Rửa tiền tiền điện tử theo thời gian thực tiết lộ điểm yếu của các sàn giao dịch tập trung

Dữ liệu mới cho thấy tiền điện tử bị đánh cắp đang được rửa trong vòng vài phút, thường trước khi các vụ tấn công được công khai.

Một phân tích gần đây từ một công ty phân tích blockchain Thụy Sĩ đã tiết lộ rằng hơn 3,01 tỷ đô la đã bị đánh cắp trong 119 vụ hack tiền điện tử trong nửa đầu năm 2025, vượt qua tổng số của cả năm 2024. Điều đáng lo ngại hơn là tốc độ mà những khoản tiền này đang được rửa.

Nghiên cứu đã xem xét dữ liệu blockchain liên quan đến từng vụ việc, theo dõi sự di chuyển của tiền qua các mixer, cầu nối và các sàn giao dịch tập trung. Các nhà nghiên cứu phát hiện rằng quá trình rửa tiền hiện nay chỉ mất vài phút, thường trước khi vụ hack được báo cáo.

Theo phân tích, trong gần 23% các trường hợp, việc rửa tiền đã hoàn thành trước khi vụ vi phạm được công khai. Trong nhiều trường hợp khác, tiền bị đánh cắp đã được di chuyển trước khi nạn nhân nhận ra vụ trộm. Trong những kịch bản như vậy, việc báo cáo vụ hack có thể đến quá muộn.

Tốc độ nhanh như thế nào?

Khi các hacker trở nên thành thạo hơn trong việc rửa tiền điện tử bị đánh cắp, các hệ thống Chống Rửa Tiền (AML) và Nhà cung cấp Dịch vụ Tài sản Ảo (VASPs) gặp khó khăn trong việc theo kịp.

Trong một số trường hợp, việc rửa tiền xảy ra gần như ngay lập tức. Trường hợp nhanh nhất thấy tiền được di chuyển chỉ bốn giây sau khi bị khai thác, với việc rửa tiền hoàn toàn hoàn thành trong dưới ba phút.

Báo cáo cho thấy 31.1% việc rửa tiền được hoàn thành trong vòng 24 giờ, trong khi thời gian trung bình để công khai các vụ hack là 37 giờ. Các hacker thường bắt đầu di chuyển tiền khoảng 15 giờ sau khi vi phạm, cho họ một khoảng thời gian dẫn trước 20 giờ trước khi vụ hack được phát hiện, theo báo cáo.

Trong gần 70% các trường hợp (68.1%), tiền đã được di chuyển trước khi vụ hack được công khai qua thông cáo báo chí, mạng xã hội hoặc các hệ thống cảnh báo. Trong khoảng một trong bốn trường hợp (22.7%), việc rửa tiền đã hoàn toàn hoàn thành trước bất kỳ thông báo nội bộ hoặc công khai nào.

Kết quả là, chỉ có 4.2% số tiền bị đánh cắp đã được thu hồi trong nửa đầu năm 2025.

Quy định mới, trách nhiệm mới cho các sàn giao dịch tập trung

Phân tích cũng cho thấy rằng 15.1% tổng số tiền điện tử bị rửa trong sáu tháng đầu năm 2025 đã đi qua các sàn giao dịch tập trung (CEXs), với các đội tuân thủ chỉ có 10–15 phút để chặn các giao dịch đáng ngờ trước khi tiền biến mất.

CEXs tiếp tục là mục tiêu chính của các hacker, chiếm 54.26% tổng số thiệt hại trong năm 2025, đáng kể hơn so với thiệt hại từ việc khai thác hợp đồng token (17.2%) và vi phạm ví cá nhân (11.67%).

Khi các hacker hoàn thiện kỹ thuật của họ, các quy trình tuân thủ dựa trên vé mà các sàn giao dịch thường sử dụng không còn đủ. Báo cáo khuyến nghị rằng các sàn giao dịch nên triển khai các hệ thống giám sát và phản hồi tự động theo thời gian thực để phát hiện và ngăn chặn các hoạt động bất hợp pháp trước khi tiền được rửa hoàn toàn.

Về cơ bản, tốc độ rửa tiền phải được đối phó với các cơ chế phát hiện và phản hồi nhanh chóng tương tự. Nếu rửa tiền có thể hoàn thành trong vài phút, CEXs cần các hệ thống hoạt động với tốc độ tương tự.

Các luật mới, như Đạo luật Genius, được Tổng thống Mỹ Donald Trump ký thành luật vào ngày 18 tháng 7, áp đặt thêm nghĩa vụ cho các sàn giao dịch và các VASP khác tuân thủ các tiêu chuẩn AML nghiêm ngặt hơn và thời gian phản hồi nhanh hơn.

Phiên tòa của Roman Storm nhấn mạnh kỳ vọng ngày càng tăng: Ngăn chặn tội phạm trước khi nó xảy ra

Phiên tòa đang diễn ra của nhà phát triển Tornado Cash, Roman Storm, nêu bật sự thay đổi trong cách các nhà quản lý nhìn nhận trách nhiệm trong không gian tiền điện tử. Trọng tâm của vụ án là liệu các nhà phát triển và nền tảng có nên bị truy cứu trách nhiệm vì không ngăn chặn các hoạt động bất hợp pháp mà họ có thể đã dự đoán trước.

Nhiều người ủng hộ trách nhiệm này. Trong phiên tòa, người ta đã tuyên bố rằng 'Storm có khả năng triển khai các biện pháp kiểm soát có thể đã ngăn chặn việc sử dụng bất hợp pháp, nhưng đã chọn không làm như vậy.'

Storm đối mặt với nhiều cáo buộc, bao gồm cả âm mưu rửa tiền. Người ta cáo buộc rằng nền tảng của anh ta, Tornado Cash, đã tạo điều kiện cho hơn 1 tỷ đô la trong các giao dịch bất hợp pháp, một số liên quan đến Nhóm Lazarus của Triều Tiên. Nếu bị kết tội, anh ta có thể đối mặt với mức án lên đến 45 năm tù.

Vụ án của Storm có thể trở thành một bước ngoặt quan trọng cho sự phát triển mã nguồn mở và các công cụ bảo mật riêng tư. Những người chỉ trích cho rằng việc truy tố một nhà phát triển vì viết mã, đặc biệt là cho một giao thức phi tập trung như Tornado Cash, có thể thiết lập một tiền lệ nguy hại có thể làm giảm sự đổi mới và đe dọa tự do phần mềm.

Theo Cointelegraph

Tin khác