Vụ án cướp Bitcoin: Khách sạn năm sao, phong bì nhét đầy tiền mặt và số tiền biến mất không dấu vết
Tuyển chọn TechFlowTuyển chọn TechFlow
Vụ án cướp Bitcoin: Khách sạn năm sao, phong bì nhét đầy tiền mặt và số tiền biến mất không dấu vết
Một cuộc săn lùng tinh vi nhắm vào CEO ngành khai thác.
Chuyên sâu báo cáo Web3Bài viết: Joel Khalili
Dịch: Luffy, Foresight News
Các vụ lừa đảo tiền mã hóa ngày càng trở nên phức tạp, nhưng hiếm có vụ nào tinh vi như trường hợp của một giám đốc khai thác Bitcoin bị lừa vào đầu năm nay.
Khi Kent Halliburton đứng trong phòng tắm khách sạn The Hermitage ở trung tâm Amsterdam, cách nhà hàng ngàn dặm, ông dùng ngón tay sờ vào phong bì đầy những tờ tiền mới mệnh giá 10.000 euro và bắt đầu tự hỏi mình đã dính vào chuyện gì.
Halliburton là đồng sáng lập và CEO của Sazmining, công ty vận hành phần cứng khai thác Bitcoin cho khách hàng theo mô hình "khai thác như một dịch vụ". Ông thường trú tại Peru, nhưng các thiết bị khai thác của Sazmining được đặt tại các trung tâm dữ liệu bên thứ ba ở Na Uy, Paraguay, Ethiopia và Hoa Kỳ.
Theo lời kể của Halliburton, ngày 5 tháng 8, ông bay đến Amsterdam để gặp Even và Maxim – hai người tự xưng là đại diện của một gia tộc giàu có ở Monaco. Văn phòng gia đình này đề xuất mua hàng trăm máy khai thác Bitcoin từ Sazmining với giá trị khoảng 4 triệu USD, sẽ được lắp đặt tại một mỏ đang xây dựng của công ty ở Ethiopia. Trước khi hoàn tất giao dịch, văn phòng gia đình yêu cầu được gặp Halliburton trực tiếp.
Khi Halliburton đến khách sạn The Hermitage, ông thấy Even và Maxim đã ngồi sẵn trong một phòng riêng. Họ tạo ấn tượng là những tay chơi cược lớn kiểu ăn chơi – đặc biệt là Maxim, mặc vest ba món màu be, chải chuốt kỹ lưỡng, tóc dài đen chia ngôi giữa, lộ ra chiếc đồng hồ Rolex ở cổ tay.
Trong bữa trưa ba món (có ceviche trang trí trứng cá muối, cá tuyết Chile và bánh anh đào), họ thảo luận khung giao dịch và chia sẻ thông tin về bản thân. Even nói nhiều và hay đùa, kể về các bữa tiệc xa hoa ở Marrakesh; còn Maxim thì lạnh lùng, phần lớn thời gian chỉ nhìn chằm chằm vào Halliburton như thể đang đánh giá ông.
Để xây dựng lòng tin, Even đề nghị Halliburton bán cho văn phòng gia đình một lượng nhỏ Bitcoin trị giá khoảng 3.000 USD. Ban đầu Halliburton do dự, nhưng coi đây là một nghi thức "bẻ băng" kỳ lạ. Một trong hai người đưa cho Halliburton một phong bì đầy tiền mặt và bảo ông vào phòng tắm để kiểm tra số tiền. "Cảm giác giống như trong phim James Bond," Halliburton nói, "rất mới mẻ đối với tôi."
Halliburton rời đi bằng taxi, cảm thấy bối rối nhưng vẫn hy vọng đạt được thỏa thuận với văn phòng gia đình. Đối với Sazmining – công ty chỉ có khoảng 15 nhân viên – giao dịch này có thể mang lại sự thay đổi mang tính bước ngoặt.
Chỉ chưa đầy hai tuần sau, Halliburton đã bị Even và Maxim lừa mất hơn 200.000 USD tiền Bitcoin. Ông không biết liệu Sazmining có thể vượt qua cú sốc tài chính này hay không, cũng không hiểu rõ cách mà bọn lừa đảo đã dụ dỗ ông.
Sau bữa trưa với Even và Maxim, Halliburton bay thẳng đến Latvia để tham dự một hội nghị Bitcoin, sau đó đến Ethiopia để kiểm tra tiến độ xây dựng trung tâm dữ liệu.
