fin43 logo
Tin thị trường

1,5 tỷ USD biến mất trong mười lăm phút — và 19 hồ sơ rửa tiền tài sản số dưới lăng kính FATF

Bài mở màn series "Hồ sơ tài sản số — Giải mã các vụ án rửa tiền dưới khung FATF" trên Fin43 — mỗi 2 ngày một vụ án, từ darknet 2013 đến stablecoin né trừng phạt 2026.

FAFin43 Admin
·5 tháng 7, 2026·3 phút đọc·34 lượt xem
1,5 tỷ USD biến mất trong mười lăm phút — và 19 hồ sơ rửa tiền tài sản số dưới lăng kính FATF

Vì sao có series này

Ngày 21/2/2025, đội quản lý ví của ByBit — một trong những sàn tài sản số lớn nhất thế giới — ký duyệt một giao dịch nội bộ mà họ tin là hoàn toàn thường nhật. Mười lăm phút sau, 1,5 tỷ USD đã nằm trong tay tin tặc Triều Tiên.

Vụ trộm lớn nhất lịch sử tài sản số không bắt đầu từ một lỗ hổng hợp đồng thông minh, mà từ màn hình mà con người nhìn vào khi ký duyệt. Đó cũng là tinh thần của series này: mỗi vụ án là một bài học cụ thể về nơi hệ thống phòng thủ thực sự gãy — và về những gì người làm tuân thủ, giám sát giao dịch (TM) và quản trị rủi ro có thể rút ra.

Series gồm 19 hồ sơ, đăng 2 ngày một kỳ, chia thành các phần:

Phần

Nội dung

Các vụ án

I

Bốn vụ "đinh"

ByBit · Operation Destabilise · AlphaBay · Helix

II

Hệ sinh thái darknet

DeepDotWeb

III

Mạng lưới con la & can thiệp kịp thời

4 case study FATF (Nam Phi, Hàn Quốc, Séc, Cayman)

IV

Ví phi tập trung & tội phạm có tổ chức

3 case study FATF (Nga, Ý)

V

Nạn nhân thành công cụ & đại lý không phép

2 case study FATF

VI

Diện mạo 2026

Prince Group · A7A5

Phụ lục

Ba hồ sơ nóng bổ sung

Huione · Tornado Cash/Roman Storm · Mr Pips (Việt Nam)

Nguyên tắc nguồn: mọi số liệu và tình tiết đều xuất phát từ nguồn công khai có thể kiểm chứng — thông cáo của DOJ, FinCEN, IRS-CI, FBI, NCA, OFAC, OFSI; báo cáo FATF 2020 & 2025; The 2026 Crypto Crime Report (Chainalysis) — không có chi tiết nào được bịa đặt. Với các vụ FATF công bố ẩn danh, bài viết trình bày trung thực theo mô tả gốc, không gán thêm chi tiết nhận dạng.

Khung tham chiếu xuyên suốt: bộ sáu nhóm dấu hiệu cảnh báo về tài sản ảo của FATF (Virtual Assets Red Flag Indicators, 2020). Mỗi vụ đều kết thúc bằng bảng đối chiếu với khung này — để đến cuối series, bạn đọc nhận ra các mẫu hình lặp lại từ một con la lẻ ở Praha đến vụ trộm 1,5 tỷ USD.

Hình 1. Sơ đồ — Sáu nhóm dấu hiệu cảnh báo VA của FATF (2020), khung tham chiếu của toàn series

Một lưu ý quan trọng: bộ dấu hiệu 2020 ra đời trước làn sóng rủi ro mới mà các vụ 2025–2026 phơi bày — tấn công giao diện ký quỹ, mô hình cash-to-crypto công nghiệp, lừa đảo gắn buôn người, stablecoin do nhà nước bị trừng phạt phát hành. Vì vậy mỗi kỳ đều có thêm mục "rủi ro/xu hướng mới" nằm ngoài phạm vi khung 2020.

Giờ thì xin mời bạn đọc mở hồ sơ đầu tiên.


Vụ A — ByBit: 1,5 tỷ USD trong mười lăm phút

Nguồn: FATF 2025 · DPRK/Lazarus · UAE | Bổ sung: FBI, Chainalysis, TRM Labs, Verichains/Sygnia

Ngày 21 tháng 2 năm 2025, lúc 13 giờ 30 phút UTC, đội quản lý ví của ByBit — sàn tài sản số đặt tại Dubai — khởi tạo một thao tác mà họ tin là hoàn toàn thường nhật: chuyển khoảng 30.000 Ethereum từ ví lạnh sang ví ấm. Ví lạnh là kho lưu trữ ngoại tuyến, được coi là pháo đài an toàn nhất; mọi giao dịch rời khỏi nó đều cần chữ ký của nhiều người theo cơ chế đa chữ ký (multisig). Nhưng kẻ tấn công đã chờ sẵn trong bóng tối, có lẽ suốt nhiều tháng. Mục tiêu của chúng không phải bản thân cơ chế đa chữ ký — vốn được thiết kế để loại bỏ điểm yếu đơn lẻ — mà là thứ mong manh hơn nhiều: giao diện mà những người ký nhìn vào.

