Theo giới thạo tin, một vụ trộm thành công "tiền ảo" Bitcoin sẽ phải trải qua 3 bước: lấy mã kích hoạt, rửa tiền và chuyển đổi sang tiền mặt.
Vụ trộm Bitcoin lớn nhất trong lịch sử xảy ra vào đầu tháng 12/2011. Tin tặc đã tấn công chợ ma túy Sheep Marketplace và lấy đi một lượng lớn Bitcoin với giá trị tương đương 100 triệu USD. Giới thạo tin cho rằng kẻ gian chính là một trong những lãnh đạo của Sheep Marketplace, tuy nhiên đến nay vẫn chưa có bằng chứng nào cho thấy giả thuyết trên là có thật.
Trước đó, vào tháng 6/2011, tài khoản Allinvain đã trở thành nạn nhân đầu tiên bị trộm Bitcoin. Tổng số Bitcoin của Allinvain bị lấy trộm lên tới 500.000 USD. "Tôi đã muốn tự tử", Allinvain tuyệt vọng.
Kể từ thời điểm đó, nhiều vụ trộm Bitcoin đã liên tiếp xảy ra.
Quỹ đầu tư Bitcoin Savings & Trusts bị phát giác là một trò lừa đảo theo mô hình bán hàng đa cấp và khiến các nhà đầu tư mất khoảng 4,5 triệu USD (qui đổi từ Bitcoin). MyBitcoin, một dịch vụ hứa hẹn nhận "gửi tiết kiệm" Bitcoin giống như các ngân hàng nhận gửi tiết kiệm tiền đô, thì bỗng dưng biến mất sau khi đã lừa được khoảng 1 triệu USD (qui đổi từ Bitcoin). Ngay cả các sàn giao dịch lớn như Mt. Gox và Bitcoinica (nay đã ngừng hoạt động) cũng từng phải hứng chịu các vụ trộm Bitcoin quy mô lớn.
Các hacker đã làm thế nào để lấy trộm Bitcoin? Sau khi đã lấy được Bitcoin, chúng sẽ làm thế nào? Trang The Verge đã thống kê 3 bước để một đạo tặc thực hiện thành công các phi vụ đánh cắp Bitcoin.
Bước 1: Sao chép mã kích hoạt
Nói một cách chính xác, mỗi một "đồng Bitcoin" là một vật thể không tồn tại. Đồng tiền ảo này thực tế chỉ là một cuốn sổ kế toán công khai "blockchain" ("chuỗi các block Bitcoin"). Trong cuốn sổ này, người dùng giữ một danh sách các địa chỉ số cũng như thông tin về số lượng Bitcoin có trong mỗi địa chỉ đó. Do Bitcoin ngày càng lớn mạnh, số lượng địa chỉ trong blockchain sẽ gia tăng theo thời gian.
Nếu bạn sở hữu Bitcoin, thứ mà bạn có thực ra là một chìa khóa (key) được mã hóa riêng để kích hoạt địa chỉ của bạn trong cuốn sổ trên. Mã kích hoạt này là một chuỗi các ký tự số. Do đó bạn có thể lưu giữ nó ở bất cứ đâu: trên tài liệu văn bản, trên ổ cứng, trên một dịch vụ mạng, hoặc thậm chí là… xăm lên người.
Mọi biện pháp bảo vệ đều có lỗ hổng, và với Bitcoin thì để ăn cắp được tiền ảo này bạn cần lấy cắp được chuỗi ký tự nói trên. "Đối với phần đông người dùng, hiện tại chưa có lựa chọn lưu trữ tiền ảo nào an toàn nào cả", Marak Squires, một trong những nhân vật đang phát triển một ngân hàng Bitcoin "an toàn" khẳng định.
Các vụ tấn công thu lời nhiều nhất sẽ nhằm vào các dịch vụ lưu trữ mã kích hoạt của một lượng lớn người dùng – ví dụ như Sheep Marketplace. Và có vẻ như là các vụ tấn công này bị chính những kẻ nằm vùng bên trong thực hiện: chúng không cần phải "hack" gì cả. Chỉ cần copy cơ sở dữ liệu chứa các đoạn mã này và kẻ gian sẽ thu về tất cả các đồng Bitcoin được lưu tại địa chỉ tương ứng. Bởi vậy, những kẻ tấn công chỉ cần hi vọng rằng "chính chủ" của những đồng Bitcoin này không sử dụng hết tài khoản của họ mà thôi.
Bước 2: Rửa tiền
Như vậy là Bitcoin là một mảnh đất cực kỳ hấp dẫn cho hacker, song có một tính năng khiến kẻ trộm Bitcoin khó có thể ngồi yên: do Bitcoin là một sổ kể toán công khai, kẻ gian có thể tìm xem các khoản Bitcoin cụ thể nào vừa thực hiện giao dịch. Trong vụ trộm Sheep Marketplace, một số người dùng đã theo dõi số Bitcoin cũ của họ nhằm thu lại số tiền đã mất.
