Trong lịch sử thương mại, bất cứ nơi nào của cải dồn về một cách dữ dội, ắt phải có sự giằng co giữa pháp luật và trật tự.

Đứng ở điểm cuối năm 2025 nhìn lại, quy mô phát hành stablecoin toàn cầu đã vững chắc ở mốc 3000 tỷ USD, tăng gần gấp ba lần so với năm ngoái, khối lượng giao dịch hàng tháng thậm chí đạt đến mức kinh ngạc 4 đến 5 nghìn tỷ USD. Loại tài sản mã hóa này, stablecoin, đã xé bỏ cái mác "đồ chơi của dân geek", và trở thành lối vào số một cho tài chính truyền thông bước vào thế giới số.

Tuy nhiên, dưới sự thịnh vượng ẩn chứa bóng tối. Theo báo cáo mới nhất của ngành, quy mô tiền nhận được bởi các địa chỉ bất hợp pháp trên toàn cầu năm 2025 ước tính sẽ vượt 5,13 tỷ USD. Khi hàng trăm tỷ USD có thể chuyển qua biên giới trong vài giây, các biện pháp giám sát truyền thống thường không theo kịp tốc độ này, rất khó để phân biệt ngay lập tức đâu là giao dịch hợp pháp, đâu là tiền bất chính từ tội phạm.

Trong thế giới mà các quy tắc chưa hoàn toàn định hình này, Giáo sư Zhou Yajin là một doanh nhân đặc biệt.

Con đường sự nghiệp của Zhou Yajin là một hình mẫu điển hình của một học giả ưu tú va chạm sâu với công nghiệp. Năm 2010, ông sang Mỹ học tiến sĩ, nghiên cứu sâu về lĩnh vực an ninh di động trong năm năm, sau đó cùng người thầy là Giáo sư Jiang Xuxian gia nhập Qihoo 360, hoàn thành bước chuyển đầu tiên từ phòng thí nghiệm ra tuyến đầu công nghiệp. Năm 2018, ông chọn quay về giảng dạy tại Đại học Chiết Giang. Ba năm sau, ông một lần nữa dấn thân vào làn sóng công nghiệp, thành lập công ty an ninh blockchain BlockSec.

Trong bốn năm qua, Zhou Yajin dẫn dắt BlockSec hoàn thành một sự dịch chuyển trọng tâm kinh doanh. Từ kiểm tra mã hợp đồng thông minh ban đầu, dần mở rộng sang các lĩnh vực sâu hơn như giám sát an ninh, truy xuất nguồn tiền và tuân thủ chống rửa tiền.

Zhou Yajin và nhóm của ông đã nghiên cứu chuyên sâu dữ liệu trên chuỗi trong thời gian dài, thậm chí thông qua các biện pháp kỹ thuật "ẩn mình" vào các nhóm hắc sản như lừa đảo điện tử Đông Nam Á, nắm bắt được rất nhiều bức tranh sinh tồn tầng đáy ít người biết đến. Qua góc nhìn của ông, chúng ta có thể nhìn rõ những cuộc đấu tranh lợi ích chân thực nhất trong thế giới số mới này.

Dưới đây là lời tự thuật của Zhou Yajin, được biên tập và chỉnh sửa bởi tòa soạn Dongcha Beating sau cuộc phỏng vấn chuyên sâu.

Kite là blockchain Layer 1 đầu tiên hướng tới thanh toán cho tác nhân thông minh AI, cơ sở hạ tầng nền tảng này cho phép các tác nhân thông minh AI tự chủ hoạt động trong môi trường có danh tính có thể xác minh, quản trị có thể lập trình và ổn định coin gốc.

Kite được thành lập bởi các chuyên gia kỳ cựu về AI và cơ sở hạ tầng dữ liệu từ Databricks, Uber và UC Berkeley, đã hoàn thành vòng gọi vốn 35 triệu USD, các nhà đầu tư bao gồm PayPal, General Catalyst, Coinbase Ventures, 8VC và nhiều quỹ đầu tư hàng đầu khác.

Từ kiểm tra mã đến chiến trường chống rửa tiền

Tôi học tiến sĩ ở Mỹ từ năm 2010 đến 2015, thầy hướng dẫn là Giáo sư Jiang Xuxian. Lúc đó chúng tôi nghiên cứu về an ninh di động, đặc biệt là phát hiện phần mềm độc hại (Malware) trên Android, làm khá sớm trên toàn thế giới. Sau khi tốt nghiệp năm 2015, tôi cùng thầy đến Qihoo 360, muốn đưa kết quả nghiên cứu vào công nghiệp hóa.

