Crypto Influencer Attacked, Loses $24 Million: Poisoning or Kidnapping?
- Core Viewpoint: As cryptocurrency wealth becomes transparent on-chain, physical coercion attacks against holders ("wrench attacks") are surging, exposing vulnerabilities in personal security beyond technical safeguards, compelling the industry and individuals to adopt new protection strategies.
- Key Elements:
- Security firm CertiK reports a 75% surge in "wrench attack" incidents in 2025, with related losses exceeding $40.9 million. Europe has become the highest-risk region, with France leading globally in case numbers.
- Attackers screen targets using public on-chain data or social media. Typical targets include retail investors with public holdings, industry executives and their families, OTC traders, and other vulnerable points.
- Key personal protection measures involve asset segregation (e.g., setting up "decoy wallets"), physically isolating seed phrases from signing devices, and strictly avoiding flaunting assets or travel plans on public platforms.
- For institutions or large holders, employing structural tools like multi-signature schemes and timelock contracts can fundamentally increase the difficulty of coerced transfers from a single point.
- The surge in physical attacks has drawn regulatory attention. Countries like France are beginning to discuss specialized legislation, and law enforcement agencies are updating personal safety guidelines for digital asset holders.
Tác giả gốc: ChandlerZ, Foresight News
"Trên người có vết bầm tím, tôi đã cố gắng chống cự, nhưng tay chân bị thương, bị rìu chém, cũng không thể làm gì được nữa."
Ngày 5 tháng 3 năm 2026, người nổi tiếng trong ngành tiền mã hóa sillytuna đã đăng một dòng tweet cực kỳ ngắn gọn, tuyên bố mình vừa bị tấn công bạo lực, mất khoảng 24 triệu USD stablecoin AUSD, và mô tả vụ việc liên quan đến bạo lực, vũ khí, bắt cóc và đe dọa hiếp dâm. Hiện cảnh sát đã vào cuộc.
Sillytuna từng là chủ sở hữu của Punk #7523 (thường được gọi là "Covid Alien"), NFT này đã được bán với giá 11,7 triệu USD tại Sotheby's vào năm 2021, từng lập kỷ lục đấu giá cho một Punk đơn lẻ.
Dòng tweet này nhanh chóng lan truyền trong cộng đồng tiền mã hóa. Công ty an ninh PeckShield đã theo dõi các giao dịch chuyển tiền trên chuỗi liên quan và đánh dấu sơ bộ là "tấn công đầu độc" (Poisoning Attack), một thủ thuật lừa người dùng chuyển tiền bằng cách giả mạo địa chỉ tương tự.
Theo theo dõi của PeckShield, hiện có khoảng 20 triệu DAI nằm trong 2 ví do kẻ tấn công kiểm soát (chưa trộn lẫn): địa chỉ bắt đầu bằng 0xdCA9 (khoảng 10 triệu USD) và địa chỉ bắt đầu bằng 0xd0c2 (khoảng 10 triệu USD). Hiện kẻ tấn công đã bắt đầu chuyển một lượng nhỏ tiền sang Arbitrum.
Có một mâu thuẫn rõ ràng giữa hai cách giải thích: nếu là tấn công đầu độc, nạn nhân bị lừa chủ động chuyển tiền, bạo lực vật lý không phải là điều kiện tiên quyết; nếu là cưỡng ép vật lý, kẻ tấn công đã nắm được danh tính thật và địa chỉ nhà của nạn nhân.
Hiện chi tiết sự việc vẫn đang chờ điều tra xác nhận của cảnh sát, một số người trong cộng đồng cũng đặt câu hỏi "liệu có phải là bài đăng câu view". Nhưng dù kết luận cuối cùng của vụ việc này là gì, nỗi hoảng sợ mà nó kích hoạt đã chứng minh một điều:
Trong bối cảnh sự giàu có từ tiền mã hóa ngày càng minh bạch như hiện nay, một lần để lộ thông tin trên chuỗi sai lầm, có thể đổi lấy một lưỡi rìu thật sự.
Không phải trường hợp cá biệt: Tấn công vật lý năm 2025 tăng mạnh 169%
Cái gọi là "tấn công cờ lê" (wrench attack) đề cập đến việc kẻ tấn công sử dụng các biện pháp vật lý như bạo lực, đe dọa, bắt cóc để buộc nạn nhân giao nộp khóa riêng tư hoặc mật khẩu. Loại tấn công này không dựa vào lỗ hổng kỹ thuật, mà trực tiếp nhắm vào cá nhân đằng sau tài sản tiền mã hóa.
