Khám phá vụ lừa đảo Coinbase trị giá 2 triệu đô la bị phát hiện qua điều tra chuỗi khối—Thực trạng của các cuộc tấn công kỹ thuật xã hội

Dưới sự theo dõi của điều tra viên chuỗi khối ZachXBT, một nhóm lừa đảo có trụ sở tại Canada đã giả mạo Coinbase trong hơn một năm, lừa đảo hơn 2 triệu USD (tương đương hơn 2 tỷ yên Nhật) tài sản kỹ thuật số. Vụ việc này là lời cảnh báo về sự gia tăng của các vụ lừa đảo xã hội nhắm vào người dùng các sàn giao dịch chính.

Phương thức cổ điển lấy đi tài chính liên tiếp

Những kẻ lừa đảo không sử dụng khai thác kỹ thuật cao, mà vận dụng các chiến thuật lừa đảo cổ điển đơn giản nhưng hiệu quả. Các nghi phạm hoạt động với tên giả “Haby” hoặc “Havard”, giả dạng nhân viên hỗ trợ khách hàng của Coinbase, khiến nạn nhân tin rằng tài khoản của họ đang gặp nguy hiểm, từ đó lấy được thông tin đăng nhập và mã xác thực hai yếu tố.

Sau đó, kẻ lừa đảo chuyển số tiền bị đánh cắp từ ví do người dùng quản lý sang địa chỉ do chính chúng kiểm soát, rồi nhanh chóng đổi sang Bitcoin qua dịch vụ trao đổi tức thì, làm cho việc truy vết các giao dịch trở nên khó khăn.

Phân tích on-chain và đăng tải tự khoe giúp truy bắt lừa đảo

ZachXBT đã thành công trong việc hình dung hoạt động của các kẻ lừa đảo bằng cách kết hợp các ảnh chụp màn hình tự khoe đăng trên nhóm Telegram, dấu vết trên mạng xã hội và dữ liệu giao dịch on-chain.

Trong hồ sơ ngày 30/12/2024, phát hiện một ảnh chụp màn hình tự khoe về việc kẻ phạm tội đã đánh cắp 21,000 XRP (tương đương khoảng 44,000 USD vào thời điểm đó, khoảng 43,470 USD theo tỷ giá hiện tại). Phân tích sâu hơn cho thấy địa chỉ XRP này liên quan đến nhiều vụ trộm Coinbase trị giá khoảng 500,000 USD.

Sau khi theo dõi chi tiết thời điểm giao dịch và số dư ví, đến tháng 2/2025, đã xác định được địa chỉ nắm giữ khoảng 237,000 USD bằng Bitcoin (khoảng hơn 2,26 triệu yên theo tỷ giá hiện tại). Địa chỉ này hoàn toàn trùng khớp với ảnh chụp màn hình mà chính kẻ lừa đảo đã chia sẻ để khoe khoang về số tiền của mình trong các cuộc trò chuyện riêng.

Khi truy ngược địa chỉ này, còn phát hiện thêm 3 vụ trộm giả mạo khác trị giá hơn 560,000 USD.

Ghi hình cuộc gọi với nạn nhân làm bằng chứng

Trong đoạn ghi hình bị rò rỉ do ZachXBT chia sẻ, có cảnh kẻ tình nghi giả dạng nhân viên hỗ trợ Coinbase, hướng dẫn nạn nhân thực hiện các thủ tục bảo mật giả mạo. Trong âm thanh của video, còn có cảnh kẻ lừa đảo vô ý tiết lộ địa chỉ email và tài khoản Telegram đã dùng để lừa đảo.

Kẻ tình nghi đã cố gắng xóa các dấu vết bằng cách mua tên người dùng Telegram cao cấp và xóa tài khoản cũ để tránh bị phát hiện, nhưng các bài đăng tự khoe liên tục trên mạng đã giúp các điều tra viên dễ dàng truy đuổi.

Khủng hoảng toàn ngành từ vụ bắt giữ tại Ấn Độ

Bối cảnh của vụ việc này là một vụ bắt giữ quy mô lớn khác tại Ấn Độ. Một cựu nhân viên hỗ trợ khách hàng của Coinbase bị bắt tại Hyderabad, liên quan đến việc rò rỉ thông tin của khoảng 70,000 người dùng. Vụ rò rỉ này bắt nguồn từ kế hoạch hối lộ nhân viên hỗ trợ ở nước ngoài, gây thiệt hại khoảng 370 triệu USD cho Coinbase trong chi phí sửa chữa và hoàn trả.

CEO Coinbase, Brian Armstrong, đã từ chối trả tiền chuộc 20 triệu USD và thay vào đó, khởi xướng chương trình thưởng để hỗ trợ điều tra.

Các vụ việc tương tự tại Mỹ tiếp tục diễn ra

Sau vụ bắt giữ nhóm lừa đảo tại Canada, tại Mỹ cũng đã bắt giữ các đối tượng giả mạo tương tự. Công tố viên Brooklyn đã truy tố một nam thanh niên 23 tuổi, người đã sử dụng kỹ thuật xã hội để lấy đi khoảng 16 triệu USD từ khoảng 100 người dùng Coinbase.

Cuộc điều tra này dựa nhiều vào phân tích chuỗi khối, dẫn đến việc tịch thu tiền mặt và tài sản kỹ thuật số, mở đường cho việc thu hồi tài sản.

Hơn 3,4 tỷ USD tài sản kỹ thuật số bị đánh cắp trong toàn ngành

Theo dữ liệu ngành, thiệt hại do trộm cắp tài sản kỹ thuật số vẫn còn nghiêm trọng. Chỉ trong khoảng thời gian từ tháng 1 đến đầu tháng 12 năm 2025, toàn ngành đã mất hơn 3,4 tỷ USD tài sản.

Các biện pháp người dùng cần thực hiện

Các chuyên gia an ninh khuyến nghị người dùng thực hiện các biện pháp sau:

• Không phản hồi các tin nhắn một chiều (gọi điện, email, mạng xã hội)
• Không chia sẻ mật khẩu, cụm khôi phục, khóa riêng với người khác
• Chỉ liên hệ bộ phận hỗ trợ qua trang web chính thức hoặc ứng dụng chính thức
• Tuyệt đối không cung cấp mã xác thực hai yếu tố do nhân viên hỗ trợ yêu cầu
• Cảnh giác cao với các tin nhắn gây cảm giác khẩn cấp

Vụ việc do ZachXBT làm sáng tỏ cho thấy, không phải do lỗ hổng kỹ thuật, mà chính yếu tố con người mới là nguyên nhân gây ra thiệt hại lớn. Người dùng tài sản kỹ thuật số cần hiểu rõ các chiêu trò này và luôn duy trì cảnh giác cao độ.