Giả làm shipper giao hàng để cướp 4,3 triệu USD crypto ngay tại nhà riêng

Kịch bản tấn công đơn giản nhưng hiệu quả: giả làm shipper giao hàng, gõ cửa, cưỡng nhập bằng súng và ép chủ nhà chuyển private key.

Vào tháng 6/2024, ba người đàn ông thực hiện chính xác kịch bản này tại một căn hộ ở Anh và chiếm đoạt hơn 4,3 triệu USD crypto.

Năm tháng sau, Tòa Sheffield Crown kết án Faris Ali cùng hai đồng phạm, sau khi cảnh sát Metropolitan thu hồi gần như toàn bộ số tài sản bị đánh cắp.

Vụ việc, được nhà điều tra blockchain ZachXBT ghi lại, trở thành một minh chứng đáng chú ý cho câu hỏi mà ngành công nghiệp crypto vẫn né tránh: bảo mật vận hành (operational security) cần thế nào khi giá trị tài sản tồn tại trên trình duyệt, còn địa chỉ nhà là thông tin công khai? 

1/2 In June 2024 a victim was brutally robbed for $4.3M+ of crypto assets at gunpoint via home invasion in the UK after the attackers posed as delivery drivers.

I am proud to share that Faris & his two other accomplices were just sentenced and nearly the full amount of stolen… pic.twitter.com/raTUVdog4y

— ZachXBT (@zachxbt) November 18, 2025

Vụ cướp diễn ra như thế nào?

Thời điểm tấn công rơi vào khoảng trống giữa sự cố rò rỉ dữ liệu và việc nạn nhân nhận thức về rủi ro.

Những đoạn chat ZachXBT thu được cho thấy các nghi phạm thảo luận chiến lược vài giờ trước khi tấn công, chia sẻ hình ảnh tòa nhà của nạn nhân, xác nhận vị trí đứng trước cửa, và thống nhất câu chuyện ngụy trang. Một bức ảnh ghi lại cả ba mặc đồng phục giao hàng. Vài phút sau, họ gõ cửa — nạn nhân, mong nhận bưu kiện, mở cửa.

Hậu quả là một chuyển khoản ép buộc sang hai địa chỉ Ethereum, thực hiện dưới uy hiếp bằng súng. Phần lớn coin bị đánh cắp nằm yên trong các ví này cho đến khi cơ quan pháp luật can thiệp.

ZachXBT lần theo dấu vết qua phân tích on-chain và các cuộc trò chuyện rò rỉ trên Telegram. Các đoạn chat tiết lộ kế hoạch tội phạm và hồ sơ tiền án: vài tuần trước vụ cướp, Faris Ali đăng ảnh giấy bảo lãnh tại ngoại, tiết lộ tên thật với bạn bè trên Telegram.

Sau vụ việc, một người không rõ danh tính đã đăng ký domain ENS farisali.eth và gửi thông điệp on-chain, công khai cáo buộc trên ledger Ethereum. ZachXBT chia sẻ phát hiện với nạn nhân, người này chuyển cho cơ quan chức năng. Ngày 10/10/2024, ZachXBT công bố điều tra chi tiết, và ngày 18/11, tòa Sheffield Crown ra phán quyết.

Khuynh hướng rộng hơn

ZachXBT nhận thấy vụ việc nằm trong xu hướng gia tăng các vụ xâm nhập nhà nhằm vào chủ sở hữu crypto tại Tây Âu, với tần suất cao hơn các khu vực khác.

Các phương thức tấn công khác nhau: SIM swap lộ recovery phrase, phishing tiết lộ số dư ví, social engineering xác định vị trí tài sản, nhưng điểm chung là khi kẻ tấn công xác nhận nạn nhân có giá trị lớn và biết địa chỉ nhà, họ sẽ chuyển sang cưỡng bức vật lý.

“Chiêu” giao hàng lợi hại vì sao

Ngụy trang giao hàng tận dụng lòng tin vào hệ thống logistics. Việc mở cửa đón người giao hàng là hành vi bình thường, không phải lỗi bảo mật.

Đối tượng tấn công hiểu rằng bước khó nhất của xâm nhập nhà là vào được mà không bị phát hiện. Đồng phục và gói hàng tạo lý do hợp lý để đứng chờ trước cửa. Khi cửa mở, yếu tố bất ngờ đã được kích hoạt.

