kế để giữ khóa riêng (private key) hoàn toàn ngoại tuyến và được bảo vệ khỏi các mối đe dọa từ xa. Tuy nhiên, vụ trộm vẫn xảy ra mà không cần phá vỡ bất kỳ mã hóa nào.

Các tài liệu của tòa án cho thấy vụ trộm chỉ yêu cầu tìm ra khóa khôi phục (seed phrase).

Dòng thời gian được cho là của vụ trộm tiền mã hóa

Các cáo buộc mô tả những sự kiện cho thấy sự giám sát trực tiếp hơn là xâm nhập kỹ thuật số.

  • Các cá nhân liên quan bị cáo buộc đã sử dụng camera hoặc thiết bị ghi âm để thu thập khóa khôi phục (seed phrase) và các mã liên quan.

  • Người khiếu nại sau đó đã biết về âm mưu này sau khi nhận được cảnh báo từ con gái mình.

  • Ông ấy sau đó đã lắp đặt thiết bị ghi âm, mà ông nói rằng đã ghi lại các cuộc trò chuyện về việc di chuyển số tiền.

  • Bitcoin sau đó đã được chuyển đến 71 địa chỉ ví riêng biệt.

Không có thêm giao dịch nào xuất hiện trên blockchain kể từ ngày 21 tháng 12 năm 2023, cho thấy tài sản vẫn không hoạt động kể từ khi báo cáo chuyển khoản.

Các nhà chức trách được cho là đã tịch thu các thiết bị và ví lạnh (cold wallet) như một phần của cuộc điều tra, mặc dù quá trình tố tụng vẫn đang diễn ra.

Bạn có biết không? Trong một số trường hợp trước đây, camera ẩn, chứ không phải hacker, đã là mắt xích yếu nhất trong bảo mật tiền mã hóa. Giám sát vật lý đã âm thầm trở thành một trong những mối đe dọa bị đánh giá thấp nhất đối với tài sản số được tự quản lý.

Lý do khóa khôi phục (Seed Phrase) đóng vai trò quan trọng trong vụ trộm tiền mã hóa tại Anh

Để hiểu rõ vụ việc, bạn cần nắm vững một nguyên tắc cốt lõi của tiền mã hóa: Bất kỳ ai có quyền truy cập khóa khôi phục (seed phrase) đều có toàn quyền kiểm soát số tiền.

Một ví cứng (hardware wallet) bảo vệ khóa riêng (private key) khỏi các rủi ro trực tuyến. Nhưng khóa khôi phục (seed phrase), thường là một dãy từ gồm 12 đến 24 từ, đóng vai trò là bản sao lưu đầy đủ của toàn bộ ví.

Việc tìm thấy khóa khôi phục (seed phrase) cho phép bất kỳ ai:

  • Khôi phục ví trên bất kỳ thiết bị nào khác

  • Truy cập tất cả các khoản tiền liên quan

  • Di chuyển tài sản mà không cần chạm vào ví cứng gốc

Nói một cách đơn giản, một khi khóa khôi phục (seed phrase) bị lộ, thiết bị vật lý trở nên vô nghĩa.

Yếu tố giám sát: Một hình thức xâm nhập không phổ biến

Điểm nổi bật trong vụ việc này là phương pháp được báo cáo đã sử dụng để thực hiện vụ xâm nhập.

Thay vì dựa vào lừa đảo trực tuyến (phishing) hoặc phần mềm độc hại, các cáo buộc tập trung vào việc thu thập thông tin bằng hình ảnh hoặc âm thanh, có thể thông qua camera ẩn hoặc ghi âm lén lút.

Điều này thu hút sự chú ý đến một rủi ro ít được nhắc đến: lộ thông tin qua kênh phụ (side-channel exposure).

Khóa khôi phục (seed phrase) thường được viết ra, đọc thành tiếng hoặc gõ trong quá trình thiết lập. Nếu bất kỳ khoảnh khắc nào trong số đó bị theo dõi hoặc ghi lại:

  • Cụm từ có thể được ghép lại.

  • Ví có thể được sao chép ở nơi khác.

  • Tài sản có thể được di chuyển mà không để lại dấu vết ngay lập tức.

Trong các môi trường đầy thiết bị thông minh, camera và không gian chung, loại rủi ro này ngày càng gia tăng.

Lập trường ban đầu của Tòa án Tối cao Vương quốc Anh

Vụ việc đã được đưa ra trước Tòa án Tối cao Vương quốc Anh, nơi Thẩm phán Cotter đã xem xét các bằng chứng được trình bày.

