49 tuổi, Nguyễn Lê Thành được giới "thám tử tiền số" toàn cầu xem như "hàng hiếm" khi có thể lần theo dấu chân vô hình trong bóng tối vô định blockchain để tìm sự thật. Anh đã nhiều lần điều tra những vụ tấn công nhắm vào tiền số nằm trong top thiệt hại lớn nhất hành tinh.

Đi tìm dấu chân vô hình

Ngược về ngày 21-2-2025, giới blockchain toàn cầu rúng động bởi thông tin gần 1,5 tỉ USD của sàn Bybit bị "cuốn phăng" trong vài giây không để lại bất kỳ "dấu giày" nào, hoặc nếu có cũng chỉ dẫn vào ngõ cụt. Thành nhớ như in vì tối đó là thứ Sáu cuối tuần, anh đang ở Việt Nam và sắp đi ngủ.

30 phút sau khi thông tin sự cố được lan truyền, Thành liên tiếp nhận cuộc gọi từ đội ngũ của Bybit. Trước lời đề nghị từ Bybit và khoản tiền gần 1,5 tỉ USD sắp sửa biến mất, kịch bản tồi tệ hơn sẽ có thêm nhiều tỉ đô la nữa bị đánh cắp…

Thành không chút do dự nhận lời bay sang Dubai (UAE). Thời gian xin cấp visa để vào Dubai thường nếu nhanh sẽ phải mất 4 ngày, nhưng trường hợp này, mọi thứ diễn ra chưa đầy 24 tiếng, bất kể thứ Bảy.

Chiều tối 23-2, Thành đến Dubai, phi thẳng đến trụ sở Bybit. Tại đó, hai nhóm "thám tử tiền số" hàng đầu của Mỹ và Israel, hàng chục đặc vụ lão luyện của FBI… đã bắt đầu công việc được hơn một ngày. Verichains khi đó chỉ có mỗi Thành, cũng là người Việt duy nhất có mặt tại Bybit.

Chậm một nhịp, tiền sẽ biến mất qua những mô hình rửa tiền mà không hệ thống theo dõi nào có thể lần lại. Chính trong vùng nhiễu loạn ấy, bản lĩnh thật sự của một chuyên gia an ninh được bộc lộ.

"Một mình và thị lực chỉ còn 2/10, tôi không thể đi theo cách truyền thống là lần từ gốc. Tôi phán đoán để loại trừ các kịch bản tấn công không phù hợp bằng cách hiểu thật nhanh cách hệ thống, quy trình vận hành của sàn. Sau đó đưa vào kinh nghiệm và trực giác, tập trung vào những điểm mấu chốt có khả năng cao nhất để lần ra nguyên nhân vụ tấn công trong thời gian ngắn nhất", Thành nhớ lại.

Bằng kinh nghiệm và sự am hiểu về blockchain, Thành bình tĩnh trước ngồn ngộn cả triệu dòng dữ liệu, hàng loạt luồng log chồng lên nhau. Giống như xâu chuỗi những giọt nước còn vương lại trên nền đá sau một trận mưa lớn.

Nhưng điều kỳ lạ là mọi đường dẫn đều… sạch, quá sạch. Hacker đã xóa hết lịch sử tương tác, thay đổi cấu trúc ví, xé nhỏ các lớp chuyển tiền như rắc hàng triệu hạt bụi vào gió. "Không có gì để bám vào. Tất cả đều như bị rút phích cho tắt phụt", Thành nhớ lại.

Chung tường, bên kia phòng là hai đội kỹ sư quốc tế, FBI cũng đang tham gia "cuộc đua". Ngoài cửa, đội ngũ Bybit đang chờ câu trả lời trong sự căng thẳng tột độ.

Sau một ngày, nguyên nhân tiền mất dần được hé lộ. Tập tài liệu dày gần 30 trang được Thành xác lập ngay trong chiều 24-2, là báo cáo chi tiết sớm nhất về vụ việc.

Khi truy vết dòng tiền và lỗ hổng hệ thống, Thành nhận ra vấn đề xuất phát từ hạ tầng Safe - một nhà cung cấp dịch vụ ví đa chữ ký có trụ sở ở Đức, mà Bybit sử dụng. Lazarus được xác định là nhóm hacker đã truy cập vào thiết bị của đội ngũ Safe Wallet, thay đổi mã JavaScript lành tính bằng một mã độc (vào ngày 19-2-2025).

Khi các người ký của Bybit làm việc, họ được yêu cầu ký một giao dịch thông thường, nhưng vô tình cấp phép cho hacker chiếm số tiền trên.

