Sàn Kraken đối mặt vụ tống tiền nội gián, 2.000 tài khoản tiền mã hóa bị truy cập xem thông tin

Sàn giao dịch tiền mã hóa *Kraken* đang đối mặt với một vụ *tống tiền* liên quan đến đoạn video ghi lại cảnh truy cập hệ thống nội bộ. Phía công ty khẳng định đây không phải là vụ *hacker* tấn công từ bên ngoài, mà là hành vi *truy cập hạn chế có yếu tố nội bộ*, đồng thời nhấn mạnh không có bất kỳ *dòng tiền* hay tài sản khách hàng nào bị thất thoát.

Theo CoinDesk đưa tin ngày 13 (giờ địa phương), *Kraken* cho biết đã phát hiện và chặn đứng hai vụ truy cập không phù hợp, đều liên quan đến nhân sự thuộc bộ phận hỗ trợ khách hàng. Các sự cố này chỉ ảnh hưởng ở mức độ hạn chế tới một số dữ liệu khách hàng, còn hạ tầng giao dịch cốt lõi của sàn vẫn an toàn. Nick Percoco, Giám đốc an ninh thông tin (CSO) của *Kraken* và công ty bảo mật *Paidward*, khẳng định hệ thống không bị xâm nhập, tiền của khách hàng không bị đặt vào tình trạng rủi ro, đồng thời tuyên bố sẽ “không thương lượng với tội phạm”.

Trong vụ việc đầu tiên xảy ra tháng 2 năm 2025, *Kraken* nhận được báo cáo kèm đoạn video được lan truyền trên một diễn đàn tội phạm, cho thấy cảnh truy cập vào hệ thống nội bộ. Điều tra nội bộ giúp công ty nhanh chóng xác định được cá nhân liên quan, thu hồi toàn bộ quyền truy cập và siết chặt các lớp kiểm soát bảo mật. Một số khách hàng bị ảnh hưởng đã được thông báo trực tiếp.

Thời gian gần đây, công ty tiếp tục tiếp nhận thêm các đoạn video và tố cáo có nội dung tương tự. Kết quả điều tra cho thấy lại có yếu tố nhân sự nội bộ, và những người này cũng lập tức bị chặn quyền truy cập, đồng thời khách hàng liên quan được cảnh báo.

Theo *Kraken*, tổng cộng khoảng 2.000 tài khoản có “khả năng đã bị truy cập xem thông tin”, tương đương khoảng 0,02% tổng số tài khoản khách hàng trên sàn. Sau đó, nhóm đứng sau các video bắt đầu dùng hình ảnh truy cập nội bộ này làm “đòn bẩy” để *tống tiền*, đe dọa sẽ tung video ra công khai nếu không được đáp ứng yêu sách. Công ty nhấn mạnh sẽ không chấp nhận bất kỳ hình thức đe dọa hay mặc cả nào.

*bình luận* Vụ việc tại *Kraken* cho thấy mô hình rủi ro của các sàn giao dịch tiền mã hóa không chỉ dừng ở tấn công kỹ thuật thuần túy từ bên ngoài, mà ngày càng chịu sức ép từ nguy cơ “rò rỉ bên trong”, nơi nhân viên hoặc đối tác có quyền truy cập hệ thống trở thành mắt xích bị lợi dụng.

Sự cố lần này cũng phơi bày điểm yếu cơ cấu của toàn ngành *tiền mã hóa*: tài sản kỹ thuật số có khả năng di chuyển xuyên biên giới gần như tức thời và rất khó đảo ngược sau khi đã chuyển đi. Trong khi đó, bề mặt tấn công trải rộng từ hạ tầng sàn, cơ chế lưu trữ khóa riêng, hợp đồng thông minh, cho tới các kỹ thuật phi kỹ thuật như nội gián, *phishing*, hay các chiêu trò *social engineering* nhằm chiếm quyền truy cập.

Các cuộc tấn công gần đây cho thấy mức độ tinh vi đang tăng lên rõ rệt. Tin tặc có xu hướng kết hợp nhiều mũi tấn công cùng lúc: khai thác lỗ hổng trong hợp đồng thông minh và cấu trúc thanh khoản, đồng thời dùng kỹ thuật xã hội để chiếm tài khoản quản trị, sau đó nhanh chóng luân chuyển tài sản qua nhiều lớp ví và giao thức để né tránh truy vết. Một số vụ như trường hợp giao thức giao dịch *Drift* từng ghi nhận, kẻ tấn công còn hiểu sâu cơ chế vận hành, mô hình thanh khoản và thị trường phái sinh của giao thức, khiến việc phát hiện theo thời gian thực trở nên đặc biệt khó khăn.

Theo *Kraken*, họ không coi đây là sự cố đơn lẻ mà là một phần của chiến dịch “*tuyển dụng nội gián*” đang âm thầm diễn ra trên diện rộng trong ngành. Công ty cho biết đã quan sát được các nỗ lực tương tự nhắm vào lĩnh vực game, viễn thông và nhiều mảng kinh tế số khác. *Kraken* đang phối hợp với các đối tác trong ngành và cơ quan thực thi pháp luật để mở rộng điều tra, đồng thời khẳng định đã thu thập đủ bằng chứng để dẫn tới các vụ bắt giữ trong thời gian tới.

Ở chiều ngược lại, những sự cố liên quan truy cập trái phép vào môi trường phát triển, thử nghiệm cũng ngày một phổ biến. Theo Bloomberg đưa tin ngày 20 tháng 12 (giờ địa phương), *Galaxy Digital(GLXY)* – công ty dịch vụ tài chính tài sản số do Mike Novogratz điều hành – gần đây cũng phát hiện truy cập trái phép vào môi trường phát triển tách biệt. Dù vậy, *Galaxy Digital(GLXY)* khẳng định không có dữ liệu tài khoản hay tài sản khách hàng nào bị ảnh hưởng, cho thấy ranh giới giữa “lộ lọt môi trường thử nghiệm” và “sự cố mất tài sản” vẫn phụ thuộc lớn vào cách doanh nghiệp phân tách hệ thống và kiểm soát quyền truy cập.

*bình luận* Việc các nhóm tội phạm có xu hướng “mua chuộc” người trong nội bộ, đặc biệt là bộ phận hỗ trợ khách hàng hay kỹ thuật, đang trở thành mối lo dài hạn của ngành *tiền mã hóa*. Khác với tấn công kỹ thuật cần năng lực chuyên môn cao, chiến lược này dựa trên việc tìm kiếm nhân sự bất mãn hoặc dễ bị cám dỗ về tài chính, từ đó mở ra cánh cửa hợp pháp vào dữ liệu nhạy cảm hoặc công cụ quản lý tài khoản.

Được thành lập năm 2011 tại Mỹ, *Kraken* là một trong những sàn giao dịch lâu đời trên thị trường *Bitcoin(BTC)*, *Ethereum(ETH)* và nhiều tài sản số khác, cung cấp dịch vụ giao dịch giao ngay, phái sinh, lưu ký và staking cho khách hàng toàn cầu. Trước bối cảnh nguy cơ nội gián gia tăng, công ty tuyên bố sẽ tiếp tục nâng cấp hệ thống kiểm soát truy cập nội bộ, mở rộng giám sát hành vi và tăng cường hợp tác điều tra với các cơ quan chức năng, với mục tiêu đặt “an toàn của khách hàng” lên hàng đầu trong mọi quyết định vận hành.