Vụ tấn công “wrench attack” 6,7 triệu USD làm trống tài khoản Kraken và Coinbase

Dòng tiền bị đánh cắp đã được rửa như thế nào

Sau khi rút tiền, kẻ tấn công nhanh chóng di chuyển tài sản qua nhiều địa chỉ ví khác nhau.

Khoảng 5,3 triệu USD trong số tiền bị đánh cắp được cho là đã chuyển qua Tornado Cash — một dịch vụ trộn tiền điện tử giúp làm mờ liên kết giữa địa chỉ gửi và nhận trên blockchain.

Nguyên lý của các dịch vụ trộn tiền khá đơn giản: chúng gom nhiều khoản tiền từ các người dùng khác nhau vào cùng một pool rồi phân phối lại tới các địa chỉ mới. Điều này khiến việc truy vết trực tiếp trở nên khó khăn hơn đáng kể.

Dù các công cụ phân tích blockchain hiện nay có thể tái dựng phần nào dòng tiền, mixers vẫn là một trong những phương pháp phổ biến nhất để che giấu nguồn gốc crypto bị đánh cắp.

“Wrench attack” là gì?

Thuật ngữ “wrench attack” (tạm dịch: tấn công bằng “cờ lê”) xuất phát từ một câu đùa nổi tiếng trong giới bảo mật: thay vì phá mã hóa phức tạp, kẻ tấn công chỉ cần dùng cờ lê đe dọa chủ ví cho đến khi họ tiết lộ mật khẩu.

Trong thực tế crypto, kiểu tấn công này có thể bao gồm:

• Đột nhập nhà hoặc bắt cóc
• Đe dọa bạo lực
• Buộc nạn nhân mở điện thoại hoặc ví cứng
• Ép nạn nhân xác nhận giao dịch trên sàn hoặc ví

Điểm đặc biệt là các vụ này không cần phá vỡ bất kỳ lớp mã hóa nào — chúng chỉ nhắm vào người sở hữu tài sản.

Các vụ tấn công crypto ngoài đời thực đang tăng nhanh

Theo báo cáo của công ty bảo mật blockchain CertiK, từ tháng 1 đến tháng 4 năm 2026 đã có 34 vụ tấn công vật lý vào người nắm giữ crypto trên toàn cầu, tăng 41% so với cùng kỳ năm 2025.

Thiệt hại ước tính đạt khoảng 101 triệu USD chỉ trong 4 tháng, gần gấp đôi tổng thiệt hại 52,2 triệu USD của cả năm 2025.

Phân bố địa lý cho thấy sự tập trung rõ rệt:

• Châu Âu chiếm khoảng 82% số vụ tấn công đầu năm 2026.
• Pháp thường xuyên được nhắc đến như một điểm nóng của các vụ cướp nhắm vào người sở hữu crypto.

Các nhà nghiên cứu cho rằng con số thực tế có thể cao hơn nhiều, vì nhiều nạn nhân không báo cáo công khai do lo ngại an toàn cá nhân.

Những vụ tương tự tại Mỹ

Xu hướng này không chỉ xảy ra ở châu Âu.

Tại Mỹ, các công tố viên liên bang đã truy tố một nhóm nghi phạm giả làm nhân viên giao hàng để tiếp cận nhà của các chủ sở hữu crypto. Sau khi vào nhà, họ bị cáo buộc dùng súng ép nạn nhân đăng nhập tài khoản và chuyển tiền điện tử.

Trong một vụ, nạn nhân bị ép chuyển khoảng 6,5 triệu USD crypto.

Các nhóm tội phạm thường thu thập thông tin mục tiêu từ:

• mạng xã hội
• dữ liệu bị rò rỉ
• hồ sơ công khai

nhằm xác định những người có khả năng sở hữu lượng crypto lớn.

Áp lực an ninh ngày càng lớn với các sàn giao dịch

Vụ việc cũng phản ánh một vấn đề lớn trong bảo mật crypto: lỗ hổng nằm ở con người.

Ngay cả khi hệ thống kỹ thuật của sàn được bảo vệ tốt, kẻ tấn công vẫn có thể khai thác yếu tố con người. Ví dụ, Kraken từng tiết lộ năm 2026 rằng một nhóm tội phạm đã cố tống tiền công ty sau khi truy cập hạn chế vào dữ liệu khách hàng thông qua tài khoản nhân viên hỗ trợ bị xâm nhập — dù sàn khẳng định tiền của khách hàng không bị ảnh hưởng.

Ngoài ra, các vụ lừa đảo kỹ thuật xã hội (social engineering) cũng đang gia tăng. Trong một trường hợp khác, một người dùng Kraken được cho là mất khoảng 18,2 triệu USD sau khi kẻ tấn công thao túng thông tin truy cập và chuyển tài sản qua nhiều blockchain.

Bài học lớn: điểm yếu nằm ở con người

Vụ mất 6,7 triệu USD cho thấy tội phạm crypto đang thay đổi chiến thuật.

Thay vì chỉ tìm lỗi trong smart contract hoặc sàn giao dịch, kẻ tấn công ngày càng kết hợp:

• đe dọa ngoài đời thực
• kỹ thuật xã hội
• dữ liệu cá nhân bị rò rỉ
• công cụ rửa tiền trên blockchain

Điều đó có nghĩa là với người sở hữu crypto, an ninh vận hành (operational security) — như giữ kín thông tin tài sản, tách ví, bảo vệ địa chỉ nhà và thiết bị cá nhân — đang trở nên quan trọng không kém việc sử dụng ví cứng hay mật khẩu mạnh.

Khi giá trị tài sản số ngày càng lớn, điểm tấn công nguy hiểm nhất đôi khi không phải là hệ thống — mà là chính người giữ chìa khóa.