Báo cáo từ Verichains khiến CEO Bybit Ben Zhou khi đó như muốn hét lên, ông thậm chí còn muốn gọi ngay cho Safe yêu cầu xác nhận và giải trình nhưng Thành ngăn lại. Bởi chỉ khi có từ hai báo cáo điều tra độc lập trở lên có chung một cái tên, thì kết quả mới thuyết phục và chính xác.

Sau đó, đội điều tra an ninh mạng từ Israel là Sygnia cũng công bố báo cáo điểm tên Safe. Hai ngày sau, Safe xác nhận thông tin, đồng thời cho biết không có bất cứ lỗ hổng bảo mật nào từ Bybit và các người ký hoàn toàn tuân thủ theo quy trình.

Dấu ấn Việt trên bản đồ an ninh mạng quốc tế

Nhìn bề ngoài, Thành không giống một "thợ săn" tội phạm số. Anh nói nhỏ, cười hiền, ngại kể về mình. Nhưng khi bắt đầu nói về các cuộc tấn công, mắt anh sáng lên, ánh sáng của một người biết rằng thế giới số không rộng vô tận, miễn là ta biết phải lần từ đâu.

Verichains - công ty do Thành sáng lập đã tham gia hàng chục vụ điều tra, trong đó có những vụ chấn động như Ronin (thuộc Sky Mavis, số tiền bị đánh cắp 620 triệu USD), BNB Chain (570 triệu USD), gần đây nhất là sàn giao dịch phi tập trung Cetus Protocol (DEX) lớn nhất trên mạng lưới Sui bị mất 233 triệu USD và đỉnh điểm là vụ đánh cắp lịch sử trên sàn Bybit khi gần 1,5 tỉ USD đã biến mất.

Khi được hỏi về khoảnh khắc "bước vào một thế giới khác", Thành không nói về kỹ thuật, cũng không nói về hacker. Anh kể về cảm giác. Như mọi câu chuyện lớn, khởi đầu của nó lại rất nhỏ. Ưa mày mò, cảm giác cũng giúp anh vui lạ lùng khi tìm ra một cánh cửa ai đó chưa khóa kỹ, từ đó gắn bó với "nghề làm bạn với bóng tối".

Dấu vết thường chỉ là một chuỗi ký tự, một điểm kết nối bất thường, một giao dịch bị xáo trộn. Sự mơ hồ khiến nghề này trở thành thứ vừa hấp dẫn, vừa đầy áp lực.

"Một vụ tấn công lớn, cả tỉ USD bị cuốn đi nhưng mình chỉ có vài giờ để 'bắt' được nó trước khi kẻ tấn công rửa sạch. Tất cả đều không thể nhìn thấy bằng mắt thường, không thể nghe, không thể chạm. Chỉ còn lại dữ liệu, cả triệu dòng code, chỉ có ba dòng trong đó là do hacker cài vào, bạn phải nhìn bằng trực giác, bằng sự hoài nghi, bằng kinh nghiệm và bằng cảm giác, cả sự may mắn", Thành nói.

Trên suốt hành trình làm "thám tử tiền số", rất nhiều lần Thành là kỹ sư Việt duy nhất ngồi tại tâm điểm của một cuộc điều tra toàn cầu.

Cũng có người đã từng hỏi Thành đến từ đâu, có ai cố gắng hỏi, Thành sẽ nhắc đến đội ngũ của mình trước. Đó là một tập thể gần 100 người, mỗi người một việc: phân tích mã độc, theo dõi on-chain, truy vết địa chỉ ẩn, tái hiện toàn bộ cuộc tấn công từ đầu đến cuối.

Nay Thành và Verichains đi ra thế giới, đã là tâm điểm ở không ít nơi, được đánh giá hàng đầu trong danh sách "thám tử tiền số". Sau lần làm việc với Verichains, Ben Zhou - nhà đồng sáng lập Bybit - từng công khai chia sẻ sự bất ngờ và đầy cảm động trước những kiến thức sâu rộng, sự chuyên nghiệp của Verichains, những kỹ sư tới từ Việt Nam.

Vượt qua vết thương để mạnh lên

Công nghệ blockchain vốn được quảng cáo gắn liền với bảo mật, nhưng thực tế, đây là đích đến yêu thích của tin tặc. 2,2 tỉ USD từ các sàn tiền số bị đánh cắp vào năm 2024 hay hơn 2 tỉ USD bị đánh cắp từ các sàn tiền số chỉ trong vòng 6 tháng đầu năm 2025.

Suốt ngày làm việc với những rủi ro vô hình, những cuộc chiến không tiếng súng nhưng thiệt hại lớn hơn cả một cuộc chiến tranh, nhưng khi được hỏi anh còn tin vào điều gì của tương lai số, Thành vẫn bình thản cười: "Một hệ thống sẽ mạnh khi nó lộ ra điểm yếu để sửa".