Trong thời gian ở Ethiopia, Halliburton nhận được tin nhắn WhatsApp từ Even, người muốn thúc đẩy giao dịch nhưng kèm điều kiện: Sau vụ mua Bitcoin nhỏ tại khách sạn The Hermitage, Sazmining cần bán thêm Bitcoin cho văn phòng gia đình. Hai bên cuối cùng thống nhất số tiền là 400.000 USD, tương đương một phần mười giá trị giao dịch tổng thể.
Even yêu cầu Halliburton quay lại Amsterdam để ký hợp đồng cần thiết. Halliburton đã xa nhà nhiều tuần và phản đối, nhưng Even kiên quyết: "Làm việc từ xa không phù hợp với tôi, giờ tôi không làm kiểu đó nữa."
Vào chiều sớm ngày 16 tháng 8, Halliburton trở lại Amsterdam. Buổi tối hôm đó, ông phải gặp Maxim tại nhà hàng teppanyaki của khách sạn 5 sao Okura Hotel. Nhà hàng được trang trí tinh tế theo phong cách Nhật truyền thống, với ván gỗ ốp tường, vách giấy, vườn thiền, và một dãy hạc giấy treo trên cầu thang xoắn ở đại sảnh.
Halliburton thấy Maxim đang ngồi trên ghế sofa khu vực chờ bên ngoài nhà hàng, mặc bộ vest bạc lòe loẹt. Khi chờ vào bàn, Maxim yêu cầu Halliburton chứng minh rằng Sazmining có đủ Bitcoin để thực hiện giao dịch bổ sung mà Even đề xuất, ông muốn Halliburton chuyển một nửa số tiền đã định (khoảng 220.000 USD) vào ứng dụng ví Bitcoin mà văn phòng gia đình tin tưởng. Tiền vẫn do Halliburton kiểm soát, nhưng văn phòng gia đình có thể xác minh sự tồn tại của tiền qua dữ liệu giao dịch công khai.
Halliburton mở điện thoại iPhone của mình. Ứng dụng tên là Atomic Wallet này có hàng nghìn đánh giá tích cực và đã có mặt trên App Store của Apple nhiều năm. Dưới ánh mắt theo dõi của Maxim, Halliburton tải ứng dụng và tạo một ví mới. "Lúc đó tôi chỉ nghĩ đến việc giành lấy sự tin tưởng của anh ta," Halliburton nói, "dù sao thì cũng là hợp đồng 4 triệu USD."
Bữa tối diễn ra khá suôn sẻ. Lần này Maxim ít cảnh giác hơn, trò chuyện về sở thích sưu tầm đồng hồ cao cấp và công việc tìm kiếm cơ hội giao dịch cho văn phòng gia đình. Halliburton cảm thấy mệt mỏi vì lịch trình dày đặc và mong muốn kết thúc buổi gặp sớm.
Trước khi chia tay, hai bên thỏa thuận: Maxim sẽ gửi hợp đồng đã ký cho văn phòng gia đình để thực hiện, còn Halliburton sẽ chuyển 220.000 USD Bitcoin vào địa chỉ ví mới theo đúng cam kết.
Trở về phòng khách sạn, Halliburton thực hiện một giao dịch thử nhỏ đến địa chỉ Atomic Wallet mới, sau đó khôi phục lại ví bằng khóa riêng (cụm từ khôi phục) được tạo ra khi lần đầu tải ứng dụng, nhằm đảm bảo ví hoạt động bình thường. "Phải thực hiện một vài biện pháp an toàn, giờ thì gần xong rồi. Cảm ơn vì đã kiên nhẫn chờ đợi." Halliburton viết trong tin nhắn WhatsApp gửi Even. Even trả lời: "Không vấn đề gì, cứ từ từ."
Lúc 22 giờ 45 phút, sau khi kiểm tra mọi thứ ổn, Halliburton ra hiệu cho đồng nghiệp chuyển Bitcoin trị giá 220.000 USD vào địa chỉ Atomic Wallet. Sau khi tiền đến nơi, ông chụp màn hình số dư cập nhật gửi cho Even. Một phút sau, Even trả lời: "Tks."
Halliburton nhắn thêm cho Even hỏi về tình trạng hợp đồng, nhưng Even – người trước đó luôn trả lời nhanh – lần này im lặng. Halliburton mở ứng dụng Atomic Wallet, cảm giác mơ hồ bất an – Bitcoin đã biến mất.
