Nhà đầu tư crypto nhỏ lẻ, người về hưu, giáo viên và người lao động đang bị nhắm đến bằng các vụ đột nhập nhà và cưỡng ép lấy quyền truy cập ví/tài khoản.
Làn sóng tấn công “ngoài đời thực” cho thấy rủi ro không chỉ đến từ hack online, mà còn từ bạo lực nhằm ép nạn nhân mở điện thoại, laptop, sàn giao dịch và ví phần cứng.
- Tấn công vật lý liên quan tiền điện tử tăng nhanh, nhiều vụ có thể không được báo cáo.
- Bảo hiểm của sàn thường tập trung vào sự cố máy chủ, không bao phủ trường hợp nạn nhân bị cưỡng ép.
- Sự cố rò rỉ kho mật khẩu (như LastPass) có thể dẫn đến việc lộ seed phrase/private key và bị rút sạch ví.
Các vụ cướp cưỡng ép nhà đầu tư crypto đang tăng và có thể bị báo cáo thiếu
Kể từ năm 2020 đã ghi nhận hơn 215 vụ tấn công vật lý liên quan crypto trên toàn cầu, và năm 2025 gần như gấp đôi năm trước đó; số thực tế có thể cao hơn vì nhiều nạn nhân im lặng.
Một vụ việc điển hình xảy ra tại Delray Beach khi Julia Goodwin và chồng đang ngủ thì nghe tiếng gõ ở cửa kính trượt. Họ tưởng là chim, bật đèn rồi tiếng động dừng lại, nhưng sau đó kính vỡ tung và kẻ tấn công xông vào.
Nạn nhân bị chĩa súng vào đầu và cổ, đồng thời bị yêu cầu giao điện thoại, laptop và quyền truy cập ví/tài khoản. Kiểu tấn công này tập trung vào việc chiếm quyền kiểm soát thiết bị và thông tin đăng nhập khi nạn nhân không thể từ chối.
Theo thống kê của nhà theo dõi an ninh Jameson Lopp, các vụ “physical crypto attacks” tăng rõ rệt từ 2020. Ông cũng cho rằng con số thực có thể cao hơn do nạn nhân né tránh báo cáo vì lo ngại an toàn hoặc xấu hổ.
Một đường dây bị cáo buộc tổ chức đột nhập nhắm vào tài khoản sàn và ví phần cứng
Một nhóm tội phạm bị cáo buộc nhắm đến việc ép nạn nhân mở tài khoản trên sàn giao dịch và truy cập ví phần cứng, với các mục tiêu hàng trăm nghìn USD.
Theo mô tả, người tổ chức bị nêu tên là Jarod Seemungal, biệt danh Meow, từng sớm tiếp xúc Bitcoin khi còn nhỏ và hoạt động chủ yếu online. Sau khi bị cướp bằng súng, người này được cho là quyết định thuê người “ra tay” để thực hiện các vụ cưỡng đoạt.
Vụ nhắm vào gia đình Goodwin được cho là nhằm lấy ít nhất 200.000 USD, được tin là nằm trên Gemini. Ba ngày sau, nhóm này bị cáo buộc bắt cóc một hacker 20 tuổi, ép mở các tài khoản Coinbase trống, đánh đập, gửi video đòi tiền chuộc và thả nạn nhân gần I-95.
Các tình tiết khác bị nêu gồm tra tấn để truy tìm ví phần cứng và đột nhập nhầm địa điểm như Airbnb trống. Trong một vụ theo dõi mục tiêu là lính cứu hỏa về hưu ở New York bị cho là có 200.000 USD trên Coinbase và thiết bị Ledger, FBI đã bắt một nghi phạm tại một McDonald’s ở đường cao tốc; trong cốp xe có dây rút và một khẩu súng kiểu AK.
Bản án được mô tả là nghiêm khắc: một người nhận 47 năm tù vì âm mưu bắt cóc và gian lận chuyển tiền; một người làm nhiệm vụ cảnh giới nhận 12 năm tù dù chỉ kiếm 4.000 USD trong 7 tháng. Jarod dự kiến được thả vào năm 2040.
