Bot crypto đang lao vào “cuộc chiến” Replace-by-Fee (RBF) để giành quyền rút Bitcoin khỏi một ví bị lộ khóa riêng, khiến mọi khoản nạp vào bị quét sạch chỉ trong vài phút.
Sự cố cho thấy rủi ro khi dùng dữ liệu công khai như txid để tạo private key, và cách các bot theo dõi mempool có thể tự động ký giao dịch rút ngay khi thấy tiền vừa được gửi vào ví yếu hoặc đã bị lộ.
- Ví Bitcoin bị xâm phạm vì private key trùng với một txid coinbase của một block, nên bot có thể kiểm soát ví.
- Bot theo dõi mempool, tự động “quét” tiền nạp vào và dùng RBF tăng phí để giành xác nhận.
- Dùng txid/block hash làm private key không đủ entropy, khiến địa chỉ có thể bị tính trước và bị theo dõi vĩnh viễn.
Bot đã khai thác private key bị lộ để quét sạch Bitcoin
Dữ liệu on-chain cho thấy ví SegWit nhận Bitcoin rồi bị bot rút hết gần như ngay lập tức, khiến số dư về 0 và không còn UTXO chưa chi tiêu.
Ví bị xâm phạm nhận tổng cộng 0,00020305 BTC qua hai giao dịch, nhưng mọi khoản nạp đều nhanh chóng bị chi tiêu ra ngoài. Mẫu hành vi “nhận là rút” trong cùng khoảng thời gian cho thấy đây là cơ chế quét tự động (automated sweep) thay vì thao tác thủ công.
Khoản nạp đầu tiên là 0,00018209 BTC. Gần cùng thời điểm, số tiền này bị chuyển đi trong một giao dịch khác, với mức phí 12,8 sat/vB. Tốc độ rút cho thấy kẻ kiểm soát private key đã sẵn sàng ký giao dịch ngay khi phát hiện đầu vào.
Khoản nạp thứ hai thêm 0,00002096 BTC và tiếp tục bị rút gần như tức thì. Bot trả 4,80 sat/vB và gửi 0,00001572 BTC đến một địa chỉ bên ngoài. Mô hình này thường xuất hiện khi nhiều bot cùng cạnh tranh, cố gắng rút trước hoặc thay thế giao dịch bằng RBF.
Bối cảnh quan trọng là bot thường xuyên giám sát mempool Bitcoin, nơi chứa các giao dịch chưa được xác nhận. Khi thấy tiền được gửi vào những địa chỉ có private key yếu hoặc đã công khai, bot có thể ký và phát ngay giao dịch rút vì chúng vốn đã nắm quyền kiểm soát private key.
Ví bị nhắm tới liên quan đến một txid công khai: đó là coinbase txid của block 924.982. Khi private key bị “định danh” theo cách dự đoán được từ dữ liệu công khai, ví có thể trở thành mục tiêu bị theo dõi liên tục.
RBF tạo cuộc đua tăng phí giữa các bot để giành xác nhận
Trong cuộc chiến RBF, bot liên tục thay thế giao dịch rút chưa xác nhận bằng phiên bản trả phí cao hơn để thuyết phục thợ đào chọn giao dịch của mình.
Replace-by-Fee (RBF) là chính sách của node cho phép thay một giao dịch chưa xác nhận bằng giao dịch mới có phí cao hơn. Trong bối cảnh ví bị xâm phạm, nhiều bot có thể phát các phiên bản rút cạnh tranh, lần lượt nâng mức sat/vB để tăng cơ hội vào block.
Dữ liệu phí on-chain thường thể hiện bằng các “bước nhảy” đột ngột trong sat/vB, phản ánh việc một giao dịch bị thay bằng phiên bản trả phí cao hơn. Cuối cùng chỉ một giao dịch được xác nhận, còn các phiên bản còn lại sẽ bị loại bỏ hoặc tiếp tục bị thay thế.
Lịch sử số dư của địa chỉ bị xâm phạm có thể xem tại mempool.space, nơi thể hiện rõ việc tiền vào bị quét ra nhanh chóng và không để lại UTXO.
