Hacker giả danh nhà tuyển dụng lừa kỹ sư phần mềm, lấy 44 triệu USD từ sàn CoinDCX
Chưa đầy 2 tuần sau khi hacker tấn công CoinDCX (sàn giao dịch tiền mã hóa lớn nhất Ấn Độ), cảnh sát tin rằng tìm ra nguyên nhân là do một chiêu trò dùng công việc làm mồi nhử.
Hôm 31.7, cảnh sát Bengaluru (thành phố Bengaluru, thủ phủ bang Karnataka) tiết lộ các hacker giả danh nhà tuyển dụng đã dụ Rahul Agarwal cài đặt phần mềm độc hại vào laptop mà công ty Neblio Technologies cấp cho anh, sau đó rút khoảng 44 triệu USD tiền mã hóa từ ví nội bộ CoinDCX vào ngày 19.7. Rahul Agarwal là kỹ sư chính tại Neblio Technologies - công ty vận hành sàn CoinDCX.
Đây là chiêu trò được gọi là social engineering (tấn công kỹ thuật xã hội).
Cảnh sát đã tạm giữ Rahul Agarwal (30 tuổi) sau khi nhà điều tra xác định những kẻ tấn công đã sử dụng thông tin đăng nhập của Rahul Agarwal để truy cập hệ thống CoinDCX và chuyển tiền, theo truyền thông địa phương.
Rahul Agarwal từng giữ vị trí kỹ sư phần mềm cấp cao từ tháng 5.2023 và được thăng lên vị trí kỹ sư chính hồi tháng 4.2025, làm việc trực tiếp tại văn phòng Neblio Technologies ở Bengaluru.
Theo tờ Indian Express, phần mềm độc hại được gửi dưới vỏ bọc một công việc bán thời gian. Cảnh sát cho biết laptop bị xâm nhập đã được sử dụng để đột nhập vào hệ thống ví nội bộ tại CoinDCX. Theo tờ Times of India, các nhà điều tra tin rằng vụ trộm 44 triệu USD dựa trên quyền truy cập của Rahul Agarwal vào CoinDCX để thực hiện các giao dịch rút tiền.
Rahul Agarwal bị tạm giữ trong khi cuộc điều tra tiếp tục và laptop mà Neblio Technologies cấp cho anh đã bị thu giữ. Rahul Agarwal khẳng định không biết về kế hoạch này cho đến khi bị đối chất trong cuộc điều tra của Neblio Technologies.
Cảnh sát cho biết Rahul Agarwal có thừa nhận làm công việc tự do ngoài giờ cho 3 - 4 khách hàng không rõ danh tính và nhận một khoản tiền khoảng 17.000 USD vào tài khoản cá nhân, nhưng khẳng định không biết về vụ tấn công đến khi được triệu tập điều tra.
CoinDCX treo thưởng 11 triệu USD truy hồi tài sản
Đầu tháng 7, Sumit Gupta (Giám đốc điều hành của CoinDCX) cho biết khoản thiệt hại đến từ việc một ví nội bộ bị xâm nhập qua máy chủ và công ty sẽ chịu trách nhiệm bồi thường. Sau đó, CoinDCX khẳng định tiền của người dùng không bị ảnh hưởng.
Các nhà chức trách chưa công khai chi tiết điểm đến của tài sản bị đánh cắp hoặc liệu chúng có thể được thu hồi hay không. Ngoài ra, cảnh sát đang điều tra khả năng có các đối tượng nước ngoài đứng sau vụ tấn công, song chưa có tổ chức nào đứng ra nhận trách nhiệm.
Neeraj Khandelwal, đồng sáng lập CoinDCX, hoan nghênh sự hỗ trợ trong việc truy vết số tiền bị mất, đồng thời thông báo sàn giao dịch đang treo thưởng tới 25% giá trị số tiền bị đánh cắp (khoảng 11 triệu USD) trong chương trình Recovery Bounty (Thưởng truy hồi tài sản).
