Đôi khi những thứ tưởng chừng bất khả xâm phạm lại sụp đổ vì một sai lầm vụn vặt,
giống mấy game thủ trong đó có mình, nghĩ bất bại trong trò chơi điện tử nhưng chỉ
bởi quên lưu game mà mất toi công sức.
Chen Zhi thì ở nhiều bài gần đây mình viết khá chi tiết không cần nhắc lại, tên tuổi
và tai tiếng của ông trùm này đang phủ khắp mặt báo.
Thực tế Mỹ, cụ thể bộ tư pháp (DOJ) và IRS-CI (cục thuế vụ chuyên tội phạm mạng), theo dõi từ lâu. Tháng 7/2024
họ recover (khôi phục) thành
công 127.271 bitcoin
từ 25 ví của Chen sau đó rút nhẵn nhụi. Vậy nhưng công bố chính thức chỉ
đến ngày 14/10/2025, tức sau hơn một năm điều tra hợp tác với Anh ban bố lệnh
trừng phạt mạng lưới lên đến 146 mục tiêu liên quan. Chen, đến hôm nay, vẫn tại ngoại và "lẩn
trốn" ở Campuchia, phủ nhận mọi thứ, mạng lưới vẫn lén lút hoạt động dưới
tên khác.
Đây là vụ tịch thu tài sản lớn nhất lịch sử DOJ, biến Mỹ thành "cá voi" bitcoin (không tính sàn) lớn thứ hai thế giới, khoảng 316.000 BTC, sau mỗi bóng ma Satoshi.
Nhưng đằng sau chứa câu chuyện
về tính mong manh của "ẩn danh" trong crypto. Bởi bitcoin không
là ngân hàng, không có kiểu "quên mật khẩu" để reset, phụ thuộc hoàn toàn vào mấy chiếc khóa bắt buộc chủ
ví phải lưu giữ cẩn thận trong két sắt.
Hãy tưởng tượng hệ thống bitcoin như một toà nhà, tài sản của bạn nằm trong két. Để mở két, bạn cần private key (khoá cá nhân), một chuỗi mã dài ngoằng, ngẫu nhiên, hệ cơ số 16 kiểu "5Kb8kLf9zgWQnogidDA76MzPL6TsZZY36hWXMssSzNydYXYB9KF". Đây là chìa khóa chính được tạo tự động khi lập ví (wallet), dựa trên entropy cao (độ ngẫu nhiên toán học, theo tiêu chuẩn BIP-39). Khoá dùng để "ký" giao dịch, chứng minh sở hữu BTC không lộ danh tính.
Nhưng private
key khó nhớ, kiểu địa chỉ IP của một website dài dòng, rối rắm.
Nên đẻ ra seed phrases (cụm từ hạt giống) là một chuỗi 12-24 từ tiếng
Anh ngẫu nhiên từ danh sách 2048 từ, giả hạn "milk sad pay cup zoo apple
book cat dog egg fox grape". Seed này là bản sao dễ nhớ của private key và
từ seed, phần mềm ví có thể tái tạo private
key và mở ví. Na ná tên miền (domain)
thay thế IP mục đích dễ dùng, nhưng chẳng may bị lộ, ai cũng mở
được két.
Và đây là điểm mấu chốt. Bitcoin phi tập trung, không có
máy chủ trung tâm như ngân hàng. Mất private key hoặc seed tức mất luôn tài sản. Không có "xác minh sinh trắc" hay "gửi email
reset" như Facebook, Gmail. Bạn phải tự lưu offline bằng cách
ghi sổ tay, khắc kim loại, giấu trong két hệt như Quang và Ngân 98 giấu gần
trăm cái sổ đỏ. Cố tình lưu online ư? Hackers ở mọi nơi nhất là tài sản
bitcoin. Còn nhớ James Howells, anh chàng lỡ vứt ổ cứng chứa private key 8.000
BTC vào bãi rác năm 2013 giờ trị giá hàng trăm triệu đô, đã đang miệt mài bới
rác, bị cấm, xin xỏ được bới tiếp mà không được.
