
Luật sư giải thích: Sửa đổi lớn Luật Phòng chống rửa tiền, thực trạng rủi ro an toàn trong 6 lĩnh vực của ngành Web3
Tuyển chọn TechFlowTuyển chọn TechFlow

Luật sư giải thích: Sửa đổi lớn Luật Phòng chống rửa tiền, thực trạng rủi ro an toàn trong 6 lĩnh vực của ngành Web3
Hãy trình bày chi tiết những rủi ro an ninh vốn có trong chính ngành Web3 và các rủi ro mà ngành này có thể bị sử dụng như công cụ rửa tiền.
Tác giả: Thiệu Thi Nguy
Phần này sẽ phân tích từ sáu lĩnh vực chính của Web3 về các rủi ro an toàn vốn có trong ngành Web3 cũng như nguy cơ các lĩnh vực này bị lợi dụng làm công cụ rửa tiền. Mục đích nhằm vạch rõ những mối đe dọa tiềm tàng bên trong ngành, đồng thời khơi dậy nhận thức của người hành nghề về phòng chống rửa tiền và tuân thủ pháp luật.
Các chuỗi công cộng, cầu nối chéo chuỗi (cross-chain bridge), sàn giao dịch, ví, DeFi và NFT là sáu lĩnh vực chủ đạo của ngành Web3. Trong năm 2023, tổng cộng đã xảy ra 435 sự cố an ninh, gây thiệt hại khoảng 7,983 tỷ USD (tương đương khoảng 57,8 tỷ Nhân dân tệ).
Chuỗi công cộng
Tổng quan:
Chuỗi công cộng là hệ thống máy chủ đám mây phi tập trung được xây dựng bằng công nghệ blockchain, dùng để lưu trữ và vận hành các ứng dụng phi tập trung, là nền tảng mạng cơ bản cho Web3. Các đại diện tiêu biểu bao gồm BTC, ETH, BSC, SOL... Mục tiêu mà mọi chuỗi công cộng đều hướng tới là đạt được ba yếu tố: mức độ phi tập trung cao, bảo mật mạnh mẽ và hiệu năng cao. Tuy nhiên, đây lại là một "tam giác bất khả thi". Ví dụ, chuỗi BTC đánh đổi hiệu năng để đạt được tính phi tập trung và bảo mật; còn ETH lại hy sinh bảo mật để lấy tính phi tập trung và hiệu năng.
Theo thống kê chưa đầy đủ, đến tháng 12 năm 2023 hiện có 194 chuỗi công cộng. Xét theo vốn hóa thị trường hệ sinh thái, theo dữ liệu từ Coingecko, ba hệ sinh thái dẫn đầu lần lượt là Ethereum, BNB Chain và Solana. Hiện nay, tổng vốn hóa thị trường của các hệ sinh thái chuỗi công cộng đã vượt quá một nghìn tỷ USD. Theo thống kê, đến tháng 12 năm 2023, lĩnh vực chuỗi công cộng đã ghi nhận 13 sự cố an ninh, với tổng giá trị tài sản thiệt hại hơn 280 triệu USD.
Hiện nay, nhiều chuỗi công cộng đã kết nối với nhau thông qua công nghệ cầu nối chéo chuỗi. Đặc điểm này khiến khi một chuỗi gặp vấn đề, ảnh hưởng sẽ nhanh chóng lan rộng sang các chuỗi liên kết khác, tạo nên phản ứng dây chuyền. Sự lây lan nhanh chóng này không chỉ nghiêm trọng về hậu quả mà còn rất khó xử lý, đe dọa nghiêm trọng đến sự ổn định và an toàn của toàn bộ hệ sinh thái chuỗi công cộng.
Vụ việc điển hình:
Ngày 7 tháng 10 năm 2022, nền tảng hợp đồng thông minh Binance Chain (BNB Chain) bị tin tặc tấn công. Trong vòng vỏn vẹn 2 giờ, tin tặc đã tự ý phát hành thêm 2 triệu BNB, sau đó chuyển chúng sang các chuỗi công cộng khác và dùng DEX trên từng chuỗi để đổi số BNB "giả" này lấy tiền thật, với tổng giá trị vượt quá 700 triệu USD.
Cầu nối chéo chuỗi (Cross-chain Bridge)
Tổng quan:
Do mỗi chuỗi công cộng hoạt động độc lập, khi nhà đầu tư tham gia đầu tư, đặt cược hoặc thực hiện các hoạt động khác trên các chuỗi khác nhau, họ bị giới hạn bởi cơ chế đồng thuận riêng biệt của từng chuỗi. Khi cần tích hợp hoặc chuyển đổi tài sản giữa các chuỗi, công nghệ chéo chuỗi (cross-chain) trở thành giải pháp thiết yếu. Cầu nối chéo chuỗi chính là "cây cầu" kỹ thuật và truyền tải tài sản bắt buộc phải có. Nó không phải là cây cầu vật lý, mà là một giao thức và công nghệ giúp người dùng chuyển tài sản qua lại giữa các chuỗi công cộng khác nhau. Theo thống kê, chỉ riêng trong nửa đầu năm 2022 đã xảy ra 7 vụ tấn công vào các cầu nối chéo chuỗi, gây thiệt hại tổng cộng khoảng 1,1359 tỷ USD.
Theo dữ liệu từ Chainalysis, trong năm 2023, hành vi phạm pháp sử dụng các giao thức cầu nối để rửa tiền gia tăng đáng kể, đặc biệt trong các vụ trộm cắp tiền mã hóa. Như hình minh họa, các giao thức cầu nối đã nhận được 743,8 triệu USD tiền mã hóa từ các địa chỉ bất hợp pháp trong năm 2023, so với con số 312,2 triệu USD của năm 2022. Ví dụ, nhóm tin tặc Triều Tiên Lazarus Group đã kết hợp công nghệ cầu nối chéo chuỗi với máy trộn tiền (mixer) để trở thành phương tiện rửa tiền chủ yếu.

