Đôi khi những thứ tưởng chừng bất khả xâm phạm lại sụp đổ vì một sai lầm vụn vặt, giống mấy game thủ trong đó có mình, nghĩ bất bại trong trò chơi điện tử nhưng chỉ bởi quên lưu game mà mất toi công sức.
Chen Zhi thì ở nhiều bài gần đây mình viết khá chi tiết không cần nhắc lại, tên tuổi và tai tiếng của ông trùm này đang phủ khắp mặt báo.
Thực tế Mỹ, cụ thể bộ tư pháp (DOJ) và IRS-CI (cục thuế vụ chuyên tội phạm mạng), theo dõi từ lâu. Tháng 7/2024 họ recover (khôi phục) thành công 127.271 bitcoin từ 25 ví của Chen sau đó rút nhẵn nhụi. Vậy nhưng công bố chính thức chỉ đến ngày 14/10/2025, tức sau hơn một năm điều tra hợp tác với Anh ban bố lệnh trừng phạt mạng lưới lên đến 146 mục tiêu liên quan. Chen, đến hôm nay, vẫn tại ngoại và “lẩn trốn” ở Campuchia, phủ nhận mọi thứ, mạng lưới vẫn lén lút hoạt động dưới tên khác.
Đây là vụ tịch thu tài sản lớn nhất lịch sử DOJ, biến Mỹ thành “cá voi” bitcoin (không tính sàn) lớn thứ hai thế giới, khoảng 316.000 BTC, sau mỗi bóng ma Satoshi. Nhưng đằng sau chứa câu chuyện về tính mong manh của “ẩn danh” trong crypto. Bởi bitcoin không là ngân hàng, không có kiểu “quên mật khẩu” để reset, phụ thuộc hoàn toàn vào mấy chiếc khóa bắt buộc chủ ví phải lưu giữ cẩn thận trong két sắt.
Hãy tưởng tượng hệ thống bitcoin như một toà nhà, tài sản của bạn nằm trong két. Để mở két, bạn cần private key (khoá cá nhân), một chuỗi mã dài ngoằng, ngẫu nhiên, hệ cơ số 16 kiểu “5Kb8kLf9zgWQnogidDA76MzPL6TsZZY36hWXMssSzNydYXYB9KF”. Đây là chìa khóa chính được tạo tự động khi lập ví (wallet), dựa trên entropy cao (độ ngẫu nhiên toán học, theo tiêu chuẩn BIP-39). Khoá dùng để “ký” giao dịch, chứng minh sở hữu BTC không lộ danh tính.
Nhưng private key khó nhớ, kiểu địa chỉ IP của một website dài dòng, rối rắm. Nên đẻ ra seed phrases (cụm từ hạt giống) là một chuỗi 12-24 từ tiếng Anh ngẫu nhiên từ danh sách 2048 từ, giả hạn “milk sad pay cup zoo apple book cat dog egg fox grape”. Seed này là bản sao dễ nhớ của private key và từ seed, phần mềm ví có thể tái tạo private key và mở ví. Na ná tên miền (domain) thay thế IP mục đích dễ dùng, nhưng chẳng may bị lộ, ai cũng mở được két.
Và đây là điểm mấu chốt. Bitcoin phi tập trung, không có máy chủ trung tâm như ngân hàng. Mất private key hoặc seed tức mất luôn tài sản. Không có “xác minh sinh trắc” hay “gửi email reset” như Facebook, Gmail. Bạn phải tự lưu offline bằng cách ghi sổ tay, khắc kim loại, giấu trong két hệt như Quang và Ngân 98 giấu gần trăm cái sổ đỏ. Cố tình lưu online ư? Hackers ở mọi nơi nhất là tài sản bitcoin. Còn nhớ James Howells, anh chàng lỡ vứt ổ cứng chứa private key 8.000 BTC vào bãi rác năm 2013 giờ trị giá hàng trăm triệu đô, đã đang miệt mài bới rác, bị cấm, xin xỏ được bới tiếp mà không được.
