Khi một nhà đầu tư mua Bitcoin, Ethereum hay bất kỳ token nào trên sàn giao dịch, câu hỏi tưởng chừng đơn giản là tài sản đó đang nằm ở đâu lại có câu trả lời phức tạp hơn rất nhiều so với tài khoản tiết kiệm tại một ngân hàng truyền thống. Tài sản số tồn tại trên blockchain dưới dạng dữ liệu, và quyền sở hữu thực sự được xác lập bởi việc ai đang nắm giữ khóa riêng tư của địa chỉ chứa tài sản đó.
Theo tìm hiểu của phóng viên Tạp chí Điện tử và Ứng dụng, hàng loạt vụ sụp đổ sàn giao dịch quốc tế từ Mt. Gox đến FTX đều có chung nguyên nhân gốc là người dùng không hiểu rõ bản chất của hoạt động lưu ký tài sản số.
Ví điện tử không “chứa” tiền và cuộc đối đầu giữa ví nóng với ví lạnh
Không giống ví tiền truyền thống, ví điện tử trong thế giới tài sản số không thực sự chứa tiền. Tài sản số tồn tại trên blockchain, ví chỉ đóng vai trò công cụ giúp người dùng truy cập, quản lý tài sản đó thông qua hai chìa khóa bảo mật. Mỗi ví gồm địa chỉ ví, còn gọi là public key, có thể chia sẻ để nhận tài sản tương tự số tài khoản ngân hàng. Khóa riêng tư, gọi là private key, được dùng để xác nhận giao dịch và phải giữ tuyệt mật.
Khi người dùng thực hiện giao dịch, ví sử dụng private key để ký giao dịch bằng thuật toán mật mã, sau đó phát chữ ký lên mạng blockchain xác thực. Cơ chế này có một hệ quả mang tính sống còn, đó là ai nắm giữ private key thì người đó có toàn quyền kiểm soát tài sản. Đây là nguồn gốc câu nói nổi tiếng trong cộng đồng crypto toàn cầu “Not your keys, not your coins”, tạm dịch là không giữ khóa thì không phải của bạn.
 |
| Ví điện tử giúp truy cập tài sản số thông qua private key, yếu tố quyết định quyền sở hữu thực sự. |
Ví điện tử hiện được chia thành hai nhóm chính. Ví nóng là loại ví kết nối internet, thường được tích hợp trong ứng dụng di động hoặc tiện ích trình duyệt như MetaMask, Trust Wallet, Phantom. Ưu điểm của ví nóng là tiện lợi, thao tác nhanh, phù hợp với giao dịch thường xuyên hoặc tương tác với các ứng dụng phi tập trung. Nhược điểm cũng nằm chính ở đặc tính kết nối mạng. Ví nóng có thể bị tấn công từ xa qua mã độc, qua các website giả mạo, hoặc qua chính các tiện ích trình duyệt độc hại được cài đặt cùng máy.
Ngược lại, ví lạnh là thiết bị lưu trữ offline, không kết nối internet. Private key được giữ trong một thiết bị vật lý chuyên dụng như Ledger, Trezor, hoặc đơn giản là một mảnh giấy ghi cụm từ khôi phục. Mọi thao tác ký giao dịch diễn ra trong thiết bị, chữ ký mới được truyền sang máy tính để phát lên mạng. Cách thức này gần như loại bỏ rủi ro tấn công từ xa, nhưng đánh đổi bằng sự bất tiện trong giao dịch hằng ngày và một rủi ro khác không kém phần nghiêm trọng, đó là rủi ro mất thiết bị vật lý.
Theo ghi nhận của phóng viên, đã có hàng triệu USD giá trị tài sản số bị đóng băng vĩnh viễn chỉ vì người dùng quên hoặc làm mất khóa truy cập. Trường hợp nổi tiếng thế giới là kỹ sư người Đức Stefan Thomas hiện sống tại San Francisco, người sở hữu hơn 7.000 Bitcoin nhưng chỉ còn hai lần thử nhập mật khẩu trên ổ cứng IronKey trước khi thiết bị tự khóa vĩnh viễn.
Khác với tài khoản ngân hàng, nơi người dùng có thể lấy lại mật khẩu qua các bước xác minh danh tính, blockchain không có cơ chế quên mật khẩu, không có tổng đài chăm sóc khách hàng, không có quyết định pháp lý nào có thể buộc mạng lưới mở khóa một địa chỉ ví.
