Trong lịch sử kinh doanh, ở bất kỳ nơi nào của cải tăng mạnh, thì cuộc chiến giữa pháp luật và trật tự đều xuất hiện tất yếu.
Nhìn lại từ cuối năm 2025, tổng lượng stablecoin phát hành toàn cầu đã chạm ngưỡng 300 tỷ USD—gấp gần ba lần năm trước. Khối lượng giao dịch hàng tháng hiện đạt mức 4 đến 5 nghìn tỷ USD. Stablecoin đã thoát khỏi hình ảnh “đồ chơi công nghệ,” trở thành cửa ngõ hàng đầu để tài chính truyền thống gia nhập nền kinh tế số.
Phía sau sự tăng trưởng này là một thực tế u ám. Báo cáo ngành mới nhất dự báo rằng trong năm 2025, các địa chỉ bất hợp pháp trên toàn cầu sẽ nhận hơn 51,3 tỷ USD. Khi hàng trăm tỷ USD chuyển qua biên giới chỉ trong vài giây, các công cụ quản lý truyền thống không còn hiệu quả. