Bên trong làn sóng gia tăng của các “wrench attack” nhắm vào holder crypto và lý do vì sao Pháp trở thành tâm điểm.
Pháp đã ghi nhận 41 vụ bắt cóc liên quan đến crypto trong năm nay — trung bình khoảng 1 vụ mỗi 2,5 ngày — buộc các cơ quan chức năng phải tăng cường các biện pháp an ninh.
19/04/2026, 14:00.
Pháp đang đối mặt với làn sóng gia tăng các vụ bắt cóc liên quan đến crypto khi các “wrench attack” ngày càng phổ biến, táo bạo và bạo lực hơn.
Xu hướng này thể hiện rõ trong tuần qua, khi một hội nghị blockchain và crypto quốc tế thường niên được tổ chức. Đoàn xe cảnh sát đã hộ tống các khách VIP tới dự tiệc tại Palace of Versailles, trong khi an ninh cũng được siết chặt tại Carrousel du Louvre — nơi diễn ra hội nghị.
Các vụ “wrench attack” đã khiến Pháp trở thành tâm điểm chú ý toàn cầu, đến mức các quan chức chính phủ phải lên phát biểu tại hội nghị ở Paris để thừa nhận mức độ nghiêm trọng của vấn đề. Họ cho biết chỉ riêng năm nay, quốc gia này đã ghi nhận ít nhất 41 vụ bắt cóc và đột nhập liên quan đến crypto — tương đương 1 vụ mỗi 2–3 ngày.
Jean-Didier Berger, Bộ trưởng phụ trách thuộc Bộ Nội vụ, cho biết một loạt biện pháp mới đang được xây dựng cùng với Bộ trưởng Nội vụ Laurent Nuñez nhằm đối phó với tình trạng leo thang. Một nền tảng phòng ngừa đã thu hút hàng nghìn người đăng ký, nhưng chính quyền cho rằng cần có thêm hành động khi các vụ việc vẫn tiếp tục gia tăng.
Tâm điểm của các “wrench attack”
Pháp hiện trở thành epicenter của làn sóng tấn công vật lý nhắm vào holder crypto trên toàn cầu. Theo các nhà nghiên cứu bảo mật và dữ liệu từ cơ quan thực thi pháp luật, các vụ tấn công đang gia tăng cả về tần suất lẫn mức độ bạo lực ở nhiều quốc gia.
Trên toàn cầu, xu hướng này cũng đang leo thang. Năm 2025 ghi nhận 72 vụ cưỡng ép vật lý được xác minh — tăng 75% so với năm trước, theo dữ liệu từ CertiK và nhà nghiên cứu crypto Jameson Lopp, người đã theo dõi tổng cộng 188 vụ kể từ năm 2014. Ông cho biết còn nhiều vụ không được báo cáo. Các trường hợp có yếu tố bạo lực thể chất tăng mạnh hơn, tới 250% theo năm.
“Wrench attack” là thuật ngữ chỉ việc sử dụng bạo lực để ép nạn nhân cung cấp quyền truy cập tài sản số. Với một số kẻ tấn công, việc ép buộc con người dễ hơn nhiều so với việc phá vỡ mã hóa.
“Mỗi khi một vụ wrench attack thành công, nó gửi đi tín hiệu rằng holder crypto là mục tiêu ‘ngon ăn’,” Lopp chia sẻ.
Không giống các giao dịch ngân hàng truyền thống, giao dịch crypto không thể đảo ngược. Khi nạn nhân bị ép thực hiện giao dịch, tài sản có thể nhanh chóng được chuyển qua nhiều ví và nhiều chain.
Kẻ tấn công nhắm vào “điểm yếu con người”
Các nhà nghiên cứu cho biết cách xác định mục tiêu của attacker cũng đã thay đổi.
“Chúng tôi đang thấy sự chuyển dịch từ ‘tìm ví’ sang ‘săn người’,” Phil Ariss từ TRM Labs cho biết. Thay vì tìm lỗ hổng kỹ thuật, kẻ tấn công xây dựng hồ sơ cá nhân, phân tích hoạt động mạng xã hội, các lần xuất hiện công khai và dữ liệu bị rò rỉ. Họ theo dõi thói quen sinh hoạt và tìm ra điểm yếu.
“Sai lầm lớn nhất có thể tránh là gắn quá chặt danh tính ngoài đời, vị trí và thói quen với tài sản crypto công khai,” Ariss nói.
Vấn đề càng nghiêm trọng hơn khi có sự “tiếp tay” từ bên trong. Một vụ việc gây chú ý là một quan chức thuế tại Pháp đã bán dữ liệu nhạy cảm cho các nhóm tấn công, làm dấy lên lo ngại rằng rò rỉ nội bộ và dữ liệu nhà nước bị xâm phạm đang trực tiếp tiếp sức cho các vụ wrench attack.
Tệp nạn nhân cũng ngày càng mở rộng, với cả những holder tầm trung bị nhắm tới — đôi khi chỉ dựa trên các tín hiệu gián tiếp.
Bất kỳ ai cũng có thể trở thành mục tiêu
Các vụ việc hiện nay còn liên quan đến cả gia đình, khi trẻ em cũng bị nhắm cùng với cha mẹ sở hữu crypto, khiến mức độ nghiêm trọng khó phân loại hơn.
Tháng 1/2025, đồng sáng lập Ledger, David Balland, đã bị bắt cóc tại Pháp cùng bạn đời. Trong quá trình này, một ngón tay của ông bị cắt và gửi cho cộng sự như một phần của yêu cầu tiền chuộc. Ông sau đó được giải cứu trong một chiến dịch của cảnh sát.
Các trường hợp khác bao gồm giam giữ kéo dài và tra tấn, như một vụ tại New York khi một nhà đầu tư crypto bị giữ hơn hai tuần. Tại Canada, một vụ đột nhập đã leo thang thành tra tấn bằng waterboarding và bạo lực tình dục nhằm ép truy cập tài sản.
Lopp cho biết cả các nhóm tội phạm cơ hội lẫn có tổ chức đều tham gia, nhưng đang có dấu hiệu phối hợp ngày càng chặt chẽ. “Chúng ta đang thấy nhiều nhóm có tổ chức hơn,” ông nói.
Theo Ariss từ TRM Labs, một số nhóm hoạt động với cấu trúc rõ ràng, có phân vai và chuẩn bị trước, bao gồm theo dõi mục tiêu và chiến thuật bám đuôi về nhà.
“Những vụ này ngày càng giống các băng nhóm bắt cóc hoặc cướp có tổ chức, chuyên ‘đánh’ crypto,” Ariss nhận định.
Sau khi chiếm được tài sản, attacker thường nhanh chóng di chuyển và chuyển đổi sang stablecoin, luân chuyển qua nhiều chain để gây khó khăn cho việc truy vết.
Vai trò của Pháp trong xu hướng này có thể xuất phát từ nhiều yếu tố, bao gồm các vụ rò rỉ dữ liệu cá nhân và sự tồn tại của các mạng lưới tội phạm xuyên biên giới.
Giá tăng, “miếng mồi” lớn hơn
Nhìn rộng hơn, giá tài sản tăng đã làm gia tăng phần thưởng tiềm năng từ mỗi vụ tấn công, trong khi các cải tiến về bảo mật số lại khiến các hình thức khai thác thuần kỹ thuật trở nên kém hiệu quả hơn.
“Việc này còn dễ hơn nhiều so với đi cướp ngân hàng,” Jameson Lopp nhận định.
Một vấn đề khác là tính minh bạch: các vụ wrench attack có thể đang bị báo cáo thiếu đáng kể, vì nhiều trường hợp được ghi nhận đơn thuần là cướp hoặc đột nhập nhà, mà không đề cập đến yếu tố crypto.
“Một tỷ lệ lớn các vụ việc vẫn được ghi nhận như các vụ cướp thông thường,” Phil Ariss cho biết, đồng thời nói thêm rằng yếu tố crypto thường bị bỏ qua trong quá trình báo cáo ban đầu, khiến cơ quan chức năng khó kết nối các vụ việc hoặc nhận diện các mô hình lớn hơn.
Sự gia tăng các vụ tấn công cũng làm dấy lên tranh luận về rủi ro của self-custody — một nguyên tắc cốt lõi của crypto.
Một số chuyên gia bảo mật đề xuất các biện pháp như ví đa chữ ký (multi-signature), trì hoãn rút tiền (withdrawal delay) và giới hạn chi tiêu (spending limits) nhằm giảm thiểu rủi ro bằng cách hạn chế lượng tài sản có thể bị truy cập dưới áp lực.
“Nếu việc cưỡng ép không thể ngay lập tức truy cập phần lớn tài sản, thì tương quan rủi ro – lợi nhuận sẽ thay đổi,” Ariss cho biết. Những biện pháp này không loại bỏ hoàn toàn mối đe dọa nhưng có thể làm giảm động lực của kẻ tấn công.
Khi mức độ chấp nhận crypto ngày càng mở rộng, các vụ tấn công cũng trở nên thường xuyên và nghiêm trọng hơn, biến một vấn đề từng mang tính ngách thành rủi ro an ninh rộng lớn hơn.
Năm 2026 đang dần trở thành “năm tệ nhất của DeFi xét về các vụ hack”, theo CTO của Ledger, khi vụ exploit của Kelp cho thấy chỉ một điểm yếu duy nhất cũng có thể gây hiệu ứng dây chuyền trên toàn hệ thống.
Những điểm cần biết:
- Một vụ exploit lớn trị giá 292 triệu USD nhắm vào KelpDAO đang lan rộng tác động trong toàn bộ hệ sinh thái DeFi.
- Sự cố này là lời nhắc nhở rằng khi các giao thức DeFi ngày càng liên kết chặt chẽ với nhau, chỉ một mắt xích yếu cũng có thể tạo ra hiệu ứng domino trên toàn bộ “stack”.
- Niềm tin vào DeFi đang bị “bào mòn”, khi năm 2026 “nhiều khả năng sẽ là năm tồi tệ nhất về các vụ hack,” theo nhận định của CTO Ledger.
(Đọc chi tiết tại đây)
