Skip to content

Pháp y Hack On-chain: Cách Đọc Vụ Trộm $1B+ (Nghiên Cứu Trường Hợp Bybit 2025)

Table of Contents
Độ khóTrung cấp~14 phút đọc

Tiết lộ về liên kết liên kết: ChainGain có thể nhận được hoa hồng nhỏ từ các liên kết đến công cụ bảo mật được đề cập trong bài viết này. Điều đó không khiến bạn phải trả thêm bất kỳ khoản phí nào và không bao giờ thay đổi công cụ chúng tôi đề xuất. Chúng tôi không có mối quan hệ với các sàn giao dịch, mixer hay nhóm hacker được thảo luận.

Magnifying glass revealing the peel-chain transaction pattern in a crypto wallet network — on-chain hack forensics

Khi nhóm Lazarus Group của Triều Tiên ôm 1,5 tỷ USD từ Bybit vào ngày 21 tháng 2 năm 2025, hầu hết các bài báo đều dừng lại ở dòng tiêu đề. Nhưng số tiền không biến mất — chúng di chuyển qua hàng nghìn ví, qua các mixer, qua các chain, và một năm sau, chỉ có 3,84% bị đóng băng. Tin tốt: mỗi bước nhảy đều nằm trên sổ cái công khai. Tin tốt hơn: bạn có thể tự đọc nó bằng các công cụ miễn phí, trong khoảng mười phút, trước khi bạn tự gửi bất kỳ giao dịch lớn nào.

Hướng dẫn này làm điều mà không có bài hồi cứu Bybit nào khác làm: nó dẫn dắt một độc giả cá nhân qua dấu vết Etherscan thực tế, kể tên bốn công cụ pháp y mà người dùng cá nhân có thể chi trả được, và cung cấp cho bạn một danh sách kiểm tra AML trước khi chuyển — mà nếu các signer của Bybit đã sử dụng, có thể đã ngăn chặn được vụ trộm crypto lớn nhất trong lịch sử.

Trong bài viết này:

  1. Điều gì đã xảy ra vào ngày 21 tháng 2 năm 2025
  2. Cẩm nang rửa tiền 3 giai đoạn mà Lazarus đã sử dụng
  3. Đọc một giao dịch tiền bị đánh cắp trên Etherscan: hướng dẫn từng bước 5 bước
  4. 4 công cụ pháp y on-chain tốt nhất cho cá nhân
  5. Các vụ trộm crypto đã được xác nhận của Lazarus Group 2017→2025
  6. Tự kiểm tra AML trong 10 phút trước bất kỳ chuyển khoản lớn nào
  7. Việc cần làm TRƯỚC KHI USDT của bạn bị đóng băng
  8. Nạn nhân thực sự có thể làm gì (và điều gì không hiệu quả)

Điều gì đã xảy ra vào ngày 21 tháng 2 năm 2025

Vụ hack Bybit không phải là một cuộc khai thác hợp đồng thông minh. Đó là một cuộc tấn công chuỗi cung ứng front-end — nghĩa là kẻ tấn công đã xâm phạm phần mềm hướng đến người dùng (trang web/ứng dụng mà signer tương tác) thay vì các smart contract giữ tiền. Mục tiêu là Safe{Wallet}, dịch vụ multisig mà Bybit đã sử dụng để quản lý kho cold-wallet Ethereum của mình. Hai ngày trước đó, vào 15:29:25 UTC ngày 19 tháng 2 năm 2025, các nhà điều hành Lazarus Group đã chèn JavaScript độc hại vào ứng dụng Safe{Wallet} tại app.safe.global. Hai ngày sau đó, khi các signer của Bybit phê duyệt cái mà họ nghĩ là một giao dịch chuyển từ cold-to-warm-wallet thông thường, front-end đã bị sửa đổi đã âm thầm thay đổi địa chỉ đích. Công ty pháp y Sygnia đã xác nhận vector tiêm JS, và Trung tâm Khiếu nại Tội phạm Internet của FBI đã chính thức quy kết vụ trộm cho Triều Tiên vào ngày 26 tháng 2 năm 2025.

Những gì các signer thực sự nhìn thấy trên màn hình giống như một giao dịch Safe bình thường. Những gì multisig thực sự ký là một bản nâng cấp hợp đồng giao quyền kiểm soát cold wallet của Bybit cho một địa chỉ do kẻ tấn công kiểm soát. 401.000 ETH — trị giá khoảng 1,5 tỷ USD vào thời điểm đó — đã rời Bybit trong một giao dịch duy nhất. Quá trình đảo ngược của SlowMist đã truy ngược script độc hại đến một máy của nhà phát triển Safe bị xâm phạm, không phải lỗ hổng phía Bybit. Bài học khó chịu: kho lưu trữ lạnh đã bảo vệ các khóa, nhưng giao diện người dùng đã nói dối với các signer là con người.

Bảng 1: Sự cố Bybit nhìn thoáng qua
Mục Chi tiết Nguồn
Ngày hack 2025-02-21 (vụ trộm); 2025-02-19 15:29:25 UTC (Safe JS bị giả mạo) Sygnia, IC3
Số tiền bị đánh cắp ~401.000 ETH ≈ $1.5B theo giá thời điểm-hack Chainalysis
Vector tấn công Tiêm JavaScript front-end Safe{Wallet} (chuỗi cung ứng) Sygnia, SlowMist
Quy kết Triều Tiên / Lazarus Group / cụm TraderTraitor FBI IC3 PSA 250226
Phần thưởng được đưa ra $140M (10% số tiền thu hồi được) Bybit “LazarusBounty”
Đóng băng đến tháng 2 năm 2026 3,84% (~$57M) BlockEden hồi cứu 1 năm
Vẫn truy được tháng 2 năm 2026 68,57% (giảm từ 88% ở tuần 1) BlockEden, Bybit chính thức
“Đi vào bóng tối” 27,59% — biến mất vào mixer và cold wallet BlockEden

Hàng cuối đó quan trọng. Crypto Twitter đã ăn mừng khi Bybit thông báo 88% số tiền là “có thể truy được” trong tuần đầu tiên. Mười hai tháng sau, hơn một phần tư số tiền cướp được không thể thu hồi — không phải vì blockchain quên, mà vì việc trộn và nhảy chéo chain cuối cùng đã phá vỡ liên kết phân tích. Truy vết có thời hạn sử dụng, và Lazarus biết điều đó hơn ai hết.

Cẩm nang rửa tiền 3 giai đoạn mà Lazarus đã sử dụng

Lazarus 3-phase laundering playbook flowchart — conversion-dispersion, mixing-cross-chain, wait-cashout

Vào lúc hầu hết người dùng cá nhân đọc về một vụ hack, tiền đã đang di chuyển. Lazarus chạy một cẩm nang ba giai đoạn nhất quán đáng kinh ngạc, được ghi lại qua các vụ Bybit, Atomic Wallet và DMM Bitcoin bởi cả TRM LabsChainalysis. Hiểu được nó là sự khác biệt giữa đọc một giao dịch và đọc một chiến lược.

Giai đoạn 1: Chuyển đổi và phân tán (giờ 0-72)

Bước đi đầu tiên sau một vụ trộm luôn giống nhau: chuyển đổi mọi thứ có thể bị đóng băng thành thứ không thể. Stablecoin ERC-20 (USDT, USDC) được hoán đổi thành ETH gốc trong vòng vài giờ, vì Tether và Circle có thể đưa địa chỉ stablecoin vào danh sách đen, nhưng không ai có thể đưa ETH vào danh sách đen. 401.000 ETH từ Bybit gần như ngay lập tức được chia trên khoảng 50 ví con, mỗi ví giữ 5.000-10.000 ETH. Đây là phân tán: nếu một ví bị truy vết, bạn chỉ đốt một phần nhỏ của số tiền cướp được.

Mô hình phân tán là cái mà các nhà phân tích blockchain gọi là “peel chain” — số tiền lớn được bóc thành các phần nhỏ ở mỗi bước nhảy, có kích thước gần bằng nhau, với phần còn lại được chuyển tiếp đến địa chỉ tiếp theo. Peel chain là một mô hình giao dịch trong đó một input lớn được chia liên tục thành một output nhỏ được bóc ra và một output lớn hơn được chuyển tiếp, tạo ra một cây phân nhánh trên hàng trăm ví. Trong Etherscan nó trông giống cây Giáng sinh: một input, hai hoặc ba output ở mỗi nút, với một output lớn hơn nhiều so với những cái khác. Các phần nhỏ hơn tiến tới giai đoạn 2; phần dư lớn hơn chờ đợi.

Giai đoạn 2: Trộn và che giấu chéo chain (ngày 3-90)

Khi tiền đã được phân tán, Lazarus trộn. Trong lịch sử điều đó có nghĩa là Tornado Cash, nhưng Bộ Tài chính Hoa Kỳ đã loại Tornado Cash khỏi danh sách vào ngày 21 tháng 3 năm 2025 — ba tuần sau vụ hack Bybit — và mặc dù Roman Storm đã nhận một phán quyết có tội một phần vào ngày 6 tháng 8 năm 2025 — bị kết án về tội âm mưu vận hành một doanh nghiệp chuyển tiền không có giấy phép, với bồi thẩm đoàn bế tắc về các cáo buộc rửa tiền và vi phạm trừng phạt — bản thân giao thức vẫn có thể sử dụng được. Lazarus cũng quay vòng qua Wasabi Wallet (CoinJoin) — CoinJoin là một kỹ thuật trộn Bitcoin kết hợp các giao dịch của nhiều người dùng thành một lô duy nhất để các quan sát viên không thể đối chiếu người gửi cá nhân với người nhận — cộng với CryptoMixer và rollup quyền riêng tư Railgun.

Mô hình khó truy vết hơn là nhảy chéo chain. ETH bị đánh cắp của Bybit đã chuyển sang Bitcoin qua THORChainChainflip — cả hai đều là giao thức hoán đổi phi tập trung không có KYC. Khi tiền ở trên Bitcoin, dấu vết lại giao với mô hình “peel chain” được Lazarus ưa chuộng, lần này tỏa ra thành 6.954 địa chỉ BTC riêng biệt được TRM Labs xác định. Mỗi bước nhảy chéo chain thêm tiếng ồn phân tích; sau ba bước nhảy, ngay cả các mô hình phân cụm của Chainalysis — các thuật toán nhóm nhiều địa chỉ có khả năng được kiểm soát bởi cùng một thực thể dựa trên các mô hình chi tiêu chung — bắt đầu tạo ra các quy kết với độ tin cậy thấp.

Giai đoạn 3: Trò chơi chờ đợi (tháng 6+)

Lazarus không rút tiền nhanh. Tiền từ vụ hack Ronin Bridge năm 2022 ($625M) vẫn đang được di chuyển gần đây như năm 2024. Mô hình là để vòng quay tin tức chết đi, để các nhóm tuân thủ của sàn giao dịch chuyển trọng tâm, và sau đó chuyển đổi thông qua các bàn OTC ở các khu vực pháp lý có giám sát yếu. Đến mốc 12 tháng, ước tính 27,59% số tiền cướp được của Bybit đã chuyển vào các ví mà Chainalysis, TRM và Elliptic không còn có thể duy trì liên kết với độ tin cậy cao. Điều đó không có nghĩa là chain đã quên — nó có nghĩa là độ tin cậy phân tích đã giảm xuống dưới ngưỡng mà các nhà điều tra công bố.

Đọc một giao dịch tiền bị đánh cắp trên Etherscan: hướng dẫn từng bước 5 bước

Đây là phần mà mọi bài hồi cứu Bybit khác đều bỏ qua. Bạn không cần một ghế Chainalysis Reactor giá $50.000 để theo dõi ba bước nhảy đầu tiên của Lazarus — bạn cần Etherscan và mười phút. Chọn giao dịch drainer hot-wallet Bybit ban đầu (tìm kiếm “Bybit exploit” trên Etherscan và cụm có nhãn xuất hiện), và đi qua nó. Tôi đã chạy chính xác quy trình này trên cụm khai thác Bybit khi soạn thảo hướng dẫn này và đã có một nhánh phân tán duy nhất được lập bản đồ đầy đủ trong khoảng tám phút — những gì sau đây là chính xác những gì bạn sẽ thấy.

Bảng 2: Điều hướng Etherscan năm bước cho một tx tiền bị đánh cắp
Bước Việc cần làm Bạn đang tìm gì
1 Mở hash tx nguồn trong Etherscan Địa chỉ “From” (nạn nhân) và địa chỉ “To” (kẻ tấn công). Nếu Etherscan đã gắn thẻ một trong hai là “Bybit Exploiter” hoặc “DPRK Lazarus”, các nhà phân tích phân cụm đã thực hiện quy kết.
2 Nhấp vào địa chỉ “To”; chuyển sang tab Internal Txns Giao dịch nội bộ hiển thị các chuyển động được kích hoạt bởi hợp đồng. Vụ hack Bybit đã gửi ETH qua một hợp đồng nâng cấp độc hại — tx nội bộ tiết lộ đường dẫn tài sản thực tế, mà chuyển khoản bề mặt che giấu.
3 Sắp xếp tx đi theo số lượng, giảm dần Chữ ký “peel chain”: một hoặc hai output lớn (phần dư) và nhiều output nhỏ hơn đồng đều (phân tán). Nếu bạn thấy 30+ output có kích thước giống hệt trong vòng vài phút, bạn đang nhìn vào giai đoạn phân tán của Lazarus.
4 Chọn bất kỳ ví con kích thước đồng đều nào; nhấp qua các tx đi của nó Cầu chéo chain (THORChain, Chainflip, deBridge) xuất hiện dưới dạng chuyển khoản đến các địa chỉ hợp đồng cầu được biết đến. Etherscan tự động gắn nhãn các cầu lớn — nếu bạn thấy tiền vào một hợp đồng cầu, bước nhảy tiếp theo là trên một chain khác.
5 Sử dụng tính năng “Note Address” để gắn nhãn những gì bạn đã tìm thấy Tài khoản Etherscan miễn phí cho phép bạn lưu tối đa 1.000 nhãn địa chỉ. Khi bạn truy vết, gắn nhãn từng nhánh (“phân tán #1”, “cầu sang BTC”, “gửi mixer”). Sau ba bước nhảy bạn sẽ có một bản đồ cá nhân của một nhánh — cùng quy trình mà các nhà phân tích chuyên nghiệp sử dụng.

Bạn sẽ chạm phải một ngõ cụt. Vào khoảng bước nhảy thứ ba hoặc thứ tư, dấu vết đi vào hoặc một mixer CoinJoin (nơi tiền của 50+ người dùng được trộn) hoặc một cầu chéo chain với khả năng quan sát công khai hạn chế. Đó là khoảnh khắc dừng truy vết và bắt đầu quy trình công cụ AML được mô tả bên dưới — vì câu hỏi chuyển từ “cái này đã đi đâu?” sang “ví tôi sắp nhận từ đó có bị nhiễm không?”

4 công cụ pháp y on-chain tốt nhất cho cá nhân

Hầu hết các bài đưa tin về theo dõi blockchain mô tả các nền tảng doanh nghiệp — Chainalysis Reactor, TRM, Elliptic — mà người dùng cá nhân không bao giờ có thể chi trả. Đây là những gì một độc giả ChainGain cá nhân có thể thực sự sử dụng, được sắp xếp theo khả năng tiếp cận. Cấp độ miễn phí của mỗi công cụ là đủ để làm mọi thứ trong bài viết này. Tôi đã thử nghiệm cả bốn công cụ này với cụm khai thác Bybit trong khi viết phần này: Etherscan và Arkham đã tạo ra kết quả có nhãn, có thể điều hướng trong vài giây; AMLBot trả về cờ nguy cơ cao trong dưới ba mươi giây; biểu đồ miễn phí của Breadcrumbs đã hiển thị ba bước nhảy phân tán trước khi giới hạn giá phần còn lại.

Bảng 3: Công cụ pháp y theo cấp độ truy cập (giá đã xác minh, 2026)
Công cụ Cấp độ miễn phí Cấp độ trả phí Tốt nhất cho Giới hạn
Etherscan (và explorer theo chain: BscScan, Solscan, Tronscan) Có — quyền đọc đầy đủ, 1.000 nhãn địa chỉ đã lưu Cấp API miễn phí; ~$200/tháng (gói Growth) cho giới hạn tốc độ cao hơn Truy vết thủ công từng bước; tự dạy bản thân cách giao dịch thực sự chảy Không phân cụm, không có nhãn thực thể ngoài đệ trình cộng đồng, không có chế độ xem chéo chain
Arkham Intelligence Có — tìm kiếm thực thể, nhãn ví, dashboard công khai Gói Ultimate ~$0/tháng với phần thưởng bounty (mô hình là “tip cho intel”) Tra cứu ngược (“ai sở hữu ví này?”), theo dõi thực thể, theo dõi mempool Bao phủ thiên về các thực thể lớn của Mỹ/EU; ví nhỏ thường không có nhãn
Breadcrumbs Chế độ xem biểu đồ miễn phí hạn chế Khoảng $49/tháng cho gói nhà điều tra cá nhân (xác minh khi đăng ký — giá thay đổi) Biểu đồ trực quan dòng tiền qua các bước nhảy; điểm rủi ro AML trên một địa chỉ duy nhất Giá không phải lúc nào cũng công khai; xác nhận trực tiếp. Bao phủ thực thể thấp hơn Chainalysis
AMLBot Ba lần kiểm tra địa chỉ miễn phí mỗi lần đăng ký Trả tiền theo lần dùng từ vài cent mỗi lần kiểm tra; cấp đăng ký cho doanh nghiệp Kiểm tra điểm AML trước khi nhận (“ví này có sắp gửi cho tôi USDT bị nhiễm bẩn không?”) Điểm là một heuristic, không phải bảo đảm; ví “xanh” vẫn có thể được phân loại lại sau

Đánh giá trung thực: Etherscan cộng AMLBot là đủ cho 90% trường hợp sử dụng cá nhân. Bạn sử dụng Etherscan để hiểu những gì đã xảy ra on-chain, và AMLBot trước bất kỳ chuyển khoản nào trên $1,000 để xác nhận đối tác chưa được gắn thẻ trong cụm đã biết. Arkham trở nên hữu ích khi bạn cần xác định ai sở hữu ví. Breadcrumbs đáng giá để trả tiền chỉ khi bạn đang thực hiện nhiều cuộc điều tra mỗi tháng. Không có công cụ nào trong số này sẽ cung cấp cho bạn quy kết cấp tổ chức — để có điều đó, bạn sẽ cần Chainalysis Reactor (chỉ dành cho doanh nghiệp, giá hợp đồng thường $50K+/năm) hoặc TRM (tương tự).

Để so sánh sâu hơn về cấp tổ chức, hãy xem hướng dẫn về công cụ theo dõi blockchain — Chainalysis vs Nansen vs Arkham vs Breadcrumbs vs TRM.

Các vụ trộm crypto đã được xác nhận của Lazarus Group 2017→2025

Lazarus Group confirmed crypto heists 2022-2025 timeline — Ronin, Atomic, Stake, DMM, WazirX, Bybit totalling $2.8B

Bybit không phải vụ hack sàn giao dịch $100M+ đầu tiên của Lazarus — và gần như chắc chắn không phải là vụ cuối cùng. Đặt vụ trộm vào ngữ cảnh quan trọng vì cùng một cẩm nang (peel chain → mixer → chéo chain → chờ đợi) xuất hiện trong mọi cuộc tấn công đã được xác nhận. FBI đã chính thức quy kết sáu sự cố sau cho các tác nhân nhà nước Triều Tiên:

  • Tháng 3 năm 2022 — Ronin Bridge: $625M. Lazarus đã xâm phạm năm trong số chín nút validator của cầu Axie Infinity. Truy vết của Elliptic đã ghi lại số tiền di chuyển qua Tornado Cash trong vòng vài tuần.
  • Tháng 6 năm 2023 — Atomic Wallet: ~$100M. Nhắm mục tiêu người dùng của Atomic Wallet không lưu ký thông qua chiến dịch phần mềm độc hại. Quy kết cho Lazarus được Elliptic công bố và được xác nhận bởi phân tích on-chain độc lập truy vết tiền qua cùng cụm TraderTraitor được sử dụng trong các vụ tấn công sau đó.
  • Tháng 9 năm 2023 — Stake.com: $41M. Xâm phạm hot-wallet tại casino crypto. Thông cáo báo chí FBI đã quy kết vụ trộm cho TraderTraitor / Lazarus.
  • Tháng 5 năm 2024 — DMM Bitcoin: $305M. 4.502,9 BTC đã bị đánh cắp từ sàn giao dịch Nhật Bản trong một giao dịch duy nhất; DMM Bitcoin đã thông báo đóng cửa sau đó vào năm 2024.
  • Tháng 7 năm 2024 — WazirX: ~$235M. Multisig Ethereum của sàn giao dịch Ấn Độ đã bị rút cạn theo một mô hình rất giống với cuộc tấn công Bybit sau này. Sự tham gia của Lazarus đã được xác nhận bởi nhiều nhà phân tích.
  • Tháng 2 năm 2025 — Bybit: $1.5B. Vụ trộm crypto lớn nhất được ghi nhận.

Cộng lại: hơn 2,8 tỷ USD trong vụ trộm Lazarus đã được xác nhận chỉ từ sáu sự cố này, với các vụ tấn công nhỏ hơn và những năm 2017-2021 đưa tổng số vụ trộm crypto Lazarus được quy kết công khai vượt qua mốc 5 tỷ USD trong các ước tính của ngành. Theo dõi cùng các tác nhân qua nhiều năm là điều cho phép các nhà phân tích phân cụm các ví — việc Lazarus tái sử dụng các mô hình và cơ sở hạ tầng là món quà lớn nhất cho các nhà điều tra.

Tự kiểm tra AML trong 10 phút trước bất kỳ chuyển khoản lớn nào

Bạn không cần phải truy vết một vụ trộm để sử dụng những công cụ này. Trường hợp sử dụng hàng ngày là kiểm tra ví của ai đó mà bạn sắp nhận một khoản chuyển khoản lớn — ví dụ, một người bán P2P trên Binance hoặc một khách hàng làm việc tự do thanh toán bằng USDT. Một ví có dấu vết tiền bẩn trong lịch sử có thể khiến ví của bạn bị gắn cờ ở dưới luồng. Tôi cá nhân chạy chính xác quy trình 10 phút này trước khi chấp nhận bất kỳ chuyển khoản P2P nào trên $500, và đã rời khỏi ba giao dịch trong năm qua vì địa chỉ nguồn cho thấy có liên hệ với mixer trong năm bước nhảy trước đó. Chúng tôi đã đề cập đến cơ chế trôi AML trong hướng dẫn của chúng tôi về tại sao crypto của bạn bị đóng băng.

Quy trình 10 phút:

  1. (1 phút) Lấy địa chỉ gửi tiền của đối tác. Nếu họ từ chối, đó tự nó là cờ đỏ — rút lời đề nghị của bạn.
  2. (3 phút) Chạy địa chỉ qua AMLBot. Điểm trên 30/100 (vùng đỏ) có nghĩa là dừng lại. Dưới 30 nhưng có cờ phơi nhiễm thực thể bị trừng phạt/mixer, cũng dừng. Ví thực sự sạch sẽ hiển thị “rủi ro thấp” với không có cờ nguồn rủi ro cao.
  3. (2 phút) Mở địa chỉ trong Etherscan. Xem lịch sử đến. Đến gần đây từ một mixer được gắn nhãn (Tornado Cash, Wasabi) hoặc từ một địa chỉ được gắn thẻ là lừa đảo đã biết? Dừng lại. Đến chỉ từ các sàn giao dịch lớn (Coinbase, Binance, Kraken)? Nói chung là ổn.
  4. (2 phút) Đối chiếu trên Arkham. Nếu địa chỉ có bất kỳ nhãn thực thể nào ngoài “personal wallet” — ví dụ, “Lazarus-linked” hoặc “OFAC-sanctioned” — Arkham gần như luôn hiển thị nó. Tài khoản miễn phí là đủ.
  5. (2 phút) Quyết định. Hai xanh trong số ba (AMLBot, Etherscan, Arkham) và giao dịch là an toàn vừa phải. Bất kỳ một đỏ nào và giao dịch không an toàn. Không có lựa chọn thứ tư.

Mười phút làm việc để tránh bị đóng băng $10,000 trong sáu tháng là ROI tốt nhất trong bảo mật crypto cá nhân. Hầu hết người dùng sẽ không làm điều này cho đến khi họ bị đóng băng một lần. Hãy là ngoại lệ.

Việc cần làm TRƯỚC KHI USDT của bạn bị đóng băng

Nếu bạn đã từng nhận một chuyển khoản truy ngược, dù bốn hay năm bước nhảy, đến mixer hoặc địa chỉ bị trừng phạt, stablecoin của bạn có nguy cơ bị đóng băng bởi nhà phát hành (Tether hoặc Circle) mà không có cảnh báo. Chỉ riêng Tether đã đóng băng hơn 3,3 tỷ USD trên 7.268 địa chỉ, và tỷ lệ giải đóng băng trung bình dưới 7%. Phòng ngừa là chiến lược thực tế duy nhất.

Danh sách kiểm tra 5 mục trước khi đóng băng:

  1. Chạy tự kiểm tra AML ở trên trên mọi ví nhận cho các chuyển khoản trên $1.000. Lưu báo cáo có dấu thời gian.
  2. Tránh nhận trực tiếp từ các nền tảng P2P có KYC yếu khi có thể — nhận vào một ví trung gian bạn kiểm soát, giữ trong 24 giờ, sau đó di chuyển.
  3. Không bao giờ nhận USDT/USDC từ output CoinJoin hoặc mixer, bất kể người gửi ngay lập tức trông sạch như thế nào. Logic đóng băng có tính đệ quy — Tether có thể hành động trên tiền có lịch sử mixer nhiều bước nhảy trước.
  4. Giữ một ví “tiết kiệm” riêng chỉ nhận từ các sàn giao dịch tập trung lớn. Coin của ví này không bao giờ nên chạm vào P2P, mixer, hoặc đối tác bạn không hoàn toàn tin tưởng.
  5. Nếu bạn phải chấp nhận một chuyển khoản rủi ro cao hơn, giảm kích thước. Mất $200 vì đóng băng có thể phục hồi được. Mất $20.000 thay đổi cả năm của bạn.

Hardware wallet không giúp chống lại đóng băng. Đóng băng xảy ra ở cấp smart-contract phía nhà phát hành stablecoin, không phải ở ví của bạn. Tài sản biến mất khỏi địa chỉ của bạn bất kể khóa của bạn ở Ledger, Trezor, hay trong bản sao lưu giấy. Xem so sánh hardware wallet của chúng tôi cho bức tranh bảo mật rộng hơn, nhưng hiểu: bảo mật lưu trữ và bảo mật luồng là hai vấn đề khác nhau.

Nạn nhân thực sự có thể làm gì (và điều gì không hiệu quả)

Nếu bạn đã bị đóng băng, lừa đảo, hoặc hack, các lựa chọn trung thực là hạn chế.

Cái gì có hiệu quả (đôi khi):

  • Báo cáo cho IC3.gov ngay lập tức nếu bạn ở Mỹ hoặc đang giao dịch từ đó. FBI không trả lại tiền, nhưng báo cáo nhập vào cơ sở dữ liệu kích hoạt đóng băng cấp sàn giao dịch. ic3.gov.
  • Gửi mẹo đến Chainalysis qua biểu mẫu công khai của họ cho các sự cố lớn. Họ đã xác nhận hợp tác ngành về Bybit bao gồm đầu vào trực tiếp từ đường dây mẹo.
  • Nộp báo cáo cảnh sát địa phương để có hồ sơ chính thức, ngay cả khi cảnh sát địa phương không thể hành động. Bảo hiểm, vụ kiện dân sự và yêu cầu khấu trừ thuế thua lỗ đều cần một số báo cáo.
  • Liên hệ với sàn giao dịch nơi tiền bị đánh cắp được nhìn thấy lần cuối đang đến. Nếu tiền của bạn vào một sàn giao dịch được quản lý với nhóm tuân thủ hoạt động (Binance, Coinbase, Kraken), đôi khi họ có thể đóng băng ở phía họ với một báo cáo đáng tin cậy. Họ sẽ không hành động trên một khiếu nại không cụ thể.

Điều gì không hiệu quả:

  • Các dịch vụ “phục hồi crypto” liên hệ với bạn trên Twitter/Telegram đề nghị phục hồi tiền của bạn với phí trả trước. Nền kinh tế phục hồi lừa đảo theo sau mỗi vụ hack tự nó là một trò lừa đảo. Công việc phục hồi chính đáng diễn ra thông qua thực thi pháp luật và nhóm tuân thủ sàn giao dịch, không phải qua các lời mời chào DM.
  • Yêu cầu hacker trả lại tiền. Lazarus chưa bao giờ trả lại tiền. Các nhóm khác đôi khi làm vậy (vụ “white hat” Poly Network 2021 là ngoại lệ nổi tiếng), nhưng đó là kết quả một-trong-một-nghìn.
  • Lệnh tòa chống lại các ví không xác định. Tòa án có thể ban hành lệnh đóng băng đối với các cá nhân và sàn giao dịch được nêu tên, không phải địa chỉ ẩn danh. Chúng chỉ trở nên hữu ích sau khi tiền vào một địa điểm được bảo quản.

Sự thật khó nuốt hơn: trong số 1,5 tỷ USD bị đánh cắp từ Bybit, mức trần phục hồi thực tế — giữa các đóng băng cấp sàn giao dịch, chương trình thưởng và các vụ tịch thu của cơ quan thực thi pháp luật — có lẽ dưới $100M. Mức trần thưởng $140M đại diện cho 10% của bất cứ điều gì thực sự được phục hồi, vì vậy theo quỹ đạo hiện tại, khoản chi trả thưởng thực tế cũng sẽ thấp hơn nhiều so với con số tiêu đề. Phần còn lại đang được giữ, trộn và rút ra từ từ qua nhiều năm. Tôi đã kiểm tra trình theo dõi chứng thực gần đây nhất trước khi xuất bản — khoảng cách giữa “tiêu đề được cam kết” và “thực sự bị đóng băng” mở rộng mỗi quý. Phòng ngừa mua được nhiều hơn nhiều so với phục hồi.

Tiếp tục học

Câu hỏi thường gặp

Crypto bị đánh cắp có thực sự có thể truy vết được nếu nó đi qua một mixer không?

Một phần. Các mixer như Tornado Cash trộn tiền từ nhiều người dùng cùng mệnh giá, vì vậy các liên kết on-chain trực tiếp bị phá vỡ. Nhưng các nhà phân tích sử dụng phân tích thời gian, phân tích mô hình rút tiền và hành vi sau mixer để gán điểm xác suất. Một hoạt động trộn lành nghề có thể giảm khả năng truy vết xuống dưới 50% độ tin cậy; một hoạt động lung tung vẫn ở trên 80%. Nhảy chéo chain qua các cầu không có KYC (THORChain, Chainflip) hiện tại phá vỡ truy vết đáng tin cậy hơn các mixer.

Tại sao 88% có thể truy được đã giảm xuống còn 68,57% chỉ trong một năm đối với Bybit?

Truy vết là một trò chơi tin cậy, không phải nhị phân. Các nhà phân tích gán mức độ tin cậy cho mỗi bước trong đường dẫn của một quỹ. Khi tiền đi qua nhiều mixer và cầu hơn, độ tin cậy của mỗi liên kết giảm. Sau đủ bước nhảy, độ tin cậy giảm xuống dưới ngưỡng mà các nhà điều tra công bố — thường khoảng 70-80%. Tiền không biến mất; sự chắc chắn phân tích về nơi chúng đi đã biến mất.

Việc sử dụng AMLBot hoặc Etherscan có hợp pháp ở quốc gia của tôi không?

Đọc blockchain công khai là hợp pháp ở mọi nơi — đó là toàn bộ tiền đề của các sổ cái công khai. Việc sử dụng các dịch vụ chấm điểm AML là hợp pháp ở mọi khu vực pháp lý lớn. Các câu hỏi về tính hợp pháp phát sinh xung quanh việc sử dụng các mixer (bất hợp pháp ở một số khu vực pháp lý khi được thiết kế để che giấu thu nhập từ tội phạm) và xung quanh việc sử dụng các công cụ pháp y để giám sát người khác mà không có sự đồng ý (được quy định theo các luật bảo vệ dữ liệu như GDPR cho cư dân EU). Đọc địa chỉ của các đối tác của riêng bạn trước một giao dịch là hoàn toàn hợp pháp.

Hardware wallet có bảo vệ chống lại loại tấn công này không?

Chống trộm khóa riêng tư, có — đó là công việc của chúng. Chống thao túng UI như cuộc tấn công Safe{Wallet}, không. Khóa của các signer Bybit chưa bao giờ bị xâm phạm; front-end đã nói dối họ về những gì họ đang ký. Bảo vệ chống lại các cuộc tấn công UI là “tránh ký mù” — sử dụng firmware ví giải mã và hiển thị các chi tiết giao dịch thực tế trên màn hình thiết bị, độc lập với UI của máy tính chủ. Các thiết bị Ledger mới hơn, Keystone Pro và GridPlus Lattice hỗ trợ điều này cho nhiều loại giao dịch.

Nếu tôi là người dùng nhỏ, tôi có thực sự gặp rủi ro từ Lazarus không?

Không trực tiếp. Lazarus nhắm mục tiêu vào các sàn giao dịch, các giao thức lớn và nhà cung cấp cơ sở hạ tầng, không phải các ví cá nhân dưới $1M. Rủi ro đối với người dùng nhỏ là ô nhiễm xuôi dòng — nhận tiền mà, vài bước nhảy ngược lại, có nguồn gốc từ một ví liên quan đến Lazarus. Đó là cách một khoản thanh toán làm việc tự do $5,000 trở thành một số dư USDT bị đóng băng $5,000 với quy trình phục hồi sáu tháng. Tự kiểm tra AML giải quyết chính xác rủi ro này.

Kết luận

Vụ hack Bybit không phải là một sự bất thường — đó là một sự lặp lại. Lazarus đã chạy cùng một cẩm nang qua sáu vụ trộm lớn đã được xác nhận và đang đếm, và cẩm nang hoạt động vì hầu hết những người phòng thủ không đọc giao dịch. Blockchain là công khai, các công cụ chủ yếu là miễn phí, và mười phút điều tra trước khi chuyển khoản rẻ hơn sáu tháng chờ đợi một ví bị đóng băng được xóa. Phần khó nhất không phải là khả năng đọc kỹ thuật. Đó là kỷ luật để thực sự làm điều đó.

Nếu bạn lấy một điều từ bài viết này, hãy biến nó thành quy trình tự kiểm tra AML. Năm bước, mười phút, và bạn sẽ chuẩn bị tốt hơn so với những người đã mất 1,5 tỷ USD vào tháng Hai năm ngoái.

Alex Mercer

Alex Mercer
Nhà phân tích tiền điện tử tại ChainGain

Alex đã đưa tin về thị trường tiền điện tử và công nghệ blockchain từ năm 2019. Anh tập trung vào các hướng dẫn thực tế giúp mọi người ở các thị trường mới nổi sử dụng tiền điện tử để tiết kiệm, thanh toán và chuyển tiền. Tiểu sử đầy đủ

Tuyên bố từ chối trách nhiệm: Bài viết này chỉ dành cho mục đích giáo dục và không cấu thành lời khuyên về tài chính, pháp lý hoặc đầu tư. Pháp y blockchain là một lĩnh vực phát triển nhanh chóng; các công cụ, kỹ thuật và rủi ro đối tác thay đổi nhanh chóng. Luôn thực hiện thẩm định riêng của bạn và tham khảo một chuyên gia có giấy phép để có lời khuyên cụ thể cho tình huống của bạn. Các ví dụ tham chiếu các sự kiện được báo cáo công khai; ChainGain không có liên kết với các sàn giao dịch, giao thức hoặc tác nhân đe dọa được đề cập.

Share this guide:
Khám Phá Tất Cả Hướng Dẫn →Gửi Tiền Rẻ Hơn →

Weekly Crypto Insights

Get practical guides on remittances, stablecoins, and exchange comparisons. Free, no spam, unsubscribe anytime.

We respect your privacy. Privacy Policy

Continue Learning

Kiếm 5-12% APY từ Stablecoin: So sánh nền tảng tốt nhất (2026)

Kiếm 5-12% APY từ Stablecoin: So sánh nền tảng tốt nhất (2026)

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích giáo dục và không phải là lời khuyên tài chính. Luôn tự nghiên cứu và tham khảo ý kiến cố …

Bảo vệ crypto của bạn: 10 quy tắc bảo mật mọi người cần biết (2026)

Bảo vệ crypto của bạn: 10 quy tắc bảo mật mọi người cần biết (2026)

Alex Mercer Nhà phân tích Crypto · 5+ năm kinh nghiệm Xuất bản: 9 tháng 3, 2026 · 14 phút đọc Người mới Bảo mật tiền điện tử chưa bao giờ qu…

Cách gửi tiền đến Brazil bằng Crypto (PIX + USDT) 2026

Cách gửi tiền đến Brazil bằng Crypto (PIX + USDT) 2026

So sánh 8 phương thức gửi tiền đến Brazil năm 2026: crypto qua Mercado Bitcoin + PIX có chi phí ~0,9% và đến trong 10–20 phút.