Ví 73 Bitcoin(BTC) nghi là mắt xích then chốt trong đường dây rửa tiền ransomware quốc tế

Một ví *Bitcoin(BTC)* chứa 73 BTC đã “ngủ yên” suốt thời gian dài nhưng hiện được xem là mắt xích quan trọng trong nghi án rửa tiền quốc tế liên quan đến các nhóm *ransomware*. Chuỗi giao dịch dẫn tới ví này được cho là gắn với một mạng lưới môi giới tiền mã hóa tại Nga, có thể trở thành “mắt xích quyết định” giúp cơ quan chức năng hoàn thiện bức tranh điều tra.

Theo dữ liệu on-chain do nhà phân tích blockchain ZachXBT công bố trên X ngày 24 (giờ địa phương), ví chứa 73 BTC này liên kết với nhiều dòng tiền *ransomware* khác nhau, được phát hiện trong quá trình lần ngược lại ba thương vụ thanh toán tiền chuộc bằng *Bitcoin(BTC)*. ZachXBT cho biết trọng tâm điều tra hiện xoay quanh một môi giới giao dịch ngoài sàn (OTC) người Nga có tên Alekxandr Khinkis, bị cáo buộc đóng vai trò trung gian chuyển đổi tài sản mã hóa cho các nhóm tội phạm mạng.

Theo ZachXBT, cuộc điều tra bắt đầu từ một chiến dịch thâm nhập trên Telegram, nơi nhóm điều tra tiếp cận Khinkis trong vai “khách hàng tiềm năng” và yêu cầu địa chỉ ví để thực hiện giao dịch. Từ một địa chỉ nạp tiền duy nhất mà Khinkis cung cấp, bắt đầu bằng tiền tố “0xa756”, họ lần ra được khoảng 75 giao dịch với tổng giá trị xấp xỉ 4,7 triệu USD (khoảng 70,64 tỷ đồng). Dòng tiền này, theo phân tích chuỗi khối, đã được hoạt động liên tục ít nhất từ tháng 7 năm 2025, với nhiều bước trung gian nhằm che dấu nguồn gốc bất hợp pháp.

bình luận: Việc chỉ từ một địa chỉ ví mà điều tra viên có thể khôi phục toàn bộ lộ trình dòng tiền cho thấy ưu thế của phân tích on-chain trong bối cảnh tội phạm mạng ngày càng lạm dụng *Bitcoin(BTC)* và các tài sản số khác để rửa tiền.

Nguồn tin cho thấy ba vụ *ransomware* với tổng cộng 796 BTC là trung tâm của đường dây đáng ngờ này.

Trường hợp sớm nhất diễn ra vào tháng 9 năm 2023, khi 560 BTC tiền chuộc được chuyển qua năm địa chỉ “cầu nối” trước khi được phân tán vào nhiều ví khác nhau. Phân tích sau đó cho thấy một phần đáng kể số BTC này đã được hoán đổi và chuyển sang mạng *Avalanche(AVAX)* trong năm 2024, nhằm tận dụng phí giao dịch thấp hơn và tăng độ khó truy vết.

Thương vụ thứ hai xảy ra vào tháng 9 năm 2025, với quy mô 72 BTC. Khoảng hơn 15% số tiền này được xác định là trùng lặp với các ví từng nhận tiền *ransomware* trước đó, cho thấy cùng một hạ tầng rửa tiền đang được tái sử dụng. Ước tính có khoảng 1,36 triệu USD (khoảng 20,44 tỷ đồng) đã nhanh chóng đi qua một dịch vụ đổi tiền, sau đó chuyển sang ví *Tron(TRX)* để tiếp tục dòng chảy.

Giao dịch mới nhất được ghi nhận vào tháng 10 năm 2025 với 164 BTC, tương đương khoảng 3,8 triệu USD (khoảng 57,11 tỷ đồng) tại thời điểm giao dịch. Dòng tiền này tái sử dụng cấu trúc tương tự: nhận BTC, chia nhỏ, dùng dịch vụ trung gian và cuối cùng hội tụ vào các địa chỉ trên mạng *Tron(TRX)*.

Đáng chú ý, bảy địa chỉ *Tron(TRX)* có liên quan đến luồng vốn nói trên sau đó đã bị nhà phát hành *Tether(USDT)* đóng băng. Phần tài sản được cho là đã bị đưa vào quy trình “đốt” (burn), loại bỏ vĩnh viễn khỏi nguồn cung lưu hành. Động thái này là chỉ dấu rõ ràng cho thấy các biện pháp pháp lý thực tế đã được triển khai chống lại dòng tiền khả nghi.

bình luận: Việc *Tether(USDT)* chủ động đóng băng và xử lý tài sản cho thấy các tổ chức phát hành stablecoin ngày càng hợp tác chặt chẽ với cơ quan chức năng, từ đó làm suy giảm đáng kể hiệu quả của các chiến lược rửa tiền truyền thống dựa trên stablecoin.

Dù một phần tài sản đã bị chặn, ước tính khoảng 16,6 triệu USD (khoảng 249 tỷ đồng) vẫn đang nằm rải rác trong các ví có liên quan, hoặc đã phần nào được quy đổi ra tiền pháp định thông qua những kênh chưa được công khai. ZachXBT khẳng định toàn bộ dữ liệu ví, giao dịch và sơ đồ dòng tiền đã được bàn giao cho các cơ quan quản lý và thực thi pháp luật ở nhiều khu vực tài phán khác nhau, song cho đến nay vẫn chưa có thông báo chính thức nào về việc bắt giữ Khinkis hay các cộng sự của ông ta.

Nguồn thông tin mã nguồn mở (OSINT) còn cho thấy Alekxandr Khinkis thường xuyên di chuyển giữa Đông Nam Á và Úc, với những chặng dừng chân ở các quốc gia được coi là “điểm nóng” của giao dịch OTC tiền mã hóa. Các lộ trình di chuyển này cũng đã được đưa vào diện giám sát, nhằm đối chiếu với các mốc thời gian giao dịch lớn trên chuỗi khối.

Giữa bức tranh dòng tiền phức tạp đó, ví chứa 73 BTC vẫn hoàn toàn bất động. Chính sự “im lặng” này khiến nhiều chuyên gia coi đây là “mảnh ghép cuối cùng” của vụ án. Một khi số *Bitcoin(BTC)* này bắt đầu được chuyển đi, rất có thể các công cụ phân tích on-chain cùng hệ thống giám sát giao dịch sẽ lập tức kích hoạt, tạo cơ hội vàng để các cơ quan chức năng lần theo dấu vết sang những mắt xích còn lại trong mạng lưới.

bình luận: Vụ việc là ví dụ điển hình cho xu hướng song hành: một bên là kỹ thuật rửa tiền bằng *Bitcoin(BTC)* và các tài sản số ngày càng tinh vi, đa chuỗi; bên còn lại là công nghệ phân tích blockchain và khung hợp tác pháp lý xuyên biên giới cũng tăng tốc không kém. Khoảng “ẩn danh tuyệt đối” mà tội phạm mạng từng kỳ vọng ở tiền mã hóa đang dần bị thu hẹp, đặc biệt khi các ví lớn như ví 73 BTC nói trên bị đặt dưới kính hiển vi điều tra trong thời gian dài.