Viện Công tố Quận Gwangju (Hàn Quốc) xác nhận 320,88 BTC (khoảng 21,5 triệu USD) đã được chuyển trở lại ví lưu ký của chính phủ từ ngày 17/02, sau khi biến mất trong một vụ tấn công phishing nhưng cuối cùng “tự quay về” mà chưa có nghi phạm.
Diễn biến này gây chú ý vì Bitcoin bị đánh cắp thường được rửa tiền rất nhanh qua mixer hoặc DeFi, trong khi số BTC trên lại gần như “nằm yên” nhiều tháng rồi mới quay lại. Các công tố viên nói họ đã phối hợp sàn nội địa để chặn đường rút tiền của hacker.
NỘI DUNG CHÍNH
320,88 BTC đã được chuyển về lại ví lưu ký của chính phủ và sau đó đưa vào ví an toàn tại một sàn nội địa.
Vụ việc bắt nguồn từ tấn công phishing trong quy trình kiểm tra lưu ký, làm lộ seed phrase.
Nhà chức trách nói việc đóng băng giao dịch tại các sàn nội địa có thể khiến hacker “không thể thanh khoản” và tự hoàn trả.
320,88 BTC đã quay lại ví nhà nước và được chuyển sang ví an toàn tại sàn nội địa
Viện Công tố Quận Gwangju cho biết 320,88 BTC, trị giá khoảng 21,5 triệu USD, đã được chuyển về lại ví lưu ký của chính phủ từ ngày 17/02 và sau đó được đưa sang một ví bảo mật tại sàn giao dịch trong nước.
Thông tin này đánh dấu bước ngoặt hiếm gặp trong các vụ mất cắp tiền điện tử: tài sản không chỉ được thu hồi đầy đủ mà còn quay lại sau thời gian dài thất lạc, trong khi cơ quan điều tra vẫn chưa nêu được nghi phạm cụ thể theo các báo cáo địa phương.
Điểm bất thường là số Bitcoin được mô tả như “tự xuất hiện lại” trong ví cứng sau khoảng nửa năm kể từ khi biến mất. Trong đa số sự cố bảo mật crypto, dòng tiền thường bị dịch chuyển qua nhiều ví và công cụ ẩn danh nhanh chóng để giảm khả năng bị chặn tại các điểm rút tiền.
Vụ mất cắp bắt nguồn từ phishing trong quy trình xác minh lưu ký
Vụ việc được xác định bắt đầu từ một cuộc tấn công phishing khi cơ quan công tố thực hiện thủ tục kiểm tra lưu ký định kỳ, khiến seed phrase của ví bị lộ và kẻ tấn công rút 320 BTC ngay sau đó.
Theo dòng thời gian được nêu, sự cố xảy ra vào tháng 08/2025 khi một nhân sự truy cập nhầm trang giả mạo được thiết kế giống nền tảng quản lý crypto hợp pháp, từ đó vô tình để lộ cụm từ khôi phục (seed phrase). Kẻ tấn công sau đó đã chuyển toàn bộ số Bitcoin ra khỏi ví.
Vụ mất cắp không bị phát hiện trong nhiều tháng. Đến ngày 23/01/2026, khi rà soát tài sản bị tịch thu theo quy trình, cơ quan công tố mới nhận ra số Bitcoin đã biến mất. Khi đó, số tiền đã “mất tích” tới khoảng 6 tháng, quãng thời gian đủ dài để tài sản có thể bị phân tán, quy đổi sang token khác hoặc chuyển qua nhiều ví trung gian mà khó lần vết.
Chi tiết đáng chú ý là các nhà phân tích blockchain quan sát thấy dòng tiền gần như không có hoạt động trộn (mixing) hay phân lớp (layering) dồn dập như thường thấy trong các vụ trộm lớn. Thay vào đó, Bitcoin chủ yếu ở trạng thái đứng yên, gợi ý khả năng kẻ tấn công trì hoãn để tránh sự chú ý hoặc do lo ngại số tiền quá “nóng” để rút.
Các báo cáo nghiên cứu trong ngành từng ghi nhận hacker ngày càng tăng tốc rửa tiền bằng mixer và DeFi để che dấu vết. Trong bối cảnh đó, việc số BTC bị đánh cắp lại “nằm im” càng khiến vụ việc trở nên khác thường so với logic phạm tội phổ biến trong tiền điện tử.