Mặc dù đây không phải là một phán quyết cuối cùng trong vụ án, thẩm phán đã chỉ ra rằng người khiếu nại đã chứng minh được khả năng thành công rất cao.

Trong số các yếu tố được xem xét có:

  • Một cảnh báo trước đó về kế hoạch được báo cáo

  • Các cuộc thảo luận đã được ghi lại

  • Các thiết bị được cho là có khả năng khôi phục thông tin ví

Tòa án cũng nhấn mạnh sự cần thiết phải hành động nhanh chóng, với lý do lo ngại về an ninh và biến động giá của Bitcoin.

Bạn có biết không? Một số ví hiện cung cấp tính năng ví mồi (decoy wallets) sử dụng các mã PIN khác nhau. Tính năng này cho phép người dùng hiển thị số dư nhỏ hơn khi bị ép buộc, tăng thêm một lớp bảo vệ chống lại cả sự cưỡng bức vật lý và các cuộc tấn công dựa trên giám sát.

Lý do tài sản được phân tán trên 71 địa chỉ ví

Người khiếu nại cho biết Bitcoin đã được phân phối trên 71 địa chỉ ví.

Bước này mang lại một số ý nghĩa:

  • Nó khiến việc theo dõi và thu hồi trở nên khó khăn hơn.

  • Nó tránh thu hút sự chú ý đến một giao dịch lớn duy nhất.

  • Nó chia nhỏ tài sản, điều này có thể làm chậm trễ các nỗ lực pháp lý và điều tra.

Mặc dù tính minh bạch của blockchain cho phép theo dõi các giao dịch, việc phân tán số tiền làm tăng thêm sự phức tạp và thời gian cho bất kỳ quá trình thu hồi nào.

Mối lo ngại về tấn công “dusting”

Người khiếu nại cũng bày tỏ lo ngại về một cuộc tấn công “dusting” có thể xảy ra đối với các địa chỉ ví liên quan.

Dusting (tấn công rải bụi) đề cập đến việc gửi một lượng nhỏ tiền mã hóa đến các ví để:

  • Theo dõi hoạt động tiếp theo

  • Liên kết các địa chỉ ví với danh tính thực

  • Xác định các mục tiêu giá trị cho các cuộc tấn công trong tương lai

Nếu các địa chỉ ví trở nên công khai, chúng có thể thu hút sự giám sát bổ sung, ngay cả khi không có hoạt động nào khác xảy ra.

Tại sao vụ việc này vượt ra ngoài một xung đột cá nhân

Một mặt, vụ án này vẫn là một tranh chấp pháp lý riêng tư. Mặt khác, nó đóng vai trò là một nghiên cứu điển hình về những rủi ro rộng lớn hơn trong quản lý tài sản tiền mã hóa (crypto custody).

Vụ việc này chứng minh rằng:

  • Ví cứng (hardware wallet) hạn chế các mối đe dọa kỹ thuật số, nhưng không giải quyết được các yếu tố con người.

  • Các mối đe dọa từ những người thân cận với chủ sở hữu có thể lớn hơn so với những kẻ tấn công từ bên ngoài.

  • Việc lộ khóa khôi phục (seed phrase) có thể dẫn đến mất hoàn toàn quyền kiểm soát.

Trên hết, điều này cho thấy bảo mật tiền mã hóa không chỉ đơn thuần là về thiết bị; nó còn phụ thuộc rất nhiều vào môi trường, hành vi, sự tin tưởng và các mối quan hệ.

Các bài học bảo mật từ vụ án

Ví dụ này củng cố một số hướng dẫn đơn giản:

  • Giữ khóa khôi phục (seed phrase) hoàn toàn ẩn khỏi camera, điện thoại và các thiết bị kết nối.

  • Tránh lưu trữ thông tin khôi phục ở những nơi người khác có thể truy cập.

  • Tách biệt danh tính cá nhân khỏi quyền kiểm soát ví bất cứ khi nào có thể.

  • Sử dụng nhiều lớp bảo vệ cho các khoản nắm giữ lớn.

Các phương pháp phức tạp hơn có thể bao gồm các cụm mật khẩu bổ sung (passphrases), sao lưu chia nhỏ (split backups) hoặc thiết lập đa chữ ký (multisignature). Mỗi phương pháp này đều được thiết kế để giảm sự phụ thuộc vào một yếu tố dễ bị tổn thương duy nhất.