Halliburton lập tức cảm thấy buồn nôn, ngồi phịch xuống giường và suýt nôn. "Giống như bị đấm mạnh vào bụng vậy," ông nói, "tràn ngập sự sốc và không thể tin nổi."
Halliburton cố gắng hết sức để hiểu cách mình bị lừa. Lúc 23 giờ 30 phút, ông nhắn cho Even: "Đây là vụ lừa tinh vi nhất mà tôi từng trải qua. Tôi biết có lẽ anh chẳng quan tâm, nhưng công ty tôi có thể phá sản vì chuyện này. Tôi đã mất bốn năm để xây dựng nó."
Even trả lời phủ nhận mọi hành vi sai trái, nhưng đó là tin nhắn cuối cùng Halliburton nhận được. Halliburton cung cấp cho WIRED tài khoản Telegram mà Even sử dụng, tài khoản này hoạt động lần cuối vào ngày tiền bị đánh cắp. Even không phản hồi yêu cầu bình luận.
Phân tích từ các công ty phân tích blockchain Chainalysis và CertiK cho thấy tiền trong ví của Halliburton đã bị chia nhỏ trong vòng vài giờ, chuyển qua nhiều địa chỉ khác nhau và gửi vào các nền tảng bên thứ ba để đổi tiền mã hóa sang tiền pháp định.
Một phần Bitcoin được chia nhỏ tới các nền tảng đổi ngay lập tức, phần lớn còn lại chảy vào một địa chỉ duy nhất và trộn lẫn với các dòng tiền mà Chainalysis đánh dấu là có khả năng đến từ "giao dịch lừa đảo". "Giao dịch lừa đảo" ở đây là kiểu lừa đảo mà kẻ giả mạo nhà đầu tư đánh cắp tiền mã hóa từ các công ty khởi nghiệp.
"Các dịch vụ mà kẻ lừa đảo sử dụng bản thân không phạm pháp," Margaux Eckle, điều tra viên cấp cao của Chainalysis nói, "nhưng địa chỉ tập hợp tiền mà họ dùng có liên hệ chặt chẽ với các hoạt động gian lận đã biết, cho thấy đây là một nhóm lừa đảo có tổ chức."
Một phần Bitcoin đi qua địa chỉ tập hợp đã được gửi vào một sàn giao dịch tiền mã hóa, rất có thể đã được đổi sang tiền pháp định; phần còn lại được chuyển thành stablecoin, sau đó qua cầu nối chuỗi chéo sang blockchain Tron. Các nhà nghiên cứu cho biết blockchain này có nhiều dịch vụ giao dịch phi tập trung, giúp dễ dàng rút tiền mã hóa số lượng lớn.
Mục đích của nhiều lần chuyển, chia nhỏ, đổi và di chuyển giữa các chuỗi là làm khó việc truy vết nguồn tiền, nhằm rút tiền mà không gây nghi ngờ. "Kẻ lừa đảo này khá tinh vi," Eckle nói, "mặc dù chúng tôi có thể theo dõi dòng tiền sau khi chuyển chuỗi, nhưng điều này làm chậm tốc độ điều tra."
Cuối cùng, dấu vết công khai từ dữ liệu giao dịch bị mất. Để xác định thủ phạm, cơ quan thực thi pháp luật phải triệu tập các nền tảng rút tiền này, vốn thường bị yêu cầu thu thập thông tin người dùng.
Từ dữ liệu giao dịch, không thể xác định chính xác cách kẻ lừa đảo lấy và chuyển tiền khỏi ví của Halliburton mà không có sự cho phép, nhưng chi tiết tương tác giữa ông và những kẻ lừa cung cấp một số manh mối.
Ban đầu, Halliburton nghi ngờ vụ việc có thể liên quan đến cuộc tấn công năm 2023 của một nhóm hacker liên quan đến chính phủ Triều Tiên, khi các tài khoản người dùng Atomic Wallet bị đánh cắp 100 triệu USD (Atomic Wallet không phản hồi yêu cầu bình luận).
Nhưng các nhà nghiên cứu an ninh được WIRED phỏng vấn cho rằng Halliburton là nạn nhân của một vụ tấn công do gián điệp theo dõi có chủ đích. "Các giám đốc công khai nắm giữ lượng lớn tiền mã hóa là mục tiêu hấp dẫn với bọn lừa đảo," Guanxing Wen, trưởng nhóm nghiên cứu an ninh tại CertiK nói.