Nhà chức trách nói đã chặn đường “cash-out” bằng cách yêu cầu sàn đóng băng giao dịch
Cơ quan công tố cho biết sau khi phát hiện Bitcoin bị mất vào tháng 01/2026, họ lập tức gửi yêu cầu hợp tác tới các sàn crypto nội địa để đóng băng mọi giao dịch liên quan địa chỉ ví chứa tài sản bị đánh cắp.
Chiến lược được mô tả là tập trung vào điểm nghẽn thanh khoản: nếu các sàn trong nước đồng loạt theo dõi và chặn nạp/rút từ địa chỉ ví liên quan, kẻ tấn công sẽ khó chuyển tiền ra tiền pháp định hoặc khó đổi sang tài sản khác trong hệ sinh thái có kiểm soát.
“Hacker dường như đã tự nguyện trả lại toàn bộ Bitcoin do lo ngại không thể thanh khoản.”
– Công tố viên, trích Chosun Daily, 2026
Cơ quan công tố nhấn mạnh điều tra vẫn đang diễn ra: “Cuộc điều tra về các tình huống dẫn đến việc mất Bitcoin sẽ tiếp tục.” Trọng tâm hiện tại gồm rà soát website phishing, tên miền độc hại và các dấu vết số khác liên quan đến vụ tấn công tháng 08/2025. Tính đến thời điểm thông tin được công bố, chưa có nghi phạm được xác định.
Việc hoàn trả tự nguyện đi ngược “logic” trộm cắp crypto
Việc kẻ tấn công tự hoàn trả Bitcoin là cực hiếm trong ngành tiền điện tử, vì tính phi tập trung và các lựa chọn ẩn danh thường khiến tài sản bị đánh cắp khó thu hồi nếu không có đóng băng tại sàn hoặc cơ chế khuyến khích như tiền thưởng whitehat.
Trong thực tế, các vụ thu hồi thành công thường phụ thuộc vào tốc độ phát hiện, khả năng xác định dòng tiền, và hợp tác giữa cơ quan thực thi pháp luật với sàn giao dịch để phong tỏa tại điểm chuyển đổi. Ngược lại, nếu tài sản kịp phân tán qua nhiều lớp trung gian, cơ hội thu hồi giảm mạnh.
Trường hợp tại Gwangju gây tranh luận vì hội tụ nhiều yếu tố khó xảy ra đồng thời: tài sản “biến mất” lâu, ít dịch chuyển trên chuỗi, sau đó quay về đầy đủ, trong khi danh tính kẻ tấn công vẫn chưa rõ. Điều này cũng đặt ra yêu cầu siết chặt vận hành lưu ký, đặc biệt là quy trình chống phishing và quản trị truy cập đối với seed phrase.
Những câu hỏi thường gặp
320,88 BTC được chuyển về lại khi nào?
Viện Công tố Quận Gwangju cho biết 320,88 BTC đã được chuyển trở lại ví lưu ký của chính phủ kể từ ngày 17/02, sau đó số tiền được chuyển sang một ví an toàn tại sàn giao dịch nội địa.
Vì sao số Bitcoin bị đánh cắp lại “nằm yên” nhiều tháng?
Các nhà phân tích blockchain quan sát thấy dòng tiền phần lớn đứng yên sau khi bị rút. Một khả năng là kẻ tấn công chờ “hạ nhiệt” hoặc lo ngại số tiền quá dễ bị theo dõi và bị chặn tại điểm cash-out.
Nhà chức trách Hàn Quốc đã làm gì để thu hồi tài sản?
Sau khi phát hiện mất tiền vào tháng 01/2026, họ gửi yêu cầu hợp tác tới các sàn crypto nội địa để đóng băng giao dịch liên quan địa chỉ ví chứa tài sản bị đánh cắp, khiến việc thanh khoản trở nên khó khăn.
Có bắt được nghi phạm trong vụ việc này chưa?
Chưa. Theo các báo cáo được nhắc tới trong thông tin công bố, nhà chức trách vẫn đang điều tra các website phishing, tên miền độc hại và dấu vết số, nhưng chưa xác định được nghi phạm.