Vụ việc điển hình:
1. Tài sản trên chuỗi Ronin bị đánh cắp
Tối ngày 29 tháng 3 năm 2022, tài sản trên chuỗi Ronin – nền tảng hỗ trợ trò chơi blockchain Axie Infinity – bị đánh cắp. Vụ việc thực tế xảy ra vào ngày 23 tháng 3 nhưng đến tận ngày 29 mới được phát hiện. Tổng thiệt hại do cuộc tấn công này gây ra khoảng 624 triệu USD (gồm 173.600 ETH và 25,5 triệu USDC), đây là vụ mất mát lớn nhất trong lịch sử các sự cố an ninh cầu nối chéo chuỗi. Số tiền bị đánh cắp trên chuỗi Ronin không thể truy hồi, cuối cùng công ty phát triển Sky Mavis và Axie Infinity phải hoàn trả cho người dùng.
2. Dự án chéo chuỗi bị sử dụng để rửa tiền
Ngày 10 tháng 8 năm 2022, công ty phân tích blockchain Elliptic cho biết giao thức RenBridge đã bị dùng để thực hiện các giao dịch rửa tiền với ít nhất 540 triệu USD tiền bất hợp pháp.
Ngày 21 tháng 5 năm 2023, Giám đốc điều hành Zhao Jun của dự án chéo chuỗi nổi tiếng Multichain bị cảnh sát Trung Quốc bắt tại nhà và mất liên lạc với đội ngũ toàn cầu của Multichain. Việc bắt giữ Multichain, theo các báo cáo truyền thông công khai, liên quan đến việc hỗ trợ rửa tiền cho các băng nhóm tội phạm với số tiền rất lớn.
Sàn giao dịch
Tổng quan:
Sàn giao dịch, hay còn gọi là sàn giao dịch tiền điện tử, có chức năng chính bao gồm: cung cấp dịch vụ mua bán tiền ảo cho người dùng, lưu trữ và quản lý tài sản ảo, cung cấp dịch vụ cho vay tài sản ảo... Theo dữ liệu từ Coingecko, đến tháng 12 năm 2023, có tổng cộng 887 sàn giao dịch tiền mã hóa, trong đó có 224 sàn tập trung, 663 sàn phi tập trung và 94 sàn phái sinh. Theo thống kê, trong năm 2023 đã xảy ra 19 sự cố an ninh tại các sàn giao dịch tiền mã hóa, với tổng giá trị tài sản thiệt hại vượt quá 1,2 tỷ USD.
Vụ việc điển hình:
Ngày 21 tháng 11 năm 2023, Bộ Tư pháp Hoa Kỳ đăng bài viết cho biết Công ty Binance Holdings Limited (gọi tắt là Binance), đơn vị vận hành sàn giao dịch tiền mã hóa lớn nhất thế giới Binance.com, đã thừa nhận hành vi liên quan đến rửa tiền, chuyển tiền không giấy phép và vi phạm các lệnh trừng phạt, đồng ý nộp phạt 4,3 tỷ USD (bị tịch thu 2,5 tỷ USD và nộp phạt hình sự 1,8 tỷ USD). Đồng thời, CEO và người sáng lập Binance Triệu Trường Bằng thừa nhận ông đã không duy trì chương trình chống rửa tiền hiệu quả và đã từ chức khỏi vị trí CEO của Binance.