Đây là lần thứ hai trong vòng một năm các hacker tấn công sàn giao dịch tiền mã hóa ở Ấn Độ.
Sàn WazirX từng bị thiệt hại nặng nề với vụ tấn công trị giá 230 triệu USD vào tháng 7.2024, được cho do nhóm hacker Lazarus thực hiện. Nỗ lực tái cấu trúc công ty và phân chia tài sản cho chủ nợ đã gặp trở ngại sau khi tòa án Singapore từ chối kế hoạch tái tổ chức của WazirX vào tháng 6.
Các hình thức social engineering phổ biến
Social engineering là hình thức lừa đảo dựa trên thao túng tâm lý con người để đánh cắp thông tin nhạy cảm, truy cập hệ thống trái phép hoặc lây nhiễm phần mềm độc hại. Thay vì tấn công kỹ thuật trực tiếp vào hệ thống máy tính, hacker tận dụng sự tin tưởng, thiếu cảnh giác hoặc tâm lý tự nhiên của con người để khiến nạn nhân tự cung cấp thông tin hoặc thực hiện hành động có lợi. Bên dưới là các hình thức phổ biến của kiểu tấn công này:
Phishing (lừa đảo qua email/tin nhắn): Đây là hình thức phổ biến nhất. Kẻ tấn công gửi email hoặc tin nhắn giả mạo (ví dụ giả danh ngân hàng, công ty lớn, cơ quan chính phủ) để lừa nạn nhân nhấp vào liên kết độc hại, tải xuống file đính kèm chứa mã độc hoặc gõ thông tin đăng nhập vào một trang web giả mạo.
Spear phishing (lừa đảo mục tiêu cụ thể): Tương tự phishing nhưng tinh vi hơn, kẻ tấn công nhắm vào một cá nhân hoặc nhóm cụ thể, sử dụng thông tin cá nhân của nạn nhân (thu thập được từ mạng xã hội hoặc các nguồn công khai khác) để làm cho email/tin nhắn trở nên đáng tin cậy hơn.
Whaling (lừa đảo "cá voi"): Một dạng spear phishing nhắm vào các "cá voi" - nhân vật cấp cao như CEO (giám đốc điều hành) và CFO (giám đốc tài chính) – với mục tiêu là lừa họ thực hiện các giao dịch tài chính lớn hoặc tiết lộ thông tin cực kỳ nhạy cảm.
Pretexting (ngụy tạo): Kẻ tấn công tạo ra một kịch bản giả mạo, một tiền đề đáng tin cậy để lừa nạn nhân tiết lộ thông tin. Ví dụ, hacker có thể giả danh nhân viên hỗ trợ CNTT cần thông tin tài khoản để kiểm tra hệ thống.
Baiting (giăng bẫy): Kẻ tấn công để lại một thiết bị nhiễm mã độc (như ổ đĩa USB) ở nơi công cộng với hy vọng có người sẽ nhặt được và cắm vào máy tính của họ. Ngoài ra, hacker có thể cung cấp phần mềm, phim, nhạc miễn phí nhưng thực chất chứa mã độc.
Quid Pro Quo (trao đổi): Kẻ tấn công đưa ra một "phần thưởng" nhỏ (ví dụ hỗ trợ kỹ thuật miễn phí, quà tặng) để đổi lấy thông tin cá nhân hoặc quyền truy cập vào hệ thống.
Tailgating/Piggybacking (theo sau/đi ké): Kẻ tấn công theo chân một người dùng hợp pháp để vào được khu vực an ninh, ví dụ như đi theo nhân viên vào tòa nhà bằng cách giả vờ quên thẻ.
Cách phòng tránh social engineering
Luôn cảnh giác: Đặt câu hỏi về các yêu cầu đột ngột về thông tin cá nhân hoặc hành động khẩn cấp.
Kiểm tra kỹ nguồn gốc: Xác minh người gửi email, tin nhắn hoặc cuộc gọi. Nếu có bất kỳ nghi ngờ nào, hãy liên hệ trực tiếp với tổ chức đó qua số điện thoại hoặc email chính thức của họ (không phải thông tin trong email/tin nhắn đáng ngờ).