Năm 2018 tôi gia nhập Đại học Chiết Giang, lại từ giới công nghiệp trở về giới học thuật. Lúc đó trong nước vừa gặp đợt cao trào ICO nhỏ vào khoảng năm 17, 18, cũng đưa blockchain vào tầm nhìn của một bộ phận nhỏ, tôi cũng bắt đầu xem xét hướng an ninh blockchain. Tôi quan sát thấy lúc đó các sự cố an ninh trên chuỗi xảy ra thường xuyên, giới học thuật thực ra đã có không ít hướng giải quyết tốt, nhưng nhìn lại giới công nghiệp, mọi người làm không tốt, thậm chí có thể nói rất ít người quan tâm đến những vấn đề này.

Vì vậy năm 2021, tôi và thầy Wu Lei cùng nhau thành lập BlockSec.

Lúc đầu mọi người nhận thức về "công ty an ninh blockchain" cực kỳ khuôn mẫu: các bạn chẳng phải là làm kiểm tra thôi sao? Đúng vậy, chúng tôi bắt đầu từ kiểm tra hợp đồng thông minh. Bởi vì chúng tôi có tích lũy nghiên cứu học thuật, cộng thêm đội ngũ khá tinh anh, nhanh chóng đứng vững trong nghiệp vụ kiểm tra. Nhưng góc độ tôi thành lập công ty là, không hy vọng nó chỉ là một công ty làm dịch vụ an ninh. Bởi vì kiểm tra giải quyết an ninh trước khi lên sóng, còn đối với bảo vệ sau khi lên sóng, lúc đó giới công nghiệp không có giải pháp đặc biệt tốt.

Vì vậy năm 2022, trong lúc làm kiểm tra, chúng tôi cũng bắt đầu làm nền tảng giám sát tấn công trên chuỗi. Ý tưởng sản phẩm của chúng tôi lúc đó là, chúng tôi liên tục giám sát giao dịch trên chuỗi, nếu có giao dịch tấn công xảy ra, có thể tự động ngăn chặn nó. Trong quá trình này chúng tôi phát hiện, mặc dù có kiểm tra và giám sát, nhưng bên dự án vẫn có thể bị tấn công, cộng thêm lúc đó có rất nhiều sự cố an ninh phía C như lừa đảo, mất khóa private, người dùng mất tiền, điều này lại phát sinh nhu cầu mới.

Bên dự án bị trộm, người dùng bị lừa, họ phải đi báo án, phải giải thích rõ với cơ quan thực thi pháp luật tiền cuối cùng chảy đi đâu. Vì vậy từ năm 2022, chúng tôi làm một sản phẩm truy vết dòng tiền, sản phẩm này hoàn toàn là SaaS hóa, người dùng có thể trực tiếp đăng ký sử dụng, chúng tôi không làm mô hình bán hàng To B.

Kết quả sau khi sản phẩm này ra mắt, chân dung người dùng khiến chúng tôi vô cùng kinh ngạc. Ngoài cơ quan thực thi pháp luật, phóng viên truyền thông đang dùng, tổ chức tài chính đang dùng, thậm chí còn rất nhiều thám tử tư nhân làm việc riêng đang dùng. Những người dùng với nền tảng khác nhau này trong quá trình sử dụng, đã giúp chúng tôi mài giũa sản phẩm, thu hút thêm nhiều người dùng. Cộng thêm bản thân chúng tôi đã có động cơ phát hiện tấn công, động cơ phát hiện lừa đảo, v.v., những nhãn và dữ liệu này dần lắng đọng thành hào sâu nhất của chúng tôi.

Bước ngoặt xảy ra vào cuối năm 2024 đến đầu năm 2025.

Lúc đó lượng phát hành stablecoin bắt đầu tăng điên cuồng, thị trường này không còn chỉ là người Crypto Native (nguyên bản mã hóa) tham gia nữa. Rất nhiều người tài chính truyền thống bắt đầu vào sân, đồng tiền ảo đầu tiên họ tiếp xúc chính là stablecoin. Những người này ý thức tuân thủ cực mạnh, vừa vào họ sẽ hỏi: Tôi muốn dùng stablecoin, vậy vấn đề AML (chống rửa tiền) và CFT (chống tài trợ khủng bố) giải quyết thế nào?