Trong một thế giới mà mọi thứ, từ tiền, thông tin cá nhân, hình ảnh đến đời sống riêng tư đều có thể bị đánh cắp, anh nói thứ đáng giữ nhất là… sự cẩn trọng. Không phải sợ hãi. Càng tiến vào thời đại số, con người càng phải học lại kỹ năng rất cũ: tự bảo vệ mình.

Với Thành, không có hệ thống, nền tảng, công nghệ nào là an toàn, bảo mật tuyệt đối. Mọi thứ chỉ là các hệ sinh thái đang thử nghiệm, vận hành và chịu rủi ro từ sự thay đổi quá nhanh của công nghệ. "Công nghệ nào cũng vậy, nó phải đi qua những vết thương để mạnh lên", Thành cười.

Nhắc đến Tết, sau khi đã phải gác lại chuyện sum vầy bên gia đình trong nhiều dịp Tết, Thành nói: sự bình an là tài sản quý nhất. Bình an, theo anh, không phải là tránh xa khó khăn. Mà là sự tự tin rằng mình có thể đối diện mọi việc bằng khả năng và lòng tử tế.

"Thám tử tiền số" của nhiều khách hàng lớn

Verichains được thế giới biết đến với vai trò như những "thám tử tiền số". Tuy nhiên, Verichains từ khi thành lập vào năm 2017 được Thành định hình là một công ty công nghệ, chuyên nghiên cứu về bảo mật. Đó cũng là lý do để Verichains lặng thầm trở thành đối tác hỗ trợ bảo mật cho tệp khách hàng khổng lồ trên toàn cầu hiện nay, bao gồm tên tuổi lớn như Binance, Bullish, Galaxy Digital, Polygon, BNB, Aptos, Sui, Kakao, Line Corp hay sau này là Bybit.

Từ đầu năm 2024, đội ngũ Verichains đã nghiên cứu thành công và cho ra mắt Revela - công cụ đầu tiên trên thế giới cho phép dịch ngược mã nguồn các dự án trên blockchain Aptos và SUI, vốn rất bảo mật và không được công bố mã nguồn. Qua đó góp phần thúc đẩy phát triển sự ổn định, tính an toàn và khả năng thích ứng, đổi mới cho các dự án Web3 trên nền tảng chuỗi khối của Aptos.

Một số sản phẩm công nghệ là các chuỗi khóa bảo mật an ninh thông tin "nhà Verichains" đang là công cụ đảm bảo an toàn cho hơn chục ngân hàng trong nước, được tích hợp để đảm bảo an toàn cho lượng dữ liệu thông tin cá nhân của hơn 100 triệu dân Việt Nam trên ứng dụng VNeID.

Ông TRẦN XUÂN TIẾN (Tổng thư ký Chi hội Blockchain TP.HCM):

Uy tín kỹ thuật của Việt Nam được nâng lên

Tấn công tiền số ngày càng tinh vi và mang tính xuyên biên giới. Việc một đội ngũ kỹ sư Việt Nam như Verichains trực tiếp điều tra những vụ hack có giá trị lên đến hàng trăm triệu USD là minh chứng quan trọng cho năng lực Việt Nam. Đây không chỉ là thành tựu của một doanh nghiệp mà còn phản ánh chất lượng nguồn nhân lực an ninh mạng nói chung và blockchain nói riêng của Việt Nam chuẩn quốc tế.

Những nỗ lực bền bỉ của Nguyễn Lê Thành và đội ngũ Verichains trong các vụ án lớn như Ronin, BNB Chain hay gần nhất là Bybit đã mang lại ba tác động nổi bật: Thứ nhất, họ chứng minh Việt Nam đủ năng lực xử lý những bài toán phức tạp nhất của an ninh blockchain toàn cầu từ phân tích mã độc, truy vết giao dịch đến tìm ra lỗ hổng lõi theo chuẩn nghiên cứu học thuật.

Thứ hai, uy tín kỹ thuật của Việt Nam được nâng lên rõ rệt. Đặc biệt, các thành tựu này tạo hiệu ứng lan tỏa, thúc đẩy cộng đồng kỹ sư trẻ bước vào lĩnh vực an ninh Web3, đồng thời giúp Việt Nam được xem như một trung tâm nghiên cứu, phản ứng sự cố blockchain đáng tin cậy của khu vực.

Dòng tiền giao dịch tài sản số: Vô danh nhưng không vô hình

Dòng tiền trên blockchain thường được cho là ẩn danh, nhưng thực tế cho thấy mọi giao dịch đều để lại dấu vết và hoàn toàn có thể truy vết nhờ các công nghệ phân tích hiện đại.