Có một vụ án trộm tài sản mã hoá từ chính phủ Mỹ mà ZachXBT (thám tử onchain) vừa vạch ra (trích dẫn 1 ở bình luận). Nhân vật chính ở đây nghi vấn có tên thật là John Daghita, sử dụng biệt danh John và Lick online trên các kênh mạng xã hội. ZachXBT phát hiện những địa chỉ ví liên quan đến những vụ trộm tài sản mã hoá từ chính phủ Mỹ (tháng 10, 2024) và từ nhiều cá nhân khác (từ tháng 11, 2025 đến tháng 12, 2025) có các hoạt động dịch chuyển tài sản trộm được và tụ lại một ví lưu trữ chính. Cùng lúc đó, ngày 23 tháng 1 2026, có một vụ var độ giàu trong một nhóm telegram kín giữa nhân vật John ở trên và Dritan Kapplani Jr (một nhân vật khác). Trong khi đang flex với nhau qua video, ZachXBT phát hiện địa chỉ ví trong video trùng với địa chỉ ví đang được tích tụ ở trên. Thế là đã có đủ cơ sở để kết nối nhân vật biệt danh John ở trên và những vụ án trộm tài sản trong 2 năm qua.
Thám tử ZachXBT tiếp tục thăm dò và liên kết với nhiều thông tin thu thập khác thì phát hiện thêm là nếu nghi vấn John Daghita (tên thật) là thủ phạm của những vụ tấn công thì John có liên hệ với Dean Daghita (bố của John), giám đốc của Command Services & Support (CMDSS), một công ty ở Virginia đã được nhận hợp đồng từ US Marshal Service (tháng 10, 2024) để lưu ký và thanh lý một số loại tài sản mã hoá tịch thu từ tội phạm. ZachXBT phỏng đoán mối liên hệ nhưng hiện tại công cuộc điều tra của chính phủ Mỹ mới bắt đầu nên chưa thể đưa ra kết luận chính xác.
Vụ việc này thể hiện mức độ nguy hiểm của tay trong (insider threat) trong ngành tài sản mã hoá. Mình sẽ kể nhanh một câu chuyện khác mình đã trải qua là lúc rạng sáng 1/1/2024 (khoảng gần 4h sáng), mình lúc đó đang công tác tại Klaytn (tiền thân của Kaiachain hiện tại), có một sự cố liên quan đến Orbit Bridge (một dịch vụ chuyển tài sản mã hoá từ các chain tới Klaytn) khi hơn 80 triệu đô tài sản bị rút sạch khỏi bridge contract. Trong báo cáo sau vụ tấn công (trích dẫn 2 ở dưới), CEO của Ozys (công ty vận hành Orbit Bridge) đã trình bày nguyên nhân chính là do CISO của công ty, người vừa từ chức trước đó hơn 1 tháng, đã thay đổi cấu hình của tường lửa; và một chuyên gia an ninh khác đã mở một số đường tấn công cho kẻ xấu và từ chức ngay sau đó. Cả 2 có nhiều nghi vấn bị mua chuộc bởi Bắc Hàn vì tài sản bị mất bị dịch chuyển vào các địa chỉ ví liên quan đến Lazarus Group (một nhóm hacker liên quan đến chính phủ Bắc Hàn).
Mối nguy nội gián mình muốn nhấn mạnh ở đây là con người thường là một mắt xích yếu trong hệ thống phòng thủ an ninh mạng. Đặc biệt là với một loại tài sản dễ dịch chuyển xuyên biên giới và không cần trung gian lưu ký như tài sản mã hoá. Vì thế, những doanh nghiệp trong ngành tài sản mã hoá phải luôn đề cao bảo mật và an toàn cho sản phẩm và tài sản của người dùng. Chiến lược phòng thủ phải linh động và real time chứ không phải đứng yên. Việc doanh nghiệp đạt được những chứng chỉ an ninh cao cấp, hay được chứng nhận bởi các tổ chức chuyên môn không phải là đủ. Vì chỉ cần sơ sảy trong quá trình vận hành là có thể xảy ra hệ luỵ kinh tế lớn. Đối với mình, "Security via Obscurity" (Bảo Mật bằng cách Che Giấu) không là một chiến lược tốt. Nên minh bạch hệ thống phòng thủ để cho mọi người có thể kiểm tra, góp ý và tin tưởng.