Theo báo cáo được CertiK công bố, "tấn công cờ lê" năm 2025 tăng mạnh 75%, bạo lực thể xác trở thành mối đe dọa quan trọng trong lĩnh vực tiền mã hóa.
Về hình thái tấn công, báo cáo chỉ ra rằng bắt cóc vẫn là con đường tấn công chính, với 25 vụ xảy ra trong năm; các vụ tấn công trực tiếp vào người tăng 250% so với cùng kỳ, trở thành một trong những thay đổi đáng cảnh giác nhất. Về phân bố địa lý, châu Âu lần đầu tiên trở thành khu vực có rủi ro cao nhất toàn cầu. Năm 2025, châu Âu chiếm hơn 40% số vụ việc đã biết toàn cầu, trong đó Pháp ghi nhận số vụ tấn công cao nhất thế giới, vượt qua Mỹ. Về tác động tài chính, tổn thất liên quan đến tấn công cờ lê đã được xác nhận năm 2025 vượt quá 40,9 triệu USD, tăng 44% so với cùng kỳ.
Jameson Lopp, Giám đốc An ninh của công ty bảo mật Bitcoin Casa và cũng là người theo dõi lâu dài các sự kiện tấn công vật lý, đang duy trì một cơ sở dữ liệu bao phủ hơn 225 trường hợp đã được xác minh cho đến nay. Năm 2025, danh sách này đã tăng trưởng với tốc độ chưa từng có, và năm 2026, dữ liệu này cũng đang tăng lên nhanh chóng.
Thậm chí, do nhiều nạn nhân chọn im lặng vì sợ hãi, lo ngại về quyền riêng tư hoặc không tin tưởng vào cơ quan thực thi pháp luật, con số thực tế xảy ra có thể còn cao hơn. Nhóm nạn nhân đã vượt xa giới tinh hoa tiền mã hóa, bao gồm giáo viên, công nhân xây dựng, lính cứu hỏa và cả gia đình của họ.
Ba trường hợp điển hình năm 2025
Trường hợp 1: Đồng sáng lập Ledger bị bắt cóc, ngón tay bị chặt (Pháp, tháng 1/2025)
Tháng 1/2025, David Balland, đồng sáng lập công ty ví phần cứng tiền mã hóa Ledger, và vợ đã bị bắt cóc tại nhà riêng ở thành phố Vierzon, miền trung nước Pháp, và bị giam giữ riêng biệt. Kẻ tấn công sau đó đã gửi video ngón tay bị chặt của Balland cho Eric Larchevêque, một đồng sáng lập khác của Ledger, để đòi tiền chuộc bằng tiền mã hóa tương đương 10 triệu euro.
Sau khi lực lượng cảnh sát tinh nhuệ Pháp GIGN (Nhóm can thiệp Hiến binh Quốc gia) can thiệp, họ đã thành công trong việc xác định vị trí và giải cứu Balland, vợ ông được tìm thấy vài giờ sau đó trong một chiếc xe tải. Phần tiền chuộc đã thanh toán gần như bị theo dõi, đóng băng và tịch thu toàn bộ. 10 nghi phạm trong độ tuổi từ 20 đến 40 bị bắt, công tố viên cho biết nếu bị kết tội, những người liên quan sẽ phải đối mặt với án tù chung thân.
Trường hợp 2: Con gái CEO Paymium bị tấn công trên phố Paris (Pháp, tháng 5/2025)
Sáng ngày 13 tháng 5 năm 2025, con gái của Pierre Noizat, CEO sàn giao dịch tiền mã hóa Pháp Paymium, đang dẫn cháu nhỏ đi bộ trên phố ở quận 11, Paris, thì bị ba người đàn ông đeo mặt nạ chặn lại và cố gắng ép lên một chiếc xe tải.
Vụ tấn công xảy ra giữa ban ngày, trên con phố đông đúc người qua lại, toàn bộ quá trình được camera giám sát ghi lại. Con gái của Noizat đã chống trả quyết liệt, giật lấy một khẩu súng và ném xuống đất; người đi đường lập tức tham gia, một người đi đường nhặt khẩu súng lên chĩa vào kẻ xấu, người khác dùng bình chữa cháy để xua đuổi chúng. Ba tên cướp cuối cùng rút lui trong hoảng loạn.
Sau khi vụ việc lan rộng, chính quyền Pháp đã mở cuộc điều tra về các vụ án liên quan, lấy vụ bắt cóc bất thành này làm trọng tâm, tổng cộng truy tố 25 người, bao gồm 6 vị thành niên. Chi tiết này đã gây ra nhiều cuộc thảo luận trên truyền thông tiếng Pháp về chủ đề "Mexico hóa nước Pháp".
Trường hợp 3: Cựu cảnh sát Mỹ thực hiện tấn công cờ lê tiền mã hóa (Los Angeles, 2024-2025)
Cuối năm 2024, một cựu nhân viên Sở Cảnh sát Los Angeles (LAPD) đã bị bồi thẩm đoàn tuyên có tội vì thực hiện cưỡng ép vật lý đối với người nắm giữ tiền mã hóa, buộc nạn nhân chuyển khoảng 350.000 USD Bitcoin. Điểm đặc biệt của vụ án nằm ở chỗ thủ phạm có nền tảng thực thi pháp luật - điều này có nghĩa là hắn có nhận thức chuyên môn về cách tránh giám sát và cách thực hiện cưỡng ép.
Phán quyết được cộng đồng tiền mã hóa trích dẫn rộng rãi, vì nó phá vỡ giả định cố hữu rằng "tấn công vật lý chỉ đến từ tội phạm đường phố".
Tại sao người nắm giữ tiền mã hóa đặc biệt dễ bị tổn thương, và người dùng có thể làm gì?
Phán đoán cốt lõi của báo cáo CertiK là kẻ tấn công đang chủ động sàng lọc mục tiêu dựa trên phân tích rủi ro-lợi nhuận, ưu tiên tìm kiếm sự kết hợp "tiềm năng lợi nhuận cao, phòng thủ an ninh thấp". Logic này tạo ra bốn loại mục tiêu điển hình.
Trực tiếp nhất là các nhà đầu tư nhỏ lẻ công khai danh mục tài sản trên mạng xã hội, số dư trên chuỗi có thể kiểm tra, an ninh hầu như bằng không. Các giám đốc điều hành ngành và người sáng lập giao thức đại diện cho giá trị cao hơn, mặc dù thường có an ninh, nhưng vẫn bị lộ khi di chuyển hoặc tham gia các hoạt động công cộng. Nhóm thứ ba là gia đình và bạn bè thường bị bỏ qua, tội phạm biết rõ rằng khi vợ/chồng, con cái hoặc cha mẹ già bị kiểm soát, mục tiêu chính sẽ bỏ qua bất kỳ giao thức an ninh nào. Hơn nữa, nhiều thành viên gia đình thường thiếu đào tạo cơ bản về an ninh vận hành, mức độ phòng thủ thấp hơn nhiều so với chính mục tiêu chính. Nhóm thứ tư là những người giao dịch OTC, kẻ tấn công ngụy trang giao dịch trực tiếp thành cuộc họp kinh doanh bình thường, một khi nạn nhân trình ra bằng chứng tài sản, lập tức thực hiện bắt cóc.
Đồng thời, phương tiện giám sát tấn công đã được nâng cấp từ theo dõi thủ công lên phân tích dấu vết kỹ thuật số dựa trên OSINT, kẻ tấn công sẽ xác định thời điểm phòng thủ yếu của mục tiêu vài tuần trước khi hành động. Ở giai đoạn đột nhập, giả mạo nhân viên giao hàng hoặc nhân viên tiện ích vẫn là phương thức thâm nhập hiệu quả nhất, khiến nạn nhân hoàn toàn không có sự chuẩn bị tâm lý. Sau khi vào trong nhà, chúng sẽ triển khai túi Faraday và thiết bị gây nhiễu tín hiệu để cắt kết nối mạng của thiết bị, và cưỡng chế cách ly nạn nhân với gia đình.
Thời đại chỉ phụ thuộc vào cụm từ ghi nhớ (seed phrase) đã kết thúc. Con người, vẫn là điểm hỏng đơn lẻ dễ tổn thương nhất trong toàn bộ hệ thống an ninh.
Ở cấp độ cá nhân, bước quan trọng nhất là thiết lập cấu trúc tách biệt "ví mồi + ví lõi". Ví mồi cần chứa một lượng tài sản nhỏ có vẻ hợp lý, số tiền quá ít sẽ khiến kẻ tấn công tức giận, kích hoạt thêm bạo lực. Khi bị cưỡng ép, nó cung cấp một lối thoát có thể thỏa hiệp, bảo vệ tài sản lõi không bị chạm tới. Đồng thời, cụm từ ghi nhớ và thiết bị ký tuyệt đối không được lưu trữ ở cùng một địa điểm, cách lý tưởng là gửi cụm từ ghi nhớ vào hộp an toàn ngân hàng, thay vì để lại trong nhà ở.
Về hành vi hàng ngày, "đừng khoe khoang" là nguyên tắc cơ bản, tránh đăng địa chỉ ví, ảnh chụp màn hình tài sản hoặc lịch trình đi lại trên bất kỳ nền tảng công khai