Trên thị trường thiếu sản phẩm tuân thủ tốt, mà trong tay chúng tôi vừa vặn có dữ liệu nhãn tầng đáy tích lũy ba năm, vì vậy chúng tôi rất nhanh chóng cho ra mắt sản phẩm chống rửa tiền. Toàn bộ quá trình thực ra khá tự nhiên, chúng tôi dựa vào sự thay đổi nhu cầu thị trường, từ một nhà cung cấp dịch vụ an ninh đơn thuần, trở thành một nhà cung cấp tổng hợp "an ninh + tuân thủ".

Ẩn mình

Muốn làm chống rửa tiền, trước tiên phải hiểu sâu sắc hắc sản rốt cuộc dùng tiền như thế nào.

Trong góc nhìn nghiên cứu của chúng tôi, tội phạm tiền mã hóa thường được chia làm hai loại: một loại là "nguyên bản mã hóa", ví dụ tấn công lỗ hổng mã vào giao thức DeFi, mất khóa private hoặc lừa đảo. Nếu không có blockchain, những tội phạm này căn bản sẽ không tồn tại.

Loại khác là "được mã hóa thúc đẩy", như lừa đảo điện tử, tống tiền và buôn người. Sự xuất hiện của tiền mã hóa, cực kỳ nâng cao hiệu suất và tính ẩn danh của việc chuyển khoản xuyên biên giới của chúng. Trong các tình huống này, khiến chúng tôi cảm thấy chấn động nhất, là buôn người trong chuỗi công nghiệp lừa đảo điện tử Đông Nam Á.

Rất nhiều người cảm thấy lừa đảo điện tử xa rời bản thân, nhưng bạn xem quảng cáo tuyển dụng của họ, sức cám dỗ cực kỳ chính xác: lương tháng khởi điểm 1,9 vạn nhân dân tệ, bao vé máy bay, bao ăn ở, thậm chí còn hứa hẹn nghiêm túc "phải mua bảo hiểm Thâm Quyến". Thủ đoạn lừa đảo nhắm vào thanh niên từ 18 đến 37 tuổi này, đã lừa dối một lượng lớn nạn nhân vượt biên giới, vào những khu vực lừa đảo phân bố ở Myanmar, Campuchia hoặc Lào.

Khu vực lừa đảo điện tử hiện nay, cơ cấu tổ chức chặt chẽ không khác gì công ty chính quy, tài vụ, kỹ thuật, tổ trực điện thoại đầy đủ. Để duy trì vận hành lớn như vậy, chúng cần không ngừng bổ sung "lao động", mà khu vực (bên cần) và người buôn người (bên cung) không quen biết nhau, giao đổi trên mạng hoàn toàn không có niềm tin.

Vì vậy, một khâu trung gian chuyên cung cấp bảo lãnh tín dụng cho giao dịch bất hợp pháp đã ra đời, cũng chính là "nền tảng bảo lãnh lao động".

Logic vận hành của hệ thống này thực ra rất giống Taobao. Khu vực trước tiên gửi một khoản tiền cọc USDT vào nền tảng bảo lãnh; người buôn người chịu trách nhiệm lừa dối nạn nhân vượt biên giới, đưa đến địa điểm "kiểm hàng" chỉ định. Hai bên xác nhận không sai sót trong nhóm kín Telegram sau đó, nền tảng sẽ giải phóng tiền cọc cho người buôn người. Giao dịch này tin tưởng vào "người đến tiền đến", nếu bên nào muốn trốn nợ, nền tảng sẽ căn cứ quy tắc đóng băng hoặc tịch thu tiền cọc để bồi thường cho bên kia.

Để thu hút việc làm, các nền tảng này sẽ mở rất nhiều kênh công khai trong Telegram "khoe cơ bắp". Ví dụ trong kênh của Bảo lãnh Linghang hoặc Bảo lãnh Haowang, robot hệ thống sẽ phát hành thời gian thực ảnh chụp giao dịch thành công và ghi chép chuyển khoản trên chuỗi. Họ thậm chí còn khuyến mãi như thương mại điện tử chính quy, ví dụ thu hoa hồng thay, mua 10 tặng 2 quảng cáo.

Đây cũng là vết cắt trực tiếp nhất chúng tôi quan sát hắc sản.

Từ tháng 2 đến tháng 8 năm 2025, chúng tôi phát triển một hệ thống tự động, liên tục ẩn mình trong các nhóm này để thu thập tình báo. Bởi vì trò chuyện trong nhóm đầy rẫy tiếng lóng, chúng tôi chuyên huấn luyện một mô hình ngôn ngữ lớn để phân tích.