Trong vụ Chen, 25 ví của mạng lưới nảy là loại non-custodial (tự quản không đem lên sàn), chứa lợi nhuận từ lừa đảo. Chen tự giữ private key và seed, nghĩ an toàn. Nhưng gã mắc lỗi ấu trĩ (chọn từ này mới đúng) là dùng phần mềm cũ vướng lỗi có thể recover. Lỗ hổng mang tên Milk Sad. Cụ thể phần mềm Libbitcoin Explorer (bx) phiên bản 3.x mà Chen dùng từ 2019-2020 có vấn đề là khi tạo seed phrases, nó áp dụng thuật toán Mersenne Twister với entropy thấp chỉ có 2^32 khả năng (khoảng 4 tỷ, giống như đoán số xổ số 6 con số). Thay vì ngẫu nhiên thật sự, seed dựa vào thời gian hệ thống 32-bit, dễ bị brute force (thử hàng loạt) bằng máy tính thông thường.
Tên “Milk Sad” từ hai từ đầu của seed bị ảnh hưởng. Lỗ hổng phát hiện năm 2023, nhưng các ví Chen tạo trước đó đã lộ. DOJ, qua phân tích on-chain (truy vết giao dịch blockchain), xác định 25 ví này. Họ không hack trực tiếp Chen (dù có thể lấy từ server hắn ta), mà khai thác lỗ hổng tính toán brute force để recover seed phrases, tái tạo private key, rồi chuyển BTC sang ví chính phủ.
Quy trình Bitcoin ở đây được hình dung như sau. Blockchain là sổ cái công khai, ai cũng xem giao dịch, nhưng chỉ private key mới chi tiêu được. Đào bitcoin (mining) là giải bài toán SHA-256 để thêm khối mới, nhưng vụ này là tịch thu dân sự (civil forfeiture), không liên quan đào. Lỗ hổng Milk Sad đã chứng minh bitcoin không ẩn danh nếu dùng công cụ yếu. Chen, mang danh là trùm tội phạm, lại sơ hở vì thiếu chuyên môn kỹ thuật. Chọn ưu tiên tốc độ lừa đảo hơn khả năng bảo mật, giống xây nhà bệ vệ mà loè loẹt, đâu cũng bọc gỗ, cửa cũng khoá bằng then gỗ cho hợp mệnh.
Vụ này làm lộ tính hai mặt của bitcoin. Ưu điểm tuyệt đối là phi tập trung, giới hạn 21 triệu BTC qua halving (giảm thưởng đào mỗi 4 năm), cái này là do bác Satoshi coi bitcoin như vàng cố tình tạo giới hạn gây khan hiếm, hòng tăng giá trị trong tương lai. Nhược điểm to đùng là mất key là mất hết, lỗ hổng phần mềm có thể biến “ẩn danh” thành trò đùa. Mình nghi ngờ Satoshi Nakamoto, cha đẻ bitcoin, nhẽ vẫn đang cười méo xệch ở đâu đó do đánh mất xừ chìa khoá cái két chứa hơn 120 tỷ đô.
Câu chuyện Chen Zhi dài dòng, nhưng tóm lại đó là một cuộc truy vết dài trong ít nhất 5 năm kể từ 2020. Một mạng lưới lừa đảo sụp đổ vì lỗ hổng kỹ thuật, Mỹ “thu hoạch” thành công nhờ khai thác chính điểm yếu của bitcoin, là những chiếc khóa ảo mà con người quản lý. Bitcoin và blockchain rất an toàn, an toàn như cỗ xe chở bác Trump có tên Quái Vật, song nó chỉ an toàn khi ngồi bên trong, còn việc ai cầm chìa khoá xe có đủ an toàn không lại là chuyện rất khác.
Vụ tịch thu 15 tỷ đô tiền số này đã diễn ra hơn 1 năm và nay mới hiện trên mặt báo. Trong hơn một năm đó, hệ thống lừa đảo hẳn biết chắn đã bị theo dõi điều tra song vẫn nhởn nhơ. Nhẽ do tính phức tạp và bộ rễ cắm sâu vào hệ thống chính trị nên vòi bạch tuộc vẫn cứ hoạt động. Chen giờ đang phải tự nguyền rủa lắm, còn Mỹ thì cười tươi với đống BTC to vật vã ngang với 100 tấn vàng ròng. Vụ này cũng nhắc nhở các bác chơi bitcoin cẩn thận hơn trong cập nhật lưu giữ các khoá truy cập ví.
Ps: Thông tin tổng hợp bắt đầu từ bản cáo trạng Mỹ công bố trong hai file PDF ở link: https://www.justice.gov/usao-edny/pr/chairman-prince-group-indicted-operating-cambodian-forced-labor-scam-compounds-engaged
Leave a Reply