Tên miền Samourai Wallet bị chiếm quyền, trở thành bẫy phishing nhắm vào người dùng bitcoin

Một tên miền ví Bitcoin từng bị cơ quan chức năng thu giữ đã bất ngờ xuất hiện trở lại vào năm 2026 dưới sự kiểm soát của tội phạm, biến một dự án đã “khai tử” thành công cụ lừa đảo nhắm vào người dùng thiếu cảnh giác.

Tên miền liên quan đến Samourai Wallet — vốn là một ví Bitcoin không lưu ký tập trung vào quyền riêng tư — hiện đang bị lợi dụng để phát tán phần mềm độc hại sau khi không còn thuộc quyền kiểm soát của chính phủ Hoa Kỳ và rơi vào tay các đối tượng lừa đảo từ đầu năm nay.

Trước đây, Samourai Wallet hoạt động như một ứng dụng giúp người dùng toàn quyền kiểm soát khóa riêng, đồng thời tích hợp các công cụ nâng cao để làm mờ dấu vết giao dịch. Các tính năng nổi bật gồm Whirlpool (cơ chế CoinJoin), Ricochet và Dojo — cho phép tăng cường quyền riêng tư thông qua nhiều lớp xử lý giao dịch và hạ tầng tự vận hành.

Dự án đột ngột dừng hoạt động vào ngày 24/4/2024 khi nhà chức trách Mỹ bắt giữ hai đồng sáng lập Keonne Rodriguez và William Lonergan Hill. Công tố viên cáo buộc nền tảng này đã xử lý hơn 2 tỷ USD giao dịch Bitcoin, trong đó có hơn 200 triệu USD liên quan đến các hoạt động bất hợp pháp như chợ darknet, lừa đảo và các thực thể bị trừng phạt.

Sau các vụ bắt giữ, lực lượng thực thi pháp luật đã thu giữ toàn bộ hạ tầng của dự án, bao gồm máy chủ đặt tại Iceland và tên miền chính. Ứng dụng cũng bị gỡ khỏi các kênh phân phối tại Mỹ, khiến hoạt động chính thức chấm dứt.

Đến năm 2025, cả hai nhà sáng lập đều nhận tội liên quan đến việc vận hành dịch vụ chuyển tiền không giấy phép. Bản án sau đó tuyên phạt Rodriguez 5 năm tù và Hill 4 năm tù, kèm theo các khoản phạt tài chính và tịch thu tài sản.

Tuy vậy, về mặt kỹ thuật, bản chất không lưu ký của Samourai Wallet đồng nghĩa với việc tài sản của người dùng không bị nắm giữ bởi nền tảng. Bitcoin vẫn nằm trên blockchain và có thể truy cập thông qua seed phrase, ngay cả khi ứng dụng đã biến mất.

Diễn biến mới nhất xuất hiện vào tháng 3/2026 khi tên miền từng bị thu giữ được cho là đã hết hạn hoặc được đấu giá, sau đó rơi vào tay các đối tượng chưa rõ danh tính. Trang web hiện tại giả mạo như phiên bản tiếp nối hợp pháp của ví gốc, tái sử dụng thương hiệu, mô tả tính năng và thậm chí đăng các bài blog giả mạo có niên đại năm 2026.

Các nhà nghiên cứu bảo mật và cộng đồng nhanh chóng cảnh báo đây là một chiến dịch phishing. Trang web được cho là cố gắng dụ người dùng tải về phiên bản ví đã bị cài mã độc hoặc các bản cập nhật giả nhằm đánh cắp khóa riêng và seed phrase.

Một cảnh báo lan truyền rộng rãi trên nền tảng X gọi đây là nghịch lý “đắng”, khi một tên miền từng bị thu giữ vì mục đích thực thi pháp luật cuối cùng lại rơi vào tay tội phạm mạng thực sự.

Sự việc làm dấy lên tranh luận mới về cách quản lý và vòng đời của các tài sản số bị tịch thu. Dù hành động của cơ quan chức năng đã chấm dứt dịch vụ ban đầu, việc tên miền sau đó được giải phóng lại tạo ra cơ hội cho hành vi giả mạo, cho thấy khoảng trống giữa thực thi pháp luật và bảo vệ người dùng dài hạn.

Tổng thống Donald Trump cũng cho biết đang xem xét lại vụ việc liên quan đến các nhà phát triển Samourai Wallet trong bối cảnh xuất hiện nhiều lời kêu gọi ân xá.

Về phía người dùng, khuyến nghị bảo mật vẫn không thay đổi nhưng đặc biệt quan trọng: tuyệt đối không nhập seed phrase vào bất kỳ website nào, tránh tải phần mềm ví từ nguồn không xác minh và luôn cảnh giác với các tên miền “hồi sinh”. Trong trường hợp này, dự án gốc đã ngừng phát triển từ năm 2024, nên bất kỳ phiên bản nào tuyên bố tiếp tục đều là dấu hiệu đáng ngờ.

Vụ việc Samourai, từng được xem là một cột mốc trong hoạt động siết chặt các công cụ crypto tập trung vào quyền riêng tư, nay trở thành một bài học cảnh báo. Nó cho thấy dù blockchain giúp bảo toàn tài sản thông qua self-custody, các thành phần xung quanh như tên miền hay giao diện người dùng vẫn có thể trở thành điểm tấn công, ngay cả khi dự án đã biến mất từ lâu.