Cuộc tấn công diễn ra theo hai pha. Ở pha thứ nhất, nhóm tin tặc xâm nhập hạ tầng phát triển của Safe{Wallet} — nền tảng phần mềm nguồn mở mà ByBit dùng để quản lý ví đa chữ ký. Theo điều tra của Verichains và Sygnia, chúng xâm nhập máy của một nhà phát triển Safe, rồi chèn một đoạn JavaScript độc hại vào giao diện app.safe.global — đoạn mã tinh vi đến mức chỉ kích hoạt khi phát hiện đúng ví của ByBit, còn lại để toàn bộ ứng dụng hoạt động bình thường. Pha thứ hai: khi đội ByBit xem lại giao dịch để ký duyệt, giao diện hiển thị mọi chi tiết đúng như một giao dịch nội bộ hợp lệ; nhưng phía dưới, đoạn mã đã âm thầm thay đổi logic hợp đồng thông minh, định tuyến tài sản tới các địa chỉ do tin tặc kiểm soát. Cả nhóm người ký cùng nhìn vào một giao diện đã nhiễm độc, nên lớp bảo vệ đa chữ ký bị vô hiệu hóa hoàn toàn.

Khoảng 401.000 ETH — trị giá xấp xỉ 1,5 tỷ USD — rời khỏi ví lạnh, phân tán qua 39 địa chỉ chỉ trong vài phút. Hai phút sau vụ trộm, phiên bản JavaScript độc hại được gỡ khỏi hạ tầng Safe để xóa dấu vết. Đây là vụ trộm tài sản số đơn lẻ lớn nhất lịch sử. Phản ứng của ByBit nhanh và minh bạch khác thường: CEO Ben Zhou công khai sự việc gần như tức thì, khẳng định sàn vẫn đủ khả năng thanh toán, và xử lý trơn tru hơn 350.000 lệnh rút chỉ trong mười giờ đầu nhờ các khoản vay khẩn từ Bitget và Binance. Sàn phát động chương trình thưởng tới 10% cho ai giúp thu hồi tài sản.

◈ Chân dung — Lazarus Group / TraderTraitor (CHDCND Triều Tiên)

Bản chất: tên ô bao trùm nhiều đội tác chiến mạng của nhà nước Triều Tiên; còn gọi APT38. Trực thuộc: Cục 3, Tổng cục Trinh sát (RGB) — cơ quan tình báo đối ngoại chủ chốt của DPRK. Hoạt động từ: khoảng năm 2009; gắn với vụ tấn công Sony Pictures (2014). Quy mô tội phạm: theo TRM Labs, đã đánh cắp hơn 5 tỷ USD crypto kể từ 2017; trước ByBit, vụ lớn nhất là DMM Bitcoin (2024, ~308 triệu USD).

Việc truy vết bắt đầu ngay lập tức. Nhà điều tra on-chain độc lập ZachXBT đưa ra bằng chứng liên kết vụ tấn công với nhóm Lazarus của CHDCND Triều Tiên, sau khi phát hiện một phần tiền được gửi tới địa chỉ Ethereum từng dùng trong các vụ hack Phemex, BingX và Poloniex. Ngày 26/2, FBI chính thức quy trách nhiệm cho DPRK, cụ thể là cụm TraderTraitor thuộc Tổng cục Trinh sát (RGB), và công bố 51 địa chỉ Ethereum liên quan đến hoạt động rửa tiền. Quá trình rửa tiền sau đó là một màn trình diễn về tốc độ: tin tặc quy đổi ETH sang Bitcoin — vốn khó truy vết hơn do mô hình UTXO — phân tán qua hàng nghìn địa chỉ, dùng các sàn không KYC như eXch và bridge để hoán đổi. Theo Ben Zhou, đến ngày 20/3, 86,29% số ETH bị đánh cắp đã được chuyển thành 12.836 BTC, rải qua 9.117 ví. Báo cáo FATF ghi nhận tỷ lệ thu hồi chỉ 3,8%.

Nhưng tính bất biến của blockchain vẫn là lợi thế của bên truy vết. Tháng 5/2025, cảnh sát Đức tịch thu 34 triệu euro crypto từ nền tảng eXch trong cuộc điều tra rửa tiền vụ ByBit. Tháng 7/2025, Cơ quan Phòng chống Rửa tiền Hy Lạp thực hiện vụ đóng băng crypto đầu tiên của nước này — nhờ đã đầu tư công cụ phân tích Chainalysis Reactor từ 2023 — sau khi một giao dịch đáng ngờ nhiều tháng sau vụ hack được phát hiện và lần ngược về các ví gốc của ByBit.

Hình 2. Sơ đồ A — Đường tấn công, ba làn sóng rửa tiền và các mũi thu hồi vụ ByBit.