Vào lúc 16h36 chiều ngày 21 tháng 11, Triệu Trường Bằng, người sáng lập Binance, đăng tweet xác nhận đã từ chức CEO của Binance trong ngày hôm đó và nói rằng: “Tôi đã mắc sai lầm, tôi phải chịu trách nhiệm”.

Bộ Tư pháp Hoa Kỳ chỉ ra rằng Binance đã không triển khai chương trình chống rửa tiền hiệu quả. Trong nhiều năm, Binance cho phép người dùng mở tài khoản và giao dịch mà không cần cung cấp bất kỳ thông tin nhận dạng nào ngoài địa chỉ email. Ngoài ra, luật trừng phạt của Mỹ cấm người Mỹ giao dịch với khách hàng nằm trong khu vực bị trừng phạt, như Iran. Tuy nhiên, Binance đã không thực hiện các biện pháp ngăn chặn người dùng Mỹ giao dịch với người dùng Iran. Từ tháng 1 năm 2018 đến tháng 5 năm 2022, do sự thiếu sót cố ý của Binance, các giao dịch giữa người dùng Mỹ và người dùng thường trú tại Iran đã vượt quá 898 triệu USD.
“Trong quá trình theo đuổi lợi nhuận, Binance đã phớt lờ nghĩa vụ pháp lý của mình. Sự thiếu sót cố ý này đã để dòng tiền chảy qua nền tảng của họ đến tay khủng bố, tội phạm mạng và những kẻ lạm dụng trẻ em”, Bộ trưởng Tài chính Janet Yellen nói. “Để đảm bảo tuân thủ luật pháp Hoa Kỳ, hình phạt và giám sát mang tính bước ngoặt hôm nay đánh dấu một cột mốc trong ngành tiền mã hóa. Bất kỳ tổ chức nào muốn hưởng lợi từ hệ thống tài chính Mỹ, dù ở đâu, đều phải tuân thủ các yêu cầu bảo vệ tất cả chúng ta khỏi khủng bố, lực lượng thù địch nước ngoài và tội phạm, nếu không sẽ phải đối mặt với hậu quả”. Theo trang công nghệ GeekWire, thẩm phán Jones tại tòa án cho biết hành vi cụ thể vi phạm Đạo luật Bí mật Ngân hàng Liên bang của Binance là “chưa từng có về số lượng, quy mô và mức độ”, đồng thời “phớt lờ cơ bản” trước nguy cơ tài trợ khủng bố và buôn bán ma túy.
Ngày 30 tháng 4 năm 2024, Triệu Trường Bằng, người sáng lập và cựu CEO của Binance, bị tuyên án 4 tháng tù giam vì không ngăn chặn việc rửa tiền tại sàn giao dịch.
Ví
Tổng quan:
Ví Web3, còn gọi là ví tiền mã hóa hoặc ví tài sản số, là công cụ dùng để lưu trữ, quản lý và sử dụng tiền kỹ thuật số. Theo thống kê, đến tháng 12 năm 2023, có tổng cộng 153 dự án ví số. Năm 2023, xảy ra 35 sự cố an ninh liên quan đến ví số, với tổng giá trị tài sản thiệt hại vượt quá 600 triệu USD.
Tội phạm rửa tiền liên quan đến ví số chủ yếu thể hiện ở hai khía cạnh: thứ nhất là do tính năng an toàn của ví không đủ tốt, dẫn đến bị tin tặc tấn công và mất tài sản người dùng; thứ hai là do ví số không yêu cầu KYC, chỉ cần cung cấp địa chỉ (một chuỗi ký tự chữ và số), không cần dịch vụ trung gian như ngân hàng, đặc tính ẩn danh và xuyên biên giới này khiến nó trở thành công cụ lý tưởng cho các phần tử bất lương thực hiện rửa tiền.
Vụ việc điển hình:
1. Ví nóng bị đánh cắp
Alphapo là nhà cung cấp dịch vụ thanh toán tiền mã hóa tập trung, phục vụ cho cờ bạc, thương mại điện tử, dịch vụ đăng ký và các nền tảng trực tuyến khác. Ngày 23 tháng 7 năm 2023, ví nóng của Alphapo bị tấn công, thiệt hại khoảng 60 triệu USD, bao gồm Ethereum, TRON và BTC. Số tiền bị đánh cắp trước tiên được chuyển đổi thành ETH trên mạng Ethereum, sau đó chuyển sang mạng Avalanche và BTC.
2. Vụ án rửa tiền đầu tiên ở Trung Quốc sử dụng Nhân dân tệ số
Ngày 2 tháng 11 năm 2021, cơ quan công an thành phố Tân Mật, tỉnh Hà Nam phá án một vụ lừa đảo mạng viễn thông, trong đó nhóm lừa đảo đã sử dụng Nhân dân tệ số để rửa tiền nhằm tránh bị cơ quan công an truy bắt. Được biết, đây là vụ án đầu tiên trên cả nước sử dụng Nhân dân tệ số để rửa tiền được phá thành công kể từ khi thử nghiệm Nhân dân tệ số.
DeFi – vùng đất dễ tổn thương hàng đầu trong lĩnh vực chống rửa tiền blockchain
Tổng quan:
DeFi, hay tài chính phi tập trung, là một hệ thống giao thức phi tập trung dùng để xây dựng hệ thống tài chính mở. Trong hệ sinh thái DeFi hiện nay, có rất nhiều loại dự án, phân loại theo chức năng bao gồm: giao dịch, cho vay, quản lý tài sản, stablecoin, cơ sở hạ tầng tài chính, bảo hiểm, phái sinh, sàn giao dịch... Theo thống kê, trong các lĩnh vực dự án Web3, DeFi vẫn là lĩnh vực thường xuyên bị tấn công nhất. Năm 2023, DeFi xảy ra 282 sự cố an ninh, chiếm 60,77% tổng số sự cố, với thiệt hại lên tới 773 triệu USD.

