Năm 2025 chứng kiến sự gia tăng đáng báo động của các vụ tấn công bạo lực nhằm vào doanh nhân và nhà đầu tư trong lĩnh vực crypto trên toàn cầu. Những vụ bắt cóc, tra tấn nhằm cưỡng đoạt private key hoặc seed phrase (hay còn gọi là các “wrench attack”) đang bùng phát mạnh mẽ, từ châu Âu, Bắc Mỹ cho tới châu Á. Trong khi trước đây tội phạm mạng thường chỉ hoạt động qua các vụ hack trực tuyến, giờ đây chúng sẵn sàng dùng đến “báng súng” (bạo lực trực tiếp) để ép nạn nhân giao nộp tài sản số.
“Wrench Attack” – Từ lý thuyết đến thực tế tàn bạo
Thuật ngữ “wrench attack” xuất phát từ một truyện tranh trực tuyến nổi tiếng trên XKCD, châm biếm rằng mọi biện pháp bảo mật công nghệ cao đều có thể bị vô hiệu hóa dễ dàng nếu kẻ tấn công dùng… một chiếc mỏ lết ($5 wrench) để đánh nạn nhân cho đến khi họ tiết lộ mật khẩu. Nói cách khác, thay vì tốn công sức và kỹ thuật để hack ví crypto, tội phạm có thể chọn con đường “ít kháng cự” hơn là sử dụng bạo lực trực tiếp buộc người sở hữu phải giao nộp private key hoặc thiết bị ví cứng. Trong cộng đồng crypto, từ lóng “wrench attack” ra đời để chỉ hình thức tấn công này – một mối đe dọa trước đây tồn tại chủ yếu trên lý thuyết, nhưng nay đã trở thành hiện thực tàn bạo.
Những đặc tính của crypto vô tình tạo điều kiện cho wrench attack. Crypto như Bitcoin cho phép người dùng tự nắm giữ tài sản mà không cần ngân hàng hay cơ quan trung gian nào, nhưng điều đó cũng đồng nghĩa nếu bị cướp mất private key thì không có cách nào lấy lại được tiền. Giao dịch trên blockchain là không thể đảo ngược, và khác với tiền mặt hay vàng, kẻ cướp không cần vác vật chất nặng nề, chỉ vài thao tác bấm nút, hàng triệu USD tài sản số có thể được chuyển khỏi ví nạn nhân. Tóm lại, ưu điểm “tự quản lý tài sản” của crypto lại trở thành điểm yếu an ninh khi nạn nhân vừa là “két sắt sống” vừa là “chìa khóa mở két”. Đây chính là mảnh đất màu mỡ cho các nhóm tội phạm sử dụng bạo lực nhằm chiếm đoạt tài sản số.
Xu hướng bùng phát năm 2025
Từ chỗ hiếm gặp vài năm trước, các vụ wrench attack đã tăng vọt trong năm 2025, trở thành xu hướng phạm tội khiến cả ngành crypto lo ngại. Theo thống kê từ chuyên gia Jameson Lopp (CTO của Casa), chỉ trong chưa đầy nửa đầu 2025 đã ghi nhận 22 vụ tấn công vật lý liên quan đến crypto trên toàn cầu – vượt xa tốc độ của các năm trước (cả năm 2024 có 32 vụ, năm 2023 có 24 vụ). Riêng tại Pháp, chỉ tính từ đầu năm 2025 đã có ít nhất 6 vụ bắt cóc hoặc tấn công bạo lực nhắm vào giới crypto, tạo ra tâm lý hoang mang trong cộng đồng doanh nhân crypto nước này.
Thực tế, Pháp đang là một “điểm nóng” của làn sóng tội phạm mới, nhưng hiện tượng không chỉ giới hạn ở một quốc gia. Cùng với đà tăng giá của Bitcoin và tài sản số những năm gần đây (tạo ra một lớp nhà đầu tư giàu có mới), tội phạm quốc tế cũng nhanh chóng nhận thấy “miếng mồi béo bở” này. Chính sự phổ biến của crypto trong tài chính chính thống đang góp phần làm gia tăng wrench attack, thu hút cả những băng nhóm tội phạm truyền thống vốn “quen tay” với bạo lực.