Lưu ký tập trung trên sàn và bài học từ những vụ sụp đổ tỷ đô
Phần lớn nhà đầu tư cá nhân tại Việt Nam không tự lưu trữ tài sản số bằng ví riêng mà gửi trực tiếp trên sàn giao dịch tập trung. Khi người dùng nạp tài sản mã hóa vào một sàn như Binance, OKX hay Coinbase, thực chất họ đang chuyển quyền kiểm soát khóa riêng tư sang cho sàn. Sàn ghi nhận số dư tài khoản trong hệ thống nội bộ, không phải trực tiếp trên blockchain. Đây là mô hình lưu ký, và sự đơn giản của nó che mờ một rủi ro căn bản, đó là người dùng đang đặt niềm tin tuyệt đối vào năng lực quản trị, đạo đức kinh doanh và khả năng bảo mật của bên thứ ba.
Vụ sàn FTX sụp đổ tháng 11/2022 là minh chứng đắt giá nhất cho rủi ro của mô hình lưu ký tập trung. Trước thời điểm sụp đổ, FTX là sàn giao dịch tài sản số lớn thứ ba thế giới với khoảng 1 triệu khách hàng và định giá đỉnh điểm 32 tỷ USD. Người sáng lập Sam Bankman-Fried được truyền thông tài chính ca tụng như một thiên tài thế hệ mới.
Khi sàn nộp đơn phá sản, điều tra của cơ quan pháp luật Hoa Kỳ phát hiện FTX đã âm thầm dùng tài sản lưu ký của khách hàng để cho quỹ liên kết Alameda Research vay và đầu tư mạo hiểm. Hàng tỷ USD tài sản người dùng bị đóng băng, phần lớn không thể thu hồi. Sam Bankman-Fried sau đó bị tòa án liên bang Hoa Kỳ tuyên 25 năm tù vì tội lừa đảo và rửa tiền vào tháng 3/2024.
Trước FTX, năm 2014, sàn Mt. Gox có trụ sở tại Tokyo từng xử lý khoảng 70% giao dịch Bitcoin toàn cầu đã tuyên bố phá sản sau khi mất 850.000 Bitcoin do bị hack kéo dài và quản lý lỏng lẻo. Quá trình xử lý phá sản kéo dài tới hơn một thập kỷ, đến năm 2024 các chủ nợ mới bắt đầu nhận được phần bồi hoàn đầu tiên.
Năm 2018, sàn Coincheck của Nhật Bản bị hack mất 534 triệu USD giá trị token NEM chỉ trong một đêm do sàn lưu trữ toàn bộ số token này trong ví nóng kết nối mạng. Sau vụ Coincheck, cơ quan quản lý Nhật Bản siết chặt quy định, yêu cầu các sàn được cấp phép phải lưu trữ ít nhất 95% tài sản người dùng trong ví lạnh và mua bảo hiểm trách nhiệm cho phần ví nóng còn lại.
Bài học chung từ những vụ sụp đổ này là sàn giao dịch tập trung dù lớn đến đâu cũng vẫn là một doanh nghiệp tư nhân và có thể phá sản, bị hack hoặc gian lận. Khi sự cố xảy ra, người dùng đang lưu ký tài sản trên sàn xếp hàng cùng các chủ nợ thông thường, không có quyền ưu tiên đặc biệt. Thông lệ quốc tế hiện nay là sàn chỉ giữ một tỷ lệ nhỏ tài sản người dùng trong ví nóng phục vụ giao dịch tức thì, phần còn lại chuyển vào ví lạnh đa chữ ký, kiểm toán độc lập định kỳ và công bố báo cáo dự trữ minh bạch.
Ngoài rủi ro hệ thống, người dùng giao dịch trên sàn còn đối mặt với rủi ro tài khoản cá nhân. Theo ghi nhận của phóng viên, không ít trường hợp tại Việt Nam người dùng bị chiếm đoạt tài khoản sàn qua các cuộc tấn công SIM swap, tức đối tượng lừa nhân viên nhà mạng cấp lại sim của nạn nhân để chiếm quyền nhận mã OTP. Sau khi có sim, đối tượng đặt lại mật khẩu, vô hiệu hóa các lớp xác thực và rút sạch tài sản trong vài phút. Các vụ việc dạng này thường khó truy hồi vì tài sản số được chuyển qua nhiều địa chỉ trung gian và nhanh chóng biến mất khỏi sàn.
Khung pháp lý mới của Việt Nam đặt yêu cầu công nghệ ngang tầm hệ thống ngân hàng
Nghị quyết 05/2025/NQ-CP của Chính phủ về triển khai thị trường tài sản mã hóa thí điểm đã đặt ra yêu cầu công nghệ rất cao với dịch vụ lưu ký, đặc biệt nhằm tránh lặp lại các vụ việc kiểu FTX trên thị trường Việt Nam. Theo Điều 8 khoản 7 của Nghị quyết, hệ thống công nghệ thông tin của sàn phải đạt cấp độ an toàn thông tin số 4 theo Luật An toàn thông tin mạng năm 2015. Đây là cấp độ dành cho hạ tầng quan trọng quốc gia, ngang tầm hệ thống của Ngân hàng Nhà nước hay các doanh nghiệp viễn thông trọng yếu.