Dĩ nhiên, kỹ thuật "theo dõi" này không phải là hiệu quả, bởi bạn khó có thể biết được danh tính của kẻ trộm (bạn chỉ biết được tên tài khoản của chúng là gì). Tuy vậy, công tác "khám nghiệm hiện trường" của Bitcoin đang dần trở nên tinh vi hơn, và do đó các lập trình viên có thể tìm ra cách để thu thập thông tin từ "cuốn sổ" Bitcoin. Kẻ trộm Bitcoin ngày hôm qua có thể chưa bị bắt ngay hôm sau, song khả năng bị "tóm cổ" trong tương lai là hoàn toàn có thể.
Do đó, bước rửa tiền Bitcoin là khá quan trọng. Việc "rửa Bitcoin" được thực hiện thông qua các tay "trộn" tiền Bitcoin (thường gọi là "mixer" hoặc "tumbler"). Chúng sẽ "trộn" Bitcoin của bạn với Bitcoin của những người dùng khác, và cuối cùng bạn sẽ nhận được một địa chỉ riêng, "sạch sẽ" mà "sổ kế toán Bitcoin" không thể nào liên hệ với địa chỉ tài khoản bị tấn công lúc đầu.
Cụ thể hơn, cách "rửa tiền" Bitcoin là như sau: sau khi ăn cắp Bitcoin, hacker sẽ chuyển số Bitcoin của mình tới tay những kẻ "trộn" tiền. Dĩ nhiên, tài khoản của kẻ trộn tiền này bị coi là "bẩn" bởi Bitcoin đã được chuyển thẳng từ tài khoản bị đánh cắp. Sau đó, kẻ "trộn" tiền sẽ gửi một khoản Bitcoin tương ứng với số tiền đã nhận đến một địa chỉ "sạch" của hacker.
Song, những kẻ rửa tiền này sẽ không chuyển ngay lập tức toàn bộ số tiền nói trên. Ví dụ, nếu bạn đánh cắp 100 đồng Bitcoin và đem đi "rửa", kẻ "trộn" tiền sẽ gửi cho bạn tối đa khoảng 10 Bitcoin khi được bạn yêu cầu. Những kẻ "trộn" tiền cẩn thận hơn sẽ chia nhỏ số tiền chi trả hơn nữa, đặc biệt là khi bạn yêu cầu "rửa" một khoản quá lớn.
Trong suốt quãng thời gian trên, những kẻ "rửa Bitcoin" sẽ dần dần chuyển các đồng Bitcoin bị đánh cắp từ tài khoản "bẩn" ra ngoài. Cho đến khi người ta phát hiện ra được địa chỉ "bẩn" của bạn thì tài khoản này đã không còn tiền, và cũng chẳng ai lần mò ra được dấu vết của bạn cả. Quan trọng nhất, những kẻ "rửa" tiền sẽ sử dụng mạng ẩn danh Tor, khiến các nhà hành pháp cũng khó có thể phát hiện ra danh tính của chúng.
Dĩ nhiên, để "rửa" được tiền bạn sẽ phải tìm được những kẻ rửa tiền đáng tin cậy. Ngay chính những kẻ rửa tiền này cũng có thể hoạt động hoàn toàn ẩn danh, do đó nếu bạn bị mất hoặc quịt khoản tiền đem rửa, sẽ chẳng có ai bảo vệ cho bạn cả.
Ngoài ra, những kẻ ăn trộm Bitcoin cũng thường "rửa" tiền bằng cách tiêu thụ tại các song bài Bitcoin.
Bước 3: Chuyển đổi Bitcoin sang tiền mặt
Một khi đã thu được những đồng Bitcoin "sạch", chắc chắn kẻ trộm sẽ tính tới cách tiêu xài chúng. Vấn đề là có rất ít nhà môi giới bất động sản hoặc đại lý xe hơi muốn nhận chi trả bằng Bitcoin. Thay vào đó, họ cần đô la, Euro, bảng Anh v...v...
Và do đó lũ trộm cần qui đổi Bitcoin sang các đồng tiền sạch. Nếu chúng có rất nhiều Bitcoin (ví dụ như những kẻ sở hữu Sheep Marketplace sẽ có khoảng 100 triệu USD qui đổi từ Bitcoin), việc tiêu xài sẽ trở nên khó khăn hơn. Hiện tại, "nền kinh tế" Bitcoin vẫn còn khá mong manh, do đó sẽ có rất ít người muốn mua một lượng Bitcoin lớn như vậy. Phần lớn các sàn giao dịch sẽ đòi hỏi các thông tin định danh, và chắc chắn bạn cũng sẽ cần tài khoản ngân hàng (thật) để nhận tiền đô.
Do đó, chúng sẽ phải "cố gắng sáng tạo" ra nhiều chiêu trò. Ví dụ, chúng sẽ phải săn tìm những người sẵn sàng mua một lượng lớn Bitcoin mà không "thắc mắc" gì cả. Tuy vậy, phần lớn lũ trộm Bitcoin đều biết cách sử dụng tài sản của chúng rất kiên nhẫn. Chúng sẽ tiêu xài các đồng Bitcoin dần dần, từ từ, trong nhiều tháng hoặc thậm chí là nhiều năm để tránh bị nghi ngờ từ những người đang theo dõi Bitcoin, và từ cả những nhà chức trách.