Mê cung DeFi và “cuộc di cư” của dòng tiền bẩn

Theo dõi dòng tiền từ những vụ lừa đảo online, các chuyên gia Chainalysis phát hiện không chỉ có sự bùng nổ đáng lo ngại của các vụ lừa đảo mạo danh (tăng hơn 1.400% số vụ và 600% số tiền lừa đảo so với năm 2024), mà hoạt động rửa tiền bẩn cũng chủ yếu “nhờ cậy” vào thị trường tài chính phi tập trung (DeFi). Xu hướng này trái ngược hoàn toàn với các vụ lừa đảo truyền thống, vốn dựa vào các sàn giao dịch tập trung (CEX) để rửa tiền.

Đường dây mua bán trái phép tài khoản ngân hàng cung cấp cho các ổ nhóm tội phạm ở Campuchia vừa bị công an Đà Nẵng triệt phá

Căn nguyên của sự dịch chuyển này đến từ việc các sàn giao dịch tập trung ngày càng thắt chặt quy trình xác thực danh tính (KYC) và triển khai các công cụ đóng băng tài sản tức thời. Điều này đã biến CEX thành “bẫy” đối với tội phạm mạng, buộc chúng phải chuyển hướng sang các sàn giao dịch phi tập trung.

Hơn thế, nếu các mô hình lừa đảo truyền thống như “giết mổ lợn” (pig butchering - một hình thức lừa đảo qua mạng kết hợp giữa lừa đảo tình cảm và lừa đảo đầu tư tài chính) đòi hỏi thời gian dài để xây dựng lòng tin và thường sử dụng các tài khoản ngân hàng rác để thanh khoản, thì các vụ lừa đảo mạo danh quan chức chính phủ hoặc nhân viên sàn giao dịch lại diễn ra chớp nhoáng. Số tiền chiếm đoạt được phải “đi vào hệ thống” ngay lập tức, trước khi nạn nhân kịp nhận ra và báo cáo.

Trong khi đó, thị trường tài chính phi tập trung cung cấp một bộ máy hoạt động 24/7, không có con người can thiệp và không tồn tại lệnh phong tỏa nào có thể thực thi nếu không có sự đồng thuận của mạng lưới. Chính vì vậy, DeFi - với bản chất không cần cấp phép, đã trở thành “thiên đường” rửa tiền đặc trưng của các nhóm tội phạm mạo danh và được dự báo tiếp tục là xu hướng trong những năm tới.

Đáng lưu ý, trong quá trình rửa tiền này, các đối tượng lừa đảo sẵn sàng trả mức phí rất cao để chuyển tiền bất hợp pháp, với chi phí trung bình tăng 108% so với năm 2022.

“Những xu hướng này cho thấy, các đối tượng chiếm đoạt tiền không tối ưu hóa chi phí giao dịch trên chuỗi, thay vào đó ưu tiên tốc độ và tính xác thực của giao dịch”, Chainalysis nhận định.

Từ mạng lưới người mua bán thuê đến cái đích stablecoin

Đối với loại hình tội phạm lừa đảo qua tin nhắn, theo Chainalysis, một cơ quan an ninh nước ngoài đã phát hiện và đang theo dõi 8 nhóm tội phạm dưới dạng dịch vụ lớn trên Telegram, trong đó có những nhóm tới hơn 300.000 thành viên. Mỗi nhóm này đều có nhiều nhà cung cấp dịch vụ lừa đảo bằng tin nhắn, lợi dụng các tính năng hiện đại của Apple (iMessage) và Google/Android (RCS) để đánh cắp thông tin hoặc tiền bạc.

Mục tiêu của các vụ lừa đảo này là sau khi đánh cắp và chuyển được tiền vào thẻ tín dụng hoặc ví điện tử, chúng nhanh chóng triển khai mạng lưới “người mua sắm thuê” trên toàn thế giới để mua hàng hóa xa xỉ và thiết bị điện tử, sau đó bán lại nhằm rửa tiền.

Mạng lưới người mua sắm thuê thường sử dụng dịch vụ “thanh toán chạm từ xa”, hay còn gọi là thanh toán không tiếp xúc (NFC) - một công nghệ đang phát triển mạnh. NFC giúp các ứng dụng ví điện tử như Apple Pay, Google Wallet, PayPal hoạt động. Khi người dùng chạm điện thoại hoặc thẻ vào thiết bị thanh toán, dữ liệu sẽ được gửi đến máy chủ xử lý giao dịch.

Tại nhiều quốc gia, thanh toán không tiếp xúc hiện được sử dụng rộng rãi trong siêu thị, nhà hàng và trên các phương tiện công cộng. Chính vì vậy, công nghệ thanh toán không tiếp xúc cũng làm bùng lên một dạng lừa đảo mới trong năm 2025 mang tên “ghost tapping”, nhắm vào người dùng sử dụng chức năng chạm để thanh toán bằng thẻ, điện thoại hoặc ví điện tử.