“Đôi khi tôi gửi các giao dịch nhỏ vào những ví bị xâm phạm, chỉ để ngắm vẻ đẹp của các RBF tự động.”
– Brevsolution, bài đăng trên X
“Tôi thực sự muốn biết vì sao điều đó xảy ra.”
– Ottosch, bài đăng trên X
Gửi nhầm tiền vào ví bị xâm phạm có thể khiến phần lớn bị “đốt” vào phí
Khi nhiều bot tranh nhau rút bằng RBF, tổng phí có thể bị đẩy lên rất cao, thậm chí ăn mòn đáng kể số tiền nạp vào ví bị lộ.
Một số người cố tình gửi khoản nhỏ để quan sát “cuộc đua” RBF, nhưng cũng có trường hợp gửi số tiền lớn mà lý do không rõ ràng, có thể do nhầm lẫn khi sao chép địa chỉ. Khi bot cạnh tranh, chúng có thể tiếp tục tăng phí cho đến khi chỉ còn một giao dịch thắng cuộc, khiến phần phí chiếm tỷ trọng lớn của khoản nạp.
Vào tháng 11, có trường hợp 70.000 USD được gửi nhầm vào một ví liên quan đến private key dễ đoán. Mô tả từ cộng đồng cho thấy bot phản ứng gần như tức thì và dùng RBF để leo thang cạnh tranh, làm phí tăng mạnh và có thể bào mòn đáng kể giá trị BTC bị đưa vào “đấu trường” này.
Dùng txid hoặc block hash làm private key là cực kỳ rủi ro
Txid và block hash là dữ liệu công khai; nếu dùng chúng để tạo private key, địa chỉ có thể bị tính trước và bị bot theo dõi, dẫn đến mất BTC rất nhanh.
Private key Bitcoin về bản chất là một con số. Về mặt kỹ thuật, các số 256-bit như txid hoặc block hash có thể được dùng làm private key hợp lệ. Tuy nhiên, “hợp lệ” không đồng nghĩa “an toàn”: vấn đề nằm ở entropy và khả năng bị dự đoán.
Việc dùng txid để băm (hash) ra private key không đảm bảo đủ entropy để chống đoán. Nếu đầu vào là dữ liệu công khai, kẻ tấn công có thể tái tạo quy trình, tạo ra cùng private key hoặc tạo trước danh sách địa chỉ từ dữ liệu đã biết.
Bot khai thác điều này bằng cách tính trước địa chỉ từ dữ liệu công khai, sau đó theo dõi các địa chỉ đó “mãi mãi”. Hễ có ai gửi tiền vào, bot đã có sẵn private key để ký giao dịch rút và sẽ phát đi ngay, thường kèm RBF để tối ưu khả năng được xác nhận.
Những câu hỏi thường gặp
RBF là gì và vì sao bot dùng RBF?
RBF (replace-by-fee) cho phép thay một giao dịch chưa xác nhận bằng giao dịch mới có phí cao hơn. Bot dùng RBF để liên tục nâng phí, tăng cơ hội thợ đào chọn giao dịch rút của chúng trước các giao dịch cạnh tranh.
Mempool Bitcoin là gì trong các vụ “quét ví” tự động?
Mempool là nơi các giao dịch Bitcoin chưa được xác nhận chờ vào block. Bot theo dõi mempool để phát hiện tiền vừa được gửi vào các địa chỉ có private key yếu/công khai, rồi lập tức ký và phát giao dịch rút.
Vì sao ví có private key là txid lại dễ bị mất tiền?
Txid là dữ liệu công khai và có thể dự đoán. Nếu ai đó dùng txid (hoặc dữ liệu công khai tương tự) để tạo private key, bot có thể tính trước địa chỉ tương ứng và theo dõi liên tục, dẫn tới bị rút tiền ngay khi có khoản nạp.
Làm gì để tránh rủi ro private key/seed phrase yếu?
Chỉ tạo ví từ nguồn entropy mạnh và công cụ tin cậy, không tự chế quy trình tạo key từ dữ liệu công khai như txid/block hash. Giữ seed phrase/private key ngoại tuyến, không chia sẻ và hạn chế nhập trên thiết bị không an toàn.