Không nhấp vào liên kết lạ: Tránh nhấp vào các liên kết đáng ngờ hoặc tải xuống file đính kèm từ những người bạn không biết hoặc những email không rõ ràng.
Bảo mật thông tin cá nhân: Hạn chế chia sẻ quá nhiều thông tin cá nhân trên mạng xã hội, vì chúng có thể được kẻ tấn công sử dụng để xây dựng kịch bản lừa đảo.
Sử dụng xác thực đa yếu tố (MFA): Bật MFA cho tất cả tài khoản quan trọng để tăng cường bảo mật.
Đào tạo nhận thức an ninh mạng: Các tổ chức nên thường xuyên đào tạo nhân viên về mối đe dọa social engineering và cách nhận biết chúng.
Social engineering là mối đe dọa dai dẳng vì khai thác điểm yếu cố hữu của con người. Nâng cao nhận thức và cảnh giác là tuyến phòng thủ tốt nhất chống lại loại hình tấn công này.
CEO bác tin đàm phán bán CoinDCX cho Coinbase
Hôm 30.7, Giám đốc điều hành Sumit Gupta đã phủ nhận tin đồn về khả năng CoinDCX bị Coinbase mua lại, nhấn mạnh rằng công ty đang tập trung vào thị trường Ấn Độ.
“Hãy bỏ qua tin đồn”, Sumit Gupta viết trên mạng xã hội X.
Coinbase là một trong những sàn giao dịch tiền mã hóa lớn và uy tín nhất thế giới, có trụ sở tại thành phố San Francisco (bang California, Mỹ). Được thành lập vào năm 2012 bởi Brian Armstrong và Fred Ehrsam, Coinbase cho phép người dùng mua, bán, lưu trữ và giao dịch hàng trăm loại tiền mã hóa.
Trước đó, trong ngày 30.7, tờ Mint đưa tin Coinbase đang trong giai đoạn đàm phán nâng cao để thâu tóm CoinDCX, dẫn lời hai nguồn tin am hiểu sự việc. Tờ Mint cho biết thương vụ tiềm năng này có thể định giá CoinDCX dưới 1 tỉ USD, sụt giảm mạnh so với mức 2,2 tỉ USD của công ty này năm 2021.
Các nguồn tin của Mint tiết lộ Coinbase hiện đã nắm cổ phần tại cả CoinDCX và CoinSwitch.
CoinSwitch là sàn giao dịch tiền mã hóa phổ biến tại Ấn Độ, cho phép người dùng mua, bán và giao dịch hơn 100 loại tiền kỹ thuật số với trải nghiệm thân thiện, dễ sử dụng.
Trong bài đăng trên X của mình, Gupta nhấn mạnh chiến lược tập trung vào Ấn Độ của sàn giao dịch.
“CoinDCX đang rất tập trung vào việc xây dựng câu chuyện tiền mã hóa của Ấn Độ và không hề có ý định bán mình! Sẽ chia sẻ thêm sau, nhưng trước mắt tôi chỉ muốn làm rõ điều này”, Sumit Gupta viết.
Coinbase từ chối bình luận về thông tin trên.
“Chúng tôi không đưa ra bình luận về tin đồn hay suy đoán. Chúng tôi có một sứ mệnh lớn nhằm gia tăng tự do kinh tế trên toàn cầu và liên tục tìm kiếm cơ hội khắp thế giới để xây dựng, mua lại, hợp tác hoặc đầu tư nhằm thúc đẩy lộ trình phát triển”, phía Coinbase cho biết.
Ông Vũ Ngọc Sơn: Việc bảo mật blockchain là bảo đảm an toàn cho tài sản số quốc gia
Trong bối cảnh tài sản số và hệ sinh thái blockchain ngày càng mở rộng, các mối đe dọa an ninh mạng cũng gia tăng đáng kể. Những giải pháp an ninh mạng đang được đặt ra đảm bảo niềm tin vào công nghệ.