2 bảng dưới đây liệt kê một số mốc vụ việc tiêu biểu trên thế giới từ 2019 đến giữa 2025, minh họa cho xu hướng gia tăng này:
Nhìn vào dòng thời gian trên, có thể thấy từ khoảng 2019 đã xuất hiện rải rác các vụ cướp crypto sử dụng bạo lực. Tuy nhiên, bước ngoặt thực sự đến vào 2021–2022 khi giá Bitcoin đạt đỉnh và nhiều nhà đầu tư phất lên thành triệu phú. Sang 2023–2024, tuy thị trường có lúc trầm lắng, số vụ bắt cóc đòi crypto vẫn tăng đều, và đến đầu 2025 thì bùng nổ thành “crimewave” (làn sóng tội phạm) như giới truyền thông mô tả. Riêng chuỗi sự kiện tại Pháp đầu 2025 (Ledger, vụ bố doanh nhân, vụ Paymium) đã khiến chính phủ và cộng đồng crypto nước này sốc và phẫn nộ. Từ chỗ coi đây là rủi ro giả định, giờ đây các doanh nhân crypto buộc phải thừa nhận mối nguy hiện hữu khi họ có thể trở thành mục tiêu của các băng nhóm tội phạm có tổ chức, sẵn sàng dùng những thủ đoạn man rợ nhất.
Các vụ bắt cóc tại Pháp được thực hiện táo tợn giữa chốn công cộng vào ban ngày, khiến dư luận đặc biệt hoang mang.
Hình ảnh: Cảnh sát phong tỏa phố Rue Pache ở Paris – nơi nhóm bắt cóc có vũ trang cố gắng khống chế con gái CEO Paymium ngay trên đường phố (giữa tháng 5/2025). Nguồn: France 24
Nhờ sự can thiệp của người dân, vụ việc đã thất bại và không có con tin nào bị bắt đi (Ảnh: The Times)
Ba mô hình tội phạm điển hình
Qua các vụ việc đã xảy ra, có thể phân loại 3 mô hình tội phạm chính mà những kẻ tấn công giới crypto đang áp dụng.
1. Tấn công trực tiếp và tra tấn nạn nhân
Đây là kịch bản phổ biến nhất – tội phạm nhắm thẳng vào đối tượng sở hữu crypto, bắt cóc họ và dùng nhục hình để ép cung. Ví dụ tiêu biểu là vụ đồng sáng lập Ledger David Balland bị tra tấn dã man khi bọn bắt cóc cắt một đốt ngón tay của ông để gây áp lực đòi khóa ví. Tương tự, nhà sáng lập Tuenti Z. Dentzel ở Tây Ban Nha bị chích điện, rạch dao vào ngực suốt nhiều giờ để buộc khai password ví chứa hàng chục triệu euro. Không ít nạn nhân bị thương tích nặng nề, vụ Hà Lan 2019 nạn nhân phải nhập viện vì khoan điện đâm vào da thịt; vụ Hồng Kông 2021 nạn nhân gãy xương tay chân do búa đánh; vụ Balland và vụ bắt cóc bố doanh nhân ở Pháp 2025 thì đều bị cắt ngón tay.
Điểm chung của mô hình này là tội phạm nhắm vào cá nhân cụ thể có tiếng tăm hoặc bị lộ thông tin sở hữu nhiều crypto, sau đó phục kích hoặc xâm nhập vào nhà riêng để khống chế con mồi. Chúng thường lên kế hoạch chi tiết (theo dõi thói quen nạn nhân, chuẩn bị phương tiện bắt cóc, nơi giam giữ) và sẵn sàng dùng bạo lực cực đoan để đạt mục đích. Mục tiêu cuối cùng là buộc nạn nhân tiết lộ private key, chuyển crypto cho chúng hoặc giao nộp thiết bị ví cứng. Hình thức này giống như kiểu tống tiền bắt cóc truyền thống, chỉ khác là “con tin” chính là chủ sở hữu crypto. Thực tế cho thấy nhiều nạn nhân đã phải khuất phục, dẫn đến tổn thất hàng triệu USD như vụ WonderFi CEO ở Toronto phải trả 1 triệu CAD mới được thả. Tuy nhiên, cũng có trường hợp nạn nhân kiên quyết không khai (như trader Hồng Kông Ng Chor-to cố trì hoãn, không chịu gọi người nhà trả tiền) và tìm cách trốn, giúp cơ quan chức năng có thời gian phá án.