Kẻ gian có thể mang theo một thiết bị đọc NFC nhỏ gọn, giả dạng như máy POS di động. Khi tiếp cận nạn nhân, chúng chỉ cần tiến đủ gần để đầu đọc bắt được tín hiệu từ thẻ hoặc điện thoại trong túi quần, túi áo. Giao dịch diễn ra trong nháy mắt và nạn nhân gần như không hề hay biết. Tháng 10/2025, tờ Newsweek đưa tin về một cư dân bang Missouri (Mỹ) bị trừ 100 USD khi một kẻ lạ mặt lợi dụng đám đông chen lấn và đưa thiết bị đọc thẻ áp sát túi áo của nạn nhân.

Trở lại với hình thức rửa tiền của nhóm tội phạm lừa đảo qua tin nhắn, sau khi mua bán hàng hóa để “tẩy” tiền bẩn, dòng tiền mặt này không dừng lại ở đó. Để dễ dàng “hồi hương” khoản lợi nhuận khổng lồ mà không bị các cơ quan kiểm soát ngoại hối phát hiện, tội phạm tiếp tục chuyển đổi tiền mặt thành stablecoin (tiền mã hóa neo theo tài sản ổn định). Loại tài sản số này được sử dụng để mua phần mềm lừa đảo, trả lương cho nhân viên và chuyển lợi nhuận xuyên biên giới.

“Phần lớn hoạt động rửa tiền ở nước ngoài đều nhằm mục đích chuyển đổi hàng hóa hoặc tiền mặt thành stablecoin để dễ dàng chuyển về nước ngoài”, các chuyên gia Chainalysis cho hay.

Chiến thuật rửa tiền tinh vi, biến hóa khôn lường

Dữ liệu on-chain năm 2024 và 2025 cho thấy, các nhóm tội phạm lừa đảo mạo danh có chiến lược và chiến thuật rửa tiền rất tinh vi, thích ứng cao trước các biện pháp ngăn chặn của cơ quan quản lý.

Năm 2024 chứng kiến sự bùng nổ của các hoạt động rửa tiền thông qua việc tương tác trực tiếp với các hợp đồng thông minh token. Tội phạm tạo ra các mã token giả hoặc lợi dụng các giao thức cho vay (lending) để đưa tiền vào, sau đó rút ra dưới hình thức một loại tài sản khác. Việc lạm dụng các hợp đồng tự động giúp chúng “xóa dấu vết” nguồn gốc ngay từ lớp cơ sở của blockchain.

Khi các công cụ phân tích blockchain bắt đầu nhận diện được các địa chỉ ví “đen” trên cùng một mạng lưới, tội phạm nhanh chóng phản ứng bằng cách sử dụng bridges (cầu nối xuyên chuỗi) để luân chuyển tài sản số. Đợt dịch chuyển mạnh mẽ nhất xảy ra trong nửa đầu năm 2025. Bằng cách đẩy tiền qua nhiều “cây cầu” liên tiếp, tội phạm tạo ra những đứt gãy trong mạch truy vết, khiến việc theo dõi dòng tiền giống như đuổi theo một bóng ma di chuyển giữa các không gian song song.

Sang nửa cuối năm 2025, khi bridges bắt đầu tích hợp các giải pháp bảo mật theo yêu cầu của chính phủ, tội phạm lại tiếp tục luân chuyển dòng tiền sang các sàn giao dịch phi tập trung quy mô lớn. Tại đây, chúng thực hiện hàng ngàn giao dịch hoán đổi siêu nhỏ thông qua các bể thanh khoản (liquidity pools - nơi tập hợp các tài sản tiền mã hóa được khóa trong hợp đồng thông minh để tạo điều kiện giao dịch trên các nền tảng DeFi và DEX, thay thế sổ lệnh truyền thống). Tiền bẩn bị trộn lẫn với dòng tiền sạch của hàng triệu nhà đầu tư hợp pháp, khiến việc bóc tách và phong tỏa theo phương thức truyền thống trở thành nhiệm vụ gần như bất khả thi.

Theo các chuyên gia, diễn biến trên cho thấy 3 đặc điểm của tội phạm lừa đảo online thế hệ mới.

Thứ nhất là tính cơ động cao, khi chúng sẵn sàng thay đổi hạ tầng ngay khi một phương thức bắt đầu bị các cơ quan quản lý “nhìn thấu”.

Thứ hai là sự đa dạng hóa dịch vụ. Tội phạm không chỉ lừa đảo, mà còn đóng vai trò như những “chuyên gia tài chính” am hiểu sâu sắc thị trường tài chính phi tập trung, để lựa chọn các dịch vụ có mức độ ẩn danh cao nhất tại từng thời điểm.

Cuối cùng là khả năng khai thác lỗ hổng quản trị. Tội phạm tìm đến những khu vực pháp lý có năng lực giám sát thấp, hoặc các giao thức DeFi mới chưa được kiểm toán kỹ lưỡng về khả năng chống rửa tiền, nhằm tận dụng tối đa kẽ hở.

(Còn tiếp)