Mỹ đã thu giữ 127.271 BTC (≈15 tỷ USD) của Chen Zhi như thế nào? Lỗ hổng “Milk Sad” và chiếc chìa khóa hạt giống phản chủ
 

Tóm tắt vụ thu giữ kỷ lục: từ “khôi phục” 25 ví đến công bố sau 1 năm
Theo hồ sơ điều tra, Bộ Tư pháp Mỹ (DOJ) phối hợp IRS-CI đã khôi phục 127.271 BTC từ 25 ví liên quan mạng lưới của Chen Zhi vào tháng 7/2024, rồi chuyển toàn bộ về ví do chính phủ kiểm soát. Ngày 14/10/2025, sau hơn một năm điều tra – đối soát và phối hợp trừng phạt với Anh nhắm đến 146 mục tiêu, Mỹ mới chính thức công bố. Đây được mô tả là vụ thu giữ tiền mã hóa lớn nhất lịch sử DOJ, góp phần nâng tổng nắm giữ Bitcoin của Mỹ (không tính sàn) lên khoảng 316.000 BTC, chỉ sau “bóng ma” Satoshi.

Vì sao “ẩn danh” lại mong manh? Private key, seed phrase và ví tự quản
Bitcoin không có tổng đài đặt lại mật khẩu. Private key là “chìa khóa két”; seed phrase (12–24 từ BIP-39) là “bản sao dễ nhớ” để tái tạo private key. Ví tự quản (non-custodial) cho chủ ví toàn quyền, đồng nghĩa tự chịu rủi ro: mất key là mất tiền, lộ seed là mất két. Sự an toàn của tài sản vì thế phụ thuộc tuyệt đối vào cách tạo – lưu – bảo vệ các khóa.

Điểm gãy kỹ thuật: lỗ hổng “Milk Sad” trong phần mềm tạo ví
Các ví bị thu giữ được tạo bằng Libbitcoin Explorer (bx) 3.x giai đoạn 2019–2020. Phiên bản này bị phát hiện lỗi sinh seed không đủ ngẫu nhiên (dùng Mersenne Twister phụ thuộc thời gian hệ thống 32-bit), khiến không gian tìm kiếm thực tế thu hẹp còn cỡ 2³². Lỗ hổng được cộng đồng đặt tên “Milk Sad” (thường trùng hai từ đầu của seed bị ảnh hưởng).

Hệ quả: seed có thể bị brute-force (thử khoá hàng loạt) bằng năng lực tính toán phổ thông.

Bài học: tiền mã hóa an toàn, nhưng trình tạo khóa yếu sẽ… phản chủ.

Chuỗi bước điều tra: on-chain → nhận diện ví → khôi phục seed → tịch thu

Phân tích on-chain: lần vết các dòng tiền quy chiếu về 25 ví được ghi nhận gắn với mạng lưới lừa đảo.

Đối chiếu kỹ thuật: xác định môi trường tạo ví có thể dính Milk Sad.

Khôi phục seed/private key: khai thác độ ngẫu nhiên yếu để khôi phục (không cần “hack” blockchain).

Chuyển giao cưỡng chế: dùng khóa hợp lệ để ký giao dịch, chuyển BTC về địa chỉ nhà nước theo thủ tục tịch thu dân sự.

Nói ngắn gọn: không tấn công Bitcoin, mà khai thác sai sót con người/phần mềm quanh chiếc chìa khóa.

Vì sao công bố muộn?
Khoảng một năm im lặng giúp:

Rà soát chuỗi liên đới, giảm khả năng đối tượng phi tang khóa còn lại.

Phối hợp đa phương (trừng phạt – phong tỏa – tương trợ tư pháp) để khóa vòng ngoài.

Kiểm toán chứng cứ số, tránh sơ hở pháp lý khi công bố.

Hai mặt của Bitcoin qua vụ việc

Mạnh: sổ cái công khai, bất biến; không ai “bẻ khóa” blockchain để lấy tiền.

Yếu: khóa do con người tạo và giữ. Dùng công cụ lỗi thời, seed rò rỉ, hoặc lưu online là tự mở cổng.
Ví tựa cỗ xe bọc thép: thân xe rất an toàn, nhưng ai cầm chìa mới quyết định số phận tài sản.

Bài học thực tế cho người dùng crypto

Cập nhật ví/hardware wallet từ nhà cung cấp uy tín, tránh công cụ lỗi thời/không kiểm toán.

Tạo seed offline, ghi và lưu tách biệt vật lý (chống cháy/nước); không chụp ảnh, không lưu cloud.

Không tái sử dụng seed, không nhập seed vào phần mềm không rõ nguồn gốc.

Phân tán rủi ro: nhiều ví, hạn mức giao dịch nhỏ; lớp đa chữ ký (multisig) khi phù hợp.

Quy trình khẩn cấp: kế hoạch thừa kế/ủy quyền và kịch bản mất khóa.

Chen Zhi: cáo buộc – trục lợi – biến mất
Chen Zhi (Trần Chí), doanh nhân gốc Phúc Kiến, bị cáo buộc xây dựng mạng lưới lừa đảo và rửa tiền quy mô lớn tại Campuchia, thu vơ tiền mã hóa từ nạn nhân khắp thế giới. DOJ truy tố, Bộ Tài chính Mỹ công bố tịch thu BTC trị giá hơn 14–15 tỷ USD liên đới. Hiện nhân vật này được nói là lẩn trốn, trong khi mạng lưới bị cáo buộc đổi vỏ – đổi tên để tiếp tục hoạt động.

“Bất khả xâm phạm” sụp đổ vì một lỗi vụn vặt
Cả đế chế tiền số bẩn có thể gục chỉ vì một trình tạo seed kém, giống game thủ quên lưu. Vụ 127.271 BTC cho thấy: đối với tiền mã hóa, khoá chính là luật, và kỷ luật bảo mật là đường sinh mệnh. Blockchain vẫn an toàn; cái không an toàn là cách con người tạo – giữ – dùng khóa. Ai xem nhẹ điều ấy, sẽ tự mở két cho người khác ký… hộ.