2. Bắt cóc người thân để tống tiền
Mô hình này kẻ xấu không nhắm trực tiếp vào người sở hữu crypto, mà bắt cóc người thân (vợ/chồng, con cái, cha mẹ) của họ để uy hiếp. Chúng đánh vào tâm lý nạn nhân chính: vì lo sợ cho an nguy của người thân, người sở hữu tài sản sẽ nhanh chóng đáp ứng yêu cầu tiền chuộc. Điển hình là vụ ở Pháp tháng 5/2025, nhóm bắt cóc chặt ngón tay ông bố và gửi video cho người con (một triệu phú crypto) để ép anh này trả hàng triệu euro tiền chuộc. Tương tự, vụ tại Brazil tháng 3/2025 bọn tội phạm đóng giả cảnh sát bắt cóc một doanh nhân Tây Ban Nha, nhưng thực chất nhằm tống tiền đối tác làm ăn của ông này, kẻ mà chúng tin đang giữ lượng crypto lớn (nạn nhân trực tiếp có thể chỉ là “mồi” để gây sức ép).
Mô hình này cho thấy tội phạm sẵn sàng mở rộng mục tiêu sang gia đình, người thân của giới crypto, những người thường ít cảnh giác và không có biện pháp an ninh nghiêm ngặt bằng nhân vật chính. Hậu quả có thể rất nghiêm trọng, ví dụ vụ Anson Que ở Philippines, nạn nhân chính là doanh nhân bị bắt cóc và sát hại dù gia đình đã trả một phần tiền chuộc bằng crypto. Điều này dấy lên lo ngại rằng dù bạn là nhà đầu tư crypto bảo mật tốt đến đâu, người thân của bạn vẫn có thể bị tội phạm lợi dụng làm điểm yếu nếu thông tin về tài sản của bạn bị lộ.
3. Giả danh cơ quan công quyền để tiếp cận
Một số băng nhóm chọn thủ đoạn tinh vi hơn, mạo danh cảnh sát hoặc nhân viên công vụ nhằm tiếp cận nạn nhân một cách bất ngờ. Vụ Hà Lan 2019, 3 tên cướp mặc đồng phục cảnh sát gõ cửa và xông vào nhà trader Bitcoin trước khi gia đình kịp phản ứng. Vụ ở Brazil 2025, băng tội phạm dùng ô tô sơn logo giả, mặc đồ giống đặc vụ liên bang để chặn xe và bắt giữ doanh nhân Rodrigo Pérez giữa đường, khiến ông hoàn toàn bất ngờ mắc bẫy. Ngay cả trong lực lượng chức năng thực sự cũng có trường hợp biến chất như sĩ quan cảnh sát Ấn Độ tham gia bắt cóc trader để cướp Bitcoin (đã bị bắt năm 2022).
Thủ đoạn giả danh nhà chức trách đặc biệt nguy hiểm, vì nạn nhân dễ mất cảnh giác hoặc tuân lệnh nghĩ rằng mình đang hợp tác điều tra. Sau khi tiếp cận được mục tiêu, nhóm tội phạm sẽ nhanh chóng khống chế và đưa nạn nhân đến địa điểm kín để tiến hành các bước tống tiền tiếp theo. Mô hình này đòi hỏi tội phạm có chuẩn bị dụng cụ, phương tiện giả và có thể có nội gián để nắm thông tin di chuyển của nạn nhân. Sự tinh vi khiến nhiều người khó đề phòng, thậm chí có vụ mãi đến khi bị tra tấn nạn nhân mới nhận ra kẻ tấn công không phải cảnh sát thật.
Chúng ta vừa khép lại phần 1 với cái nhìn toàn cảnh về làn sóng tấn công nhắm vào giới doanh nhân crypto toàn cầu. Ở phần 2, bài viết sẽ đi sâu vào nguyên nhân hệ thống khiến tội phạm chuyển hướng từ không gian mạng sang bạo lực thực địa, phân tích phản ứng của cơ quan chức năng, cũng như đề xuất những giải pháp phòng ngừa thiết thực nhằm giảm thiểu rủi ro và thiệt hại. Mời bạn tiếp tục theo dõi.