Trong vụ Chen, 25 ví của mạng lưới nảy là loại
non-custodial (tự quản không đem lên sàn), chứa lợi nhuận từ lừa đảo. Chen tự
giữ private key và seed, nghĩ an toàn. Nhưng
gã mắc lỗi ấu trĩ (chọn từ này mới đúng) là dùng phần mềm cũ vướng lỗi có thể recover. Lỗ hổng mang tên Milk Sad. Cụ thể phần mềm Libbitcoin Explorer
(bx) phiên bản 3.x mà Chen dùng từ 2019-2020
có vấn đề là khi tạo seed phrases, nó áp dụng
thuật toán Mersenne
Twister với entropy
thấp chỉ có 2^32 khả năng (khoảng
4 tỷ, giống như đoán số xổ số 6 con số). Thay vì ngẫu nhiên thật sự, seed dựa vào thời
gian hệ thống 32-bit, dễ bị brute
force (thử hàng loạt) bằng máy tính thông thường.
Tên
"Milk Sad" từ hai từ đầu của seed bị ảnh hưởng. Lỗ hổng phát hiện năm 2023, nhưng các ví Chen tạo trước đó đã
lộ. DOJ, qua phân tích on-chain (truy vết giao dịch blockchain), xác định 25 ví
này. Họ không hack trực tiếp Chen (dù có thể lấy từ server hắn ta), mà khai thác lỗ hổng tính toán brute force để recover seed phrases,
tái tạo private key, rồi chuyển BTC sang ví chính phủ.
Quy trình Bitcoin
ở đây được hình dung như sau. Blockchain là sổ cái công khai,
ai cũng xem giao dịch, nhưng chỉ private
key mới chi tiêu được. Đào bitcoin
(mining) là giải bài toán SHA-256 để thêm khối mới, nhưng vụ này là tịch thu
dân sự (civil forfeiture), không liên quan đào. Lỗ hổng Milk Sad đã chứng minh bitcoin
không ẩn danh nếu dùng công cụ
yếu. Chen, mang danh là trùm tội phạm, lại sơ hở vì thiếu chuyên môn kỹ thuật.
Chọn ưu tiên tốc độ lừa đảo hơn khả năng bảo mật, giống xây
nhà bệ vệ mà loè loẹt, đâu cũng bọc gỗ, cửa cũng khoá bằng then gỗ cho hợp mệnh.
Vụ này làm lộ tính hai mặt của bitcoin. Ưu điểm tuyệt
đối là phi tập trung,
giới hạn 21 triệu BTC qua halving (giảm thưởng đào mỗi 4 năm), cái này là do bác Satoshi
coi
bitcoin như vàng cố tình tạo giới hạn gây khan hiếm, hòng tăng giá trị trong
tương lai. Nhược điểm to đùng là mất key là mất hết, lỗ hổng phần mềm có thể biến "ẩn danh" thành trò
đùa. Mình nghi ngờ Satoshi
Nakamoto, cha đẻ bitcoin, nhẽ vẫn đang
cười méo xệch ở đâu đó do đánh
mất xừ chìa khoá cái két chứa hơn 120 tỷ đô.
Câu
chuyện Chen Zhi dài dòng, nhưng tóm lại đó là một cuộc truy vết dài trong ít
nhất 5 năm kể từ 2020. Một mạng lưới
lừa đảo sụp đổ vì lỗ hổng kỹ thuật, Mỹ "thu hoạch" thành
công nhờ khai thác chính điểm yếu của bitcoin, là những chiếc khóa ảo mà con
người quản lý. Bitcoin và blockchain rất an toàn, an toàn như cỗ xe chở bác Trump
có tên Quái Vật, song nó chỉ an toàn khi ngồi bên trong,
còn việc ai cầm
chìa khoá xe có đủ an toàn không lại là chuyện rất khác.
Vụ tịch thu 15 tỷ đô tiền số này đã diễn ra hơn 1 năm và nay mới hiện trên mặt báo. Trong hơn một năm đó, hệ thống lừa
đảo hẳn biết chắn đã bị theo dõi điều tra song vẫn nhởn nhơ. Nhẽ do tính phức tạp và bộ rễ cắm sâu vào hệ thống chính trị nên vòi bạch
tuộc vẫn cứ hoạt động. Chen giờ đang phải tự nguyền rủa lắm, còn Mỹ thì cười tươi với đống BTC to vật vã ngang với
100 tấn vàng ròng. Vụ này cũng nhắc nhở các bác chơi bitcoin cẩn thận hơn trong
cập nhật lưu giữ các khoá truy cập ví.
Không có nhận xét nào:
Đăng nhận xét