Để được cấp phép vận hành, đơn vị vận hành sàn phải có văn bản thẩm định riêng của Bộ Công an về an toàn cấp độ 4, sở hữu tối thiểu 10 nhân sự có chứng chỉ an toàn thông tin mạng được cơ quan chức năng công nhận. Điều 15 Nghị quyết 05/2025 bổ sung yêu cầu lưu trữ trên máy chủ đặt tại Việt Nam toàn bộ lịch sử giao dịch, thông tin định danh khách hàng, địa chỉ ví, lịch sử thiết bị, địa chỉ IP và tài khoản ngân hàng liên kết trong ít nhất 10 năm.
Theo tìm hiểu của phóng viên Tạp chí Điện tử và Ứng dụng, đây là yêu cầu nội địa hóa dữ liệu nghiêm ngặt nhất mà ngành tài chính Việt Nam từng áp dụng, nhằm đảm bảo cơ quan chức năng có thể truy vết đầy đủ khi xảy ra sự cố hoặc tranh chấp tài sản.
Quy định mới đã giải quyết một phần khoảng trống pháp lý, song vẫn còn những điểm chưa được làm rõ. Việt Nam chưa có quy định cụ thể về tỷ lệ tối thiểu tài sản người dùng phải nằm trong ví lạnh, tương tự ngưỡng 95% mà Nhật Bản áp dụng sau vụ Coincheck. Cơ chế bảo hiểm tiền gửi cho người dùng sàn tài sản mã hóa cũng chưa được đề cập, trong khi đây là công cụ quan trọng giúp giảm thiệt hại cho nhà đầu tư cá nhân khi sàn gặp sự cố. Đây là những khoảng trống mà Luật Tài sản số đang được Bộ Tài chính chủ trì soạn thảo cần bổ sung trong các phiên bản tiếp theo.
Bên cạnh các rủi ro hệ thống và pháp lý, yếu tố con người vẫn đóng vai trò quan trọng nhất. Theo ghi nhận của phóng viên, nhiều người mới tham gia thị trường tại Việt Nam thường mắc các sai lầm cơ bản như lưu private key hoặc cụm từ khôi phục trên ứng dụng ghi chú không bảo mật, chụp ảnh màn hình thông tin ví và lưu trong điện thoại, gửi cụm từ khôi phục qua email hoặc tin nhắn cho người thân, truy cập các đường link lạ rồi vô tình kết nối ví với website giả mạo.
 |
| Ví lạnh giúp giảm rủi ro tấn công mạng, nhưng đòi hỏi người dùng tự bảo quản thiết bị và thông tin truy cập. |
Mỗi thao tác sai sót đều có thể dẫn đến mất sạch tài sản chỉ trong vài phút. Khác với tài khoản ngân hàng có cơ chế khóa khẩn cấp và truy vết giao dịch, blockchain không có nút hoàn tác.
Với nhà đầu tư bắt đầu tham gia thị trường tài sản số, nguyên tắc tối thiểu cần ghi nhớ là chỉ giữ trên sàn lượng tài sản phục vụ giao dịch ngắn hạn, phần tích lũy dài hạn nên chuyển sang ví lạnh hoặc ví tự lưu trữ có sao lưu đầy đủ. Cụm từ khôi phục cần được ghi tay trên giấy hoặc kim loại, cất tại nơi an toàn, không bao giờ lưu dưới dạng số trên thiết bị có kết nối internet.
Khi giao dịch trên sàn, ưu tiên các nền tảng được cấp phép theo khuôn khổ Nghị quyết 05/2025, kích hoạt đầy đủ các lớp xác thực hai yếu tố và thiết lập whitelist địa chỉ rút tiền.
Trong các bài tiếp theo, phóng viên Tạp chí Điện tử và Ứng dụng sẽ tiếp tục làm rõ cách tài sản số được giao dịch trên sàn tập trung và sàn phi tập trung, cũng như cách dòng tiền vận hành xuyên biên giới trong thị trường crypto toàn cầu, nơi mỗi mắt xích đều có thể trở thành điểm yếu nếu nhà đầu tư thiếu kiến thức nền tảng.
Theo tạp chí Điện tử và Ứng dụng
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống
Nguồn tin: dientungaynay.vn
Tham gia bình luận