Chiêu này khó mở rộng vì yêu cầu hiện diện trực tiếp, để lại dấu vết pháp y, và thất bại nếu nạn nhân từ chối mở cửa. Nhưng nó vượt qua mọi lớp bảo mật kỹ thuật số: ví multi-signature, thiết bị phần cứng hay cold storage đều vô dụng nếu bị ép ký giao dịch ngay lập tức. Điểm yếu là con người nắm chìa khóa, sống tại địa chỉ cố định có thể tìm ra qua dữ liệu rò rỉ hoặc hồ sơ công khai.

Bài học bảo vệ và chi phí opsec

Vụ này đặt ra yêu cầu cho các holder tài sản lớn: cân nhắc lại cách quản lý và công khai tài sản.

Bài học tức thời là phòng ngừa: tách bạch tài sản, xóa thông tin cá nhân khỏi cơ sở dữ liệu công khai, tránh chia sẻ số dư ví trên mạng xã hội, coi mọi lượt ghé thăm bất thường là mối đe dọa.

Nhưng các biện pháp này “tốn chi phí” về tiện lợi, minh bạch, và khả năng tham gia cộng đồng crypto mà không trở thành mục tiêu.

Vấn đề lâu dài là thị trường bảo hiểm. Các nhà cung cấp lưu ký( custody) truyền thống có bảo hiểm và đảm bảo an ninh vật lý, trong khi tự quản lý (self-custody) không có, là một trong những nhược điểm hiếm hoi. Nếu xâm nhập nhà trở thành mối đe dọa dự đoán được, nhu cầu dịch vụ lưu trữ có bảo hiểm hoặc bảo vệ cá nhân sẽ tăng. Cả hai đều đắt và đánh đổi quyền kiểm soát vốn có của self-custody.

Rò rỉ dữ liệu là nguy cơ gốc: sàn tập trung, nền tảng phân tích blockchain, báo cáo thuế, dịch vụ Web3 yêu cầu KYC đều lưu trữ thông tin liên kết danh tính với ví. Khi cơ sở dữ liệu này bị rò rỉ, nó trở thành “danh sách mua sắm” cho tội phạm, đối chiếu số dư ví với địa chỉ công khai.

Khuyến nghị của ZachXBT về việc “giám sát thông tin cá nhân khi bị lộ trực tuyến” là chính xác, nhưng giả định nạn nhân có công cụ và sự cảnh giác theo dõi rò rỉ theo thời gian thực — điều mà phần lớn không có.

Khả năng thực thi cũng là giới hạn: ZachXBT là cá nhân làm việc miễn phí. Cơ quan pháp luật phần lớn thiếu năng lực forensics on-chain để truy tìm crypto bị đánh cắp mà không có hỗ trợ bên ngoài. Cảnh sát Metropolitan thành công nhờ được bàn giao toàn bộ kết quả điều tra sẵn có.

Hệ quả đối với self-custody

Câu hỏi rộng hơn: self-custody có còn là lựa chọn mặc định cho người giữ tài sản lớn?

Ngành crypto đã tranh luận một thập kỷ rằng cá nhân nên kiểm soát private key và chủ quyền tài sản đáng giá chi phí vận hành. Lập luận này đúng khi mối đe dọa là sụp đổ sàn hay trưng thu của chính phủ, nhưng yếu đi khi mối đe dọa là một người mặc đồng phục giao hàng với súng và danh sách địa chỉ từ dữ liệu rò rỉ.

Nếu holder tài sản lớn nhận ra self-custody gây rủi ro vật lý không chấp nhận được, họ sẽ chuyển sang nền tảng tổ chức có bảo hiểm, đánh đổi decentralization lấy an toàn. Nếu vẫn giữ self-custody nhưng đầu tư mạnh vào bảo mật và riêng tư, crypto trở thành văn hóa ngầm dành cho người giàu và cảnh giác.

Vụ án tại Sheffield Crown Court khép lại một chương: kẻ tấn công đã bị bắt, nạn nhân lấy lại tài sản, ZachXBT có thêm case study. Nhưng điểm yếu hệ thống vẫn tồn tại: miễn là tài sản lớn có thể bị cưỡng ép trong chưa đầy một giờ và dữ liệu rò rỉ vẫn liên kết số dư ví với địa chỉ nhà, mọi biện pháp mã hóa đều không bảo vệ con người giữ chìa khóa.