Thống kê từ Chainalysis, từ năm 2020 đến tháng 2.2025, thế giới đã ghi nhận 657 vụ tấn công vào hệ thống blockchain, gây thiệt hại 12,8 tỉ USD.
Chainalysis là công ty phân tích blockchain hàng đầu Mỹ, chuyên cung cấp giải pháp điều tra, tuân thủ và giám sát giao dịch tiền mã hóa cho chính phủ, tổ chức tài chính và doanh nghiệp toàn cầu.
Trong nửa đầu năm 2025, mức thiệt hại lên tới 2,17 tỉ USD, vượt qua cả năm 2024. Trong đó Bybit mất 1,5 tỉ USD trở thành vụ hack lớn nhất lịch sử blockchain, còn các vụ tấn công ví cá nhân chiếm tới 23,35% tổng thiệt hại, con số báo động cho cả người dùng và doanh nghiệp.
Vụ tấn công nổi bật liên quan đến các nền tảng có nguồn gốc từ Việt Nam như Sky Mavis (Ronin) năm 2022 gây thiệt hại hơn 600 triệu USD, hoặc KyberSwap năm 2023 ước tính thiệt hại lên tới khoảng 50 triệu USD. Đó là những cảnh báo rõ ràng về tính cấp thiết của việc đảm bảo an ninh cho các nền tảng blockchain trong nước.
Khi Việt Nam đang từng bước hoàn thiện hành lang pháp lý cho tài sản số và nghiên cứu thí điểm các mô hình sàn giao dịch tài sản số ứng dụng công nghệ blockchain, ông Vũ Ngọc Sơn (Trưởng ban Công nghệ, Hiệp hội An ninh mạng quốc gia) cho rằng đây là lời cảnh báo rõ ràng về tính cấp thiết của việc bảo đảm an ninh cho các nền tảng blockchain trong nước.
Tuy blockchain giúp đảm bảo an toàn và minh bạch cho các giao dịch nhưng các ứng dụng chạy trên chuỗi vẫn tiềm ẩn nguy cơ bị tấn công như các hệ thống CNTT phổ biến khác.
“Việc có định hướng đúng, bảo đảm an toàn bảo mật ngay từ giai đoạn đầu sẽ đóng vai trò then chốt trong việc xây dựng một hệ sinh thái blockchain minh bạch, bền vững”, ông Vũ Ngọc Sơn nói.
Theo các chuyên gia an ninh mạng, nguyên nhân chính khiến hệ thống blockchain bị tấn công là các lỗ hổng trong mã nguồn, hợp đồng thông minh, thiết kế hệ thống chưa bảo đảm hoặc quy trình vận hành, quản lý chưa tốt. Ngoài ra, việc hệ thống blockchain bị tấn công có thể do social engineering. Bất kỳ sai sót nào cũng có thể dẫn tới thiệt hại nghiêm trọng.
Dù là công nghệ tiên tiến nhưng vấn đề an ninh mạng cho blockchain vẫn phụ thuộc rất lớn vào yếu tố con người: Từ sai sót trong lập trình, cấu hình bảo mật kém, vận hành không đúng quy trình, cho đến việc thiếu giám sát và đánh giá độc lập.
Do đó, khi cơ quan quản lý đang xây dựng mô hình thí điểm thành lập sàn giao dịch tài sản số ứng dụng công nghệ blockchain, bảo mật và an ninh mạng là rất cần thiết.
Theo ông Vũ Ngọc Sơn, kinh tế số đang ngày càng phụ thuộc vào blockchain để lưu trữ và giao dịch tài sản. Việc bảo mật blockchain chính là bảo đảm an toàn cho tài sản số quốc gia. Vì vậy, cần thiết phải có một chiến lược mang tính tổng thể, gắn kết giữa công nghệ, pháp lý và tăng cường nhận thức cộng đồng.