Dấu hiệu cảnh báo nhận diện (đối chiếu khung FATF)

  • Nhóm 1 & 2: Phân tán tức thời sang 39 địa chỉ; chuỗi quy đổi ETH → BTC qua hàng nghìn ví không có lý giải kinh doanh.

  • Nhóm 3: Dùng sàn không KYC (eXch), mixer (Wasabi, Tornado, Railgun) và bridge chuỗi chéo để cắt liên kết.

  • Nhóm 5: Nguồn tiền là tài sản bị đánh cắp; liên hệ với địa chỉ từng dùng trong các vụ hack trước của Lazarus.

  • Rủi ro mới 2025–2026: Tấn công giao diện ký quỹ (UI compromise) và chuỗi cung ứng front-end — bề mặt tấn công vượt ra ngoài bộ dấu hiệu 2020.

Đúc kết & liên hệ thời đại 2026

Quy trình đa chữ ký chỉ an toàn ngang với giao diện hiển thị giao dịch. Vụ ByBit định hình lại nhận thức của ngành: rủi ro không còn nằm ở lỗ hổng hợp đồng thông minh, mà ở thao túng giao diện và chuỗi cung ứng phần mềm. Với compliance, bài học là tốc độ — cửa sổ đóng băng tài sản chỉ mở trong vài giờ ở ba điểm nghẽn (đổi sang BTC, đổi sang stablecoin, rút tại sàn), đòi hỏi năng lực phân tích on-chain thời gian thực và hợp tác công–tư xuyên biên giới được chuẩn bị từ trước.


Kỳ tới (2 ngày nữa)

Vụ B — Operation Destabilise: một cuộc dừng xe bình thường ở bắc London kéo ra mạng lưới rửa tiền trải hơn 30 quốc gia — nơi tiền mặt của băng ma túy Anh và crypto của ransomware Nga đổi chỗ cho nhau qua một "sổ cái vô hình", và hơn thế nữa, mua hẳn một ngân hàng để né trừng phạt.

Toàn bộ nguồn tham khảo của từng vụ được liệt kê dưới Nguồn tham khảo. Bài viết là phân tích dựa trên tài liệu công bố; mọi cá nhân được nêu tên theo đúng hồ sơ truy tố/trừng phạt công khai.

[NGUỒN THAM KHẢO]

RWATài sản mã hóaAMLCompliance
Kỳ 2: Từ một cuộc dừng xe ở London đến mạng lưới rửa tiền mua đứt cả một ngân hàng
Fin43 Admin3 phút đọc14

Kỳ 2: Từ một cuộc dừng xe ở London đến mạng lưới rửa tiền mua đứt cả một ngân hàng

Kỳ 2 series Hồ sơ tài sản số — Giải mã các vụ án rửa tiền dưới khung FATF trên Fin43 Đọc kỳ 1 (vụ ByBit) tại đây: https://fin43.ninvest.vn/bai-viet/15-ty-usd-bien-mat-trong-muoi-lam-phut-va-19-ho-so-rua-tien-tai-san-so-duoi-lang-kinh-fatf
Tin thị trường8 tháng 7, 2026
Khung pháp lý Tài chính - Kế toán - Thuế Tài sản mã hóa tại Việt Nam (Phần II)
N-Investment Admin3 phút đọc59

Khung pháp lý Tài chính - Kế toán - Thuế Tài sản mã hóa tại Việt Nam (Phần II)

Ngày 06/4/2026, Bộ Tài chính ban hành Thông tư số 41/2026/TT-BTC đánh dấu một bước hoàn thiện quan trọng trong khung pháp lý thí điểm thị trường tài sản mã hóa (TSMH) tại Việt Nam.
Tin thị trường14 tháng 6, 2026
Khung pháp lý Tài chính - Kế toán - Thuế Tài sản mã hóa tại Việt Nam (Phần I)
N-Investment Admin3 phút đọc130

Khung pháp lý Tài chính - Kế toán - Thuế Tài sản mã hóa tại Việt Nam (Phần I)

Ngày 06/4/2026, Bộ Tài chính ban hành Thông tư số 41/2026/TT-BTC hướng dẫn việc kê khai, khấu trừ, nộp thuế và quyết toán thuế trên thị trường tài sản mã hóa, đánh dấu một bước hoàn thiện quan trọng trong khung pháp lý thí điểm thị trường tài sản mã hóa (TSMH) tại Việt Nam theo Nghị quyết 05/2025/NQ-CP.
Tin thị trường31 tháng 5, 2026
Việt Nam và bản kế hoạch số đầy tham vọng
Fin43 Admin3 phút đọc133

Việt Nam và bản kế hoạch số đầy tham vọng

Việt Nam vừa ký ban hành chương trình phát triển công nghiệp công nghệ số tham vọng nhất từ trước đến nay — và những hàm ý tài chính là đáng kể.
Tin thị trường16 tháng 5, 2026