Bảo hiểm sàn giao dịch có thể không bảo vệ người dùng trước cưỡng ép ngoài đời thực
Coinbase cho biết bảo hiểm nền tảng chủ yếu liên quan đến xâm nhập máy chủ, không phải trường hợp người dùng bị đe dọa hoặc cưỡng ép cung cấp quyền truy cập.
Trong một ví dụ được nhắc đến, hệ thống máy học phát hiện hoạt động bất thường và chặn giao dịch cuối trị giá 9.145 USD, nhưng không chặn giao dịch trước đó trị giá 156.853 USD. Coinbase nói họ phải cân bằng giữa việc ngăn kẻ xấu và đảm bảo quyền truy cập của khách hàng.
Tham khảo liên kết trong bài: bài điều tra chi tiết.
Nạn nhân có thể vẫn tin vào blockchain nhưng chi phí an toàn cá nhân tăng mạnh
Ngay cả sau hai lần bị tấn công, nạn nhân vẫn nói họ còn niềm tin vào crypto và blockchain, nhưng cuộc sống bị ảnh hưởng bởi chi phí di chuyển, sức khỏe và cảm giác bất an.
Julia cho biết chi phí đi lại giờ cao hơn và tình trạng sức khỏe của chồng xấu đi. Tại tòa, cô nói với Jarod: “Anh đã phá hủy mọi thứ mà tôi đã làm việc cực kỳ vất vả mới có được.”
“Anh đã phá hủy mọi thứ mà tôi đã làm việc cực kỳ vất vả mới có được.”
– Julia Goodwin, phát biểu tại tòa
Hậu quả rò rỉ kho mật khẩu có thể dẫn đến bị rút ví crypto trong nhiều năm
Các ví crypto liên quan đến sự cố rò rỉ LastPass năm 2022 vẫn có thể tiếp tục bị rút tiền, theo phân tích của TRM Labs.
LastPass từng thừa nhận kẻ tấn công xâm nhập hệ thống bằng cách chiếm một tài khoản lập trình viên. Một phần mã nguồn và công cụ kỹ thuật bị đánh cắp. Sau đó, nhóm tấn công tiếp tục nhắm vào GoTo, nhà cung cấp đám mây nơi LastPass lưu các bản sao lưu vault được mã hóa.
Các vault có thể chứa không chỉ mật khẩu mà còn seed phrase và private key của ví tiền điện tử, khiến rủi ro không dừng ở việc lộ tài khoản web mà có thể dẫn đến mất tài sản on-chain nếu kẻ xấu giải được vault.
“Tùy vào độ dài và độ phức tạp của mật khẩu chính cũng như cài đặt số vòng lặp, bạn có thể nên đặt lại mật khẩu chính.”
– Cảnh báo của LastPass
Những câu hỏi thường gặp
“Tấn công vật lý crypto” là gì và khác gì so với bị hack online?
Đây là các vụ đe dọa, bắt cóc hoặc đột nhập nhằm ép nạn nhân mở khóa điện thoại, cung cấp mật khẩu/2FA, đăng nhập sàn hoặc giao ví phần cứng. Khác với hack online, kẻ xấu dựa vào cưỡng ép trực tiếp thay vì khai thác lỗ hổng kỹ thuật từ xa.
Bảo hiểm của sàn giao dịch có chi trả khi tôi bị ép chuyển crypto không?
Trong nội dung đề cập, Coinbase nói bảo hiểm chủ yếu liên quan đến sự cố máy chủ, không phải trường hợp cưỡng ép. Điều này cho thấy người dùng không nên mặc định rằng “bị cướp ngoài đời” sẽ được sàn hoàn tiền.
Vì sao vụ rò rỉ LastPass có thể làm mất crypto lâu dài?
Vì vault có thể chứa seed phrase/private key. Nếu kẻ tấn công lấy được bản sao lưu vault và giải được bằng mật khẩu chính yếu, họ có thể truy cập khóa ví và rút tài sản bất cứ lúc nào, kể cả nhiều năm sau sự cố.