Hầu hết các sản phẩm DeFi đều được xây dựng dựa trên hợp đồng thông minh và giao thức tương tác, mã nguồn phổ biến là mã nguồn mở. Trong hệ sinh thái DeFi ngày càng mở rộng, sự kết hợp luân chuyển và chia sẻ tài sản giữa các sản phẩm DeFi khác nhau dẫn đến ngày càng nhiều vấn đề an ninh. Theo báo cáo từ công ty blockchain Chainalysis, trong tổng số tiền gửi từ các địa chỉ bất hợp pháp đến các tổ chức dịch vụ tài sản mã hóa, tỷ lệ DeFi ngày càng tăng. Năm 2021, lượng tiền bất hợp pháp nhận được bởi các dự án DeFi tăng khoảng 1900% so với năm 2020, chiếm 19% tổng lượng tiền bất hợp pháp được giám sát. Đến năm 2022, các giao thức DeFi đã trở thành nơi nhận tiền bất hợp pháp lớn nhất, chiếm 69% tổng số tiền được gửi từ các địa chỉ liên quan đến hoạt động phạm tội.

Vụ việc điển hình:
Tin tặc Triều Tiên sử dụng giao thức DeFi để rửa tiền
Theo trường hợp năm 2021 do Chainalysis cung cấp, nhóm tin tặc Triều Tiên Lazarus Group sau khi đánh cắp tài sản mã hóa trị giá hơn 91 triệu USD từ các sàn giao dịch tập trung đã sử dụng một số giao thức DeFi để rửa tiền. Chainalysis chỉ ra rằng, ban đầu tin tặc đánh cắp nhiều loại token ERC-20, sau đó dùng các giao thức DeFi để đổi chúng sang Ethereum; tiếp tục gửi ETH vào máy trộn tiền, rồi lại dùng giao thức DeFi để đổi sang Bitcoin (BTC), cuối cùng chuyển BTC đến nhiều sàn giao dịch tập trung để thanh lý và rút tiền mặt.

NFT
Tổng quan:
NFT (Non-Fungible Token - token không thể thay thế) là một dạng tài sản số được lưu trữ trên blockchain, có đặc tính duy nhất, khan hiếm và không thể chia nhỏ. Chủ yếu được ứng dụng trong trò chơi, tác phẩm nghệ thuật và tên miền... Theo thống kê chưa đầy đủ, đến tháng 12 năm 2023, lĩnh vực NFT đã xảy ra tổng cộng 44 sự cố an ninh, với tổng giá trị tài sản thiệt hại khoảng 62 triệu USD.
Vụ việc điển hình: Giao dịch rửa NFT
Theo thống kê của Chainalysis, trong quý III và IV năm 2021, phần lớn tài sản mã hóa bất hợp pháp liên quan đến NFT đến từ các địa chỉ liên quan đến lừa đảo. Những địa chỉ này đã dùng tiền mã hóa để mua NFT, đồng thời có lượng lớn tiền bị đánh cắp được gửi vào các sàn giao dịch NFT.

Dựa trên dữ liệu phân tích xác nhận lợi nhuận từ các giao dịch rửa NFT, có 262 địa chỉ thuộc nhóm người thường xuyên thực hiện giao dịch rửa NFT, trong đó 152 địa chỉ không có lợi nhuận, còn 110 địa chỉ còn lại đã kiếm lời gần 8,9 triệu USD thông qua các giao dịch rửa này.

Lưu ý: Dữ liệu trong bài viết được tổng hợp từ các báo cáo nghiên cứu ngành của OKLink, ZeroTime Technology, SlowMist, Chengdu Chain Security, ZhiFan Technology, v.v.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