Các nhà nghiên cứu suy đoán rằng bữa ăn trực tiếp, quần áo đắt tiền, tiền mặt và các biểu hiện giàu có khác đều là chiến lược khiến Halliburton giảm cảnh giác. "Đây là phương pháp xây dựng lòng tin phổ biến trong các vụ lừa đảo tin tưởng giá trị cao," Guanxing Wen nói, "càng dành nhiều thời gian trong môi trường thoải mái với kẻ tấn công, nạn nhân càng khó nghi ngờ các yêu cầu kỹ thuật sau đó."
Để thực hiện vụ trộm, kẻ lừa phải có được cụm từ khôi phục (seed phrase) của ví Atomic Wallet mới tạo của Halliburton – ai nắm được cụm từ này có thể truy cập không giới hạn vào Bitcoin trong ví.
Một khả năng là kẻ lừa đã chiếm quyền hoặc giả mạo mạng WiFi khách sạn để lấy thông tin từ điện thoại của Halliburton. "Thiết bị này có thể mua trên mạng, tiện lợi, chỉ cần hai ba chiếc vali là chứa vừa," Adrian Cheek, nhà nghiên cứu trưởng tại công ty an ninh mạng Coeus nói. Nhưng Halliburton khẳng định điện thoại không rời tay, và ông đã dùng dữ liệu di động chứ không dùng WiFi công cộng để tải ứng dụng Atomic Wallet.
Guanxing Wen cho rằng giải thích hợp lý nhất là: kẻ lừa có thể đã ghi lại cụm từ khôi phục hiển thị trên điện thoại Halliburton khi ông lần đầu tải ứng dụng, thông qua đồng bọn ở gần hoặc camera ống kính tele, lúc đó họ đang ngồi trên ghế sofa tại khách sạn Okura.
Guanxing Wen cho biết, có thể trước khi Halliburton chuyển 220.000 USD Bitcoin vào địa chỉ Atomic Wallet, kẻ lừa đã thiết lập một "script quét" (sweep script). Đây là chương trình tự động, ngay khi phát hiện số dư ví thay đổi đáng kể sẽ lập tức chuyển tiền đi.
Trong các vụ án như thế này, những người mà nạn nhân tiếp xúc trực tiếp (như Even và Maxim) hiếm khi là người hưởng lợi cuối cùng; họ thường là những "lính đánh thuê" được mạng lưới lừa đảo thuê, trong khi các thành viên cốt lõi của mạng lưới có thể ở tận đầu kia Trái Đất.
"Họ thường được tuyển dụng qua các diễn đàn ngầm và nhóm chat mã hóa," Cheek nói, "chỉ cần tìm đúng chỗ, bạn sẽ thấy những lời kêu gọi tuyển dụng liên tục."
Mấy ngày liền, tương lai sống còn của Sazmining là điều chưa chắc chắn, số tiền bị đánh cắp tương đương doanh thu sáu tuần của công ty. "Tôi cố gắng duy trì hoạt động công ty, đối phó với cuộc khủng hoảng thiếu tiền mặt đột ngột này," Halliburton nói. Cuối cùng, công ty tạm thời vượt qua bằng cách trì hoãn thanh toán cho nhà cung cấp và kéo dài thời hạn các khoản vay chưa thanh toán.
Trong tuần đó, một thành viên hội đồng quản trị của Sazmining đã báo cáo vụ việc tới các cơ quan thực thi pháp luật tại Hà Lan, Anh và Mỹ. Chỉ có Nhóm Hành động Chống Gian lận của Anh và Nhóm Đặc nhiệm Gian lận Mạng thuộc Dịch vụ Mật vụ Mỹ xác nhận đã nhận được báo cáo – phía Anh cho biết sẽ không hành động ngay lập tức, còn phía Mỹ không phản hồi yêu cầu bình luận.
Số lượng vụ lừa đảo liên quan đến tiền mã hóa là đáng kinh ngạc, khiến cơ quan thực thi pháp luật gần như không thể điều tra từng vụ trộm. "Quy mô của các mối đe dọa và hoạt động phạm tội này đã đạt đến mức chưa từng có," Eckle nói.
Eckle cho biết hy vọng lớn nhất để nạn nhân lấy lại tiền là cơ quan thực thi pháp luật triệt phá cả mạng lưới lừa đảo. Trong trường hợp đó, tiền được thu hồi thường được phân phối cho các nạn nhân đã báo án.
Trước lúc đó, Halliburton đành chấp nhận mất mát. "Vẫn còn đau đớn," ông nói, nhưng "chưa phải là đòn chí mạng."
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@WIRED