Trong thuật ngữ của hắc sản, nạn nhân là "cá", thủ đoạn lừa đảo và thông tin nạn nhân được gọi là "liệu". Tính liệu phân rất kỹ, có "liệu tam hắc", "liệu hỗn hợp", "liệu vé máy bay", v.v. Căn cứ vào khâu rửa tiền, còn chia thành "liệu một đạo" tiếp tiền trực tiếp từ tay nạn nhân, và "liệu nhị đạo" đã qua xử lý phân tầng.

Còn có một công việc gọi là "cổng điện thoại", những kẻ tòng phạm trong nước lợi dụng dây âm thanh hoặc APP đặc định, chuyển tiếp cuộc gọi lừa đảo từ nước ngoài đến điện thoại trong nước gọi ra, để vượt qua chặn lừa đảo của nhà mạng, mỗi giờ có thể kiếm khoảng 200 USDT. Họ tìm rất nhiều thanh niên thị trấn làm việc này.

Trong các nhóm hắc sản này, thậm chí công khai lưu truyền "Giáo trình phòng cảnh sát", dạy tỉ mỉ mọi người ứng phó điều tra như thế nào, ví dụ một mực khẳng định điện thoại bị mất, xóa trước kịch bản và phần mềm liên lạc mã hóa. Cuối giáo trình còn viết một câu rất mỉa mai — "Kính trọng mỗi người nỗ lực".

Thông qua nửa năm giám sát tự động, đối với một nền tảng bảo lãnh trong đó, chúng tôi tổng cộng nhận diện được 634 địa chỉ liên quan đến đoàn buôn người, tổng số tiền giao dịch bất hợp pháp truy vết được gần 12 triệu USD. Sôi động nhất, mỗi ngày có 10 người thông qua một nền tảng bảo lãnh này bị bán vào khu vực. Tình hình thực tế có thể nghiêm trọng hơn, bởi vì còn có sự tồn tại của các nền tảng bảo lãnh khác.

Khi truy vết hướng đi của tiền, chúng tôi phát hiện phần lớn số tiền này đều trên chuỗi Tron, và chủ yếu sử dụng stablecoin USDT. Bởi vì thao tác trên Tron ngưỡng thấp, phí rẻ, rất thích hợp cho các đoàn tội phạm trình độ kỹ thuật hạn chế này. Mặc dù hiện nay phí Tron cũng tăng cao, nhưng họ đã hình thành thói quen sử dụng, rất khó thay đổi cách khác.

Chúng tôi phân tích dòng tiền của hơn 120 đoàn phát hiện, số tiền bất hợp pháp này cuối cùng có hơn 34,9% chảy vào ví nóng của OKX, 6,9% chảy vào Binance, còn 14,4% chảy vào ví nóng liên quan Huiwang.

Khi bạn có thể nhìn rõ những tiền này đến thế nào, chảy thế nào, chống rửa tiền mới không phải là lời nói suông. Loại dữ liệu thực tế bắt về từ nhóm tầng đáy này, mới là rào cản cốt lõi nhất của an ninh tuân thủ hiện nay.

12 giây: "Chặn hàng" hacker trong Mempool

Trong ngành an ninh, mọi người luôn có một mối bận tâm: Kiểm tra chỉ có thể đảm bảo mã an toàn tại thời điểm lên sóng. Nhưng một khi dự án chạy, đối diện là sự giám sát 24 giờ không góc chết của hacker toàn cầu. Nếu kiểm tra là "phòng thủ tĩnh", vậy chúng ta có thể tìm cách làm "chặn đứng động" không?

Năm 2022, trong lúc làm kiểm tra, chúng tôi đã lên sóng nền tảng giám sát tấn công trên chuỗi. Logic tầng đáy của sản phẩm này, là nhìn vào Mempool (vùng nhớ đệm) của Ethereum. Bạn có thể tưởng tượng Mempool như một phòng chờ, tất cả giao dịch trước khi được đóng gói chính thức vào khối, lưu vào sổ cái, đều phải xếp hàng ở đây trước.

Trong phòng chờ này, chúng tôi không chỉ nhìn vào giao dịch của người dùng thông thường, mà còn nhìn vào những kịch bản có đặc trưng tấn công. Một khi phát hiện giao dịch nghi ngờ tấn công, hệ thống của chúng tôi lập tức khởi động phân tích tự động trong môi trường chuỗi riêng: Nó rốt cuộc muốn làm gì? Logic có thành lập không? Sẽ ăn trộm bao nhiêu tiền?

Cuộc đấu trí gay cấn nhất, thường xảy ra trong vòng 12 giây ngắn ngủi.

