Đồng sáng lập Tornado Cash đối mặt 5 năm tù, lộ hổng bảo mật khiến 3 triệu USDT bị đánh cắp

Một đồng sáng lập Tornado Cash bị kết án tại Mỹ, cảnh báo từ vụ lừa đảo 3 triệu USDT gây rúng động

Một phán quyết quan trọng vừa được đưa ra tại Mỹ liên quan đến Tornado Cash – một trong những dịch vụ trộn tiền mã hóa (crypto mixer) nổi tiếng nhất hiện nay – làm dấy lên nhiều tranh luận về ranh giới giữa quyền riêng tư, pháp luật và trách nhiệm trong lĩnh vực blockchain.

Theo Reuters đưa tin ngày 26 (giờ địa phương), bồi thẩm đoàn liên bang Manhattan đã tuyên án Roman Storm – đồng sáng lập của dịch vụ bảo mật tiền mã hóa *Tornado Cash* – phạm tội “âm mưu vận hành dịch vụ chuyển tiền phi pháp”. Storm có thể đối mặt với mức án lên tới 5 năm tù. Bồi thẩm đoàn không đạt được sự thống nhất về hai cáo buộc còn lại gồm “âm mưu rửa tiền” và “vi phạm lệnh trừng phạt đối với Triều Tiên”.

Vụ án được xét xử tại Tòa án Liên bang khu vực Nam New York. Cơ quan công tố Mỹ cáo buộc Roman Storm đã cố tình bỏ qua các cảnh báo về việc Tornado Cash bị tội phạm lạm dụng. Theo đó, với khả năng chỉnh sửa mã nguồn, Storm hoàn toàn có thể ngăn chặn điều này. Các cáo buộc được hỗ trợ bởi lời chứng từ các chuyên gia thuộc Cục điều tra Liên bang (FBI), Cơ quan thuế (IRS), và giới nghiên cứu bảo mật blockchain. Phía bào chữa đưa ra phản chứng từ nhà phát triển Ethereum Preston Van Loon và đồng sáng lập NAXO – Matthew Edman.

Bình luận: Vụ kiện Tornado Cash đang trở thành phép thử pháp lý quan trọng cho quyền riêng tư trên blockchain. Trong khi tính năng trộn giao dịch của Tornado Cash bảo vệ ẩn danh cho người dùng hợp pháp, thì nó cũng bị kẻ xấu lợi dụng để che giấu dòng tiền phi pháp.

Gây chấn động song song với vụ án Tornado Cash, một vụ lừa đảo chiếm đoạt hơn 3 triệu USD bằng phương thức phishing (lừa đảo qua liên kết giả mạo) đã xảy ra chỉ trong vài giây. Theo báo cáo từ nền tảng phân tích blockchain Lookonchain ngày 26 (giờ địa phương), một người dùng đã ký giao dịch chứa mã độc mà không xác minh địa chỉ hợp đồng thông minh. Hậu quả là 3,05 triệu USD đầu tư dưới dạng USD Tether(USDT) đã lập tức bị rút khỏi ví điện tử cá nhân chỉ sau một cú nhấp chuột duy nhất.

Lookonchain khuyến cáo người dùng: “Tuyệt đối không ký bất kỳ giao dịch nào nếu chưa kiểm tra rõ danh tính địa chỉ và nội dung hợp đồng.” Các nhà phân tích bảo mật nhấn mạnh **ý thức bảo mật của người dùng** cần được nâng cao thông qua thiết bị lưu trữ lạnh và cơ chế ký nhiều chữ ký (multi-sig).

Bình luận: Vụ tấn công này cho thấy dù mạng blockchain có phi tập trung đến đâu, điểm yếu đến từ phía người dùng vẫn là lỗ hổng lớn nhất. Phòng tránh rủi ro trong môi trường quản lý phân tán đòi hỏi các lớp bảo vệ nhiều tầng và nhận thức đúng đắn từ cộng đồng.

Kết luận, các sự kiện trên cho thấy ngành tiền mã hóa đang bước vào giai đoạn trưởng thành, khi yếu tố công nghệ không còn đủ để đảm bảo an toàn và hợp pháp. Với vụ xử Roman Storm và vụ lừa đảo USDT mới nhất, yêu cầu về **tuân thủ pháp luật**, **bảo vệ người dùng** và **quản trị phân quyền hiệu quả** đang trở thành tiêu chuẩn cần thiết cho các dự án blockchain trong tương lai.