Sau khi Ethereum hợp nhất, thời gian ra khối cố định ở 12 giây. Điều này có nghĩa là, từ lúc hacker ra lệnh tấn công, đến khi giao dịch này thực sự được đóng gói xác nhận, giữa có một cửa sổ thời gian cực kỳ ngắn. Mấy giây này, chính là thời gian vàng để lại cho mũ trắng cứu hộ.

Hệ thống của chúng tôi sau khi xác nhận tấn công, sẽ tự động sinh ra một giao dịch "chạy trước (Front-running)". Nội dung giao dịch này gần giống hệt hacker, nhưng khác biệt then chốt là, chúng tôi sửa địa chỉ nhận tiền, từ ví của hacker thành địa chỉ an ninh chúng tôi thiết lập trước.

Để chạy nhanh hơn hacker, chúng tôi phải có được quyền ưu tiên đóng gói ở thợ mỏ.

Hacker để theo đuổi lợi nhuận tối đa, thường thiết lập một Gas Fee tiêu chuẩn. Còn chúng tôi thông qua thuật toán, điều chỉnh Gas Fee rất cao, thậm chí trực tiếp chia một phần tiền này cho thợ mỏ. Dưới sự thúc đẩy lợi ích, thợ mỏ sẽ ưu tiên đóng gói giao dịch của chúng tôi. Khi giao dịch của chúng tôi thực thi thành công, giao dịch của hacker sẽ tự động mất hiệu lực.

Năng lực này trong thực chiến đã cứu mạng rất nhiều dự án.

Điển hình nhất một lần, là chúng tôi trong Mempool đã chặn hàng thành công cuộc tấn công nhắm vào một giao thức, một lần cứu về 2909 Ethereum cho bên dự án. Lúc đó hacker đã kích hoạt lỗ hổng, sắp sửa mấy chục triệu USD bị cuốn đi, hệ thống giám sát của chúng tôi lập tức báo động, và trong vài giây hoàn thành mô phỏng tấn công, sinh thành giao dịch và đấu giá Gas. Cuối cùng, số tiền khổng lồ đó trước hacker một bước, chuyển đến địa chỉ an ninh của chúng tôi.

Trước đây, bên dự án bị trộm chỉ có thể lên Twitter cầu cứu, hoặc thương lượng với hacker xem có thể trả lại tiền không. Nhưng hiện nay, chúng tôi thông qua biện pháp kỹ thuật, ở giây cuối cùng hacker được tay, cưỡng chế chặn được tiền.

Chỉ khi bạn có thể hiểu mã hơn hacker, chạy nhanh hơn hacker, bạn mới có thể giữ vững phòng tuyến cuối cùng trong rừng rậm tối tăm "Code is law" này.

Lời kết

Nếu nói thế giới mã hóa mười năm qua, là một cơn "sốt vàng", vậy đứng ở thời điểm năm 2025 này, chúng ta thấy là một sự trở về về "tính xác định". Khi quy mô stablecoin lao về phía 3000 tỷ USD hùng vĩ, khi một hệ thống tài chính số mới từ "hoang dã" đi đến "thành bang", kỹ thuật không chỉ còn là đòn bẩy làm giàu, nó trước tiên phải trở thành tấm khiên chống lại nhân tính u tối.

Sự chuyển hình mà Zhou Yajin và nhóm của ông trải qua, về bản chất cũng là khúc xạ của logic thương mại này. Từ kiểm tra mã đến chặn đứng động, rồi đến lặn sâu và tháo gỡ đường liên kết hắc sản, đây không phải là sự dũng cảm đơn độc của một người, mà là cơ chế phòng thủ tất yếu sinh ra sau khi kỹ thuật tiến hóa đến một thể nhất định. Trong thế giới mã là luật này, nếu không giải quyết được nạn tiền bất hợp pháp trôi nổi và phòng thủ an ninh mất hiệu lực, thì cái gọi là "cách mạng tài chính" mãi mãi chỉ có thể dừng lại trong trò chơi của số ít người.

Trong lịch sử thương mại, bất kỳ ngành nào có thể đi đến chủ lưu, đều từng trải qua đau đớn từ hỗn loạn đến pháp trị. Đây có lẽ là một quá trình dài lâu và nhàm chán, nhưng như Zhou Yajin nói, hình thái cuối cùng của an ninh là "vô cảm".

Chỉ khi an ninh trở nên như không khí ở khắp mọi nơi nhưng lại bị mọi người phớt lờ, vùng hoang số từng đầy biến số này, mới thực sự hoàn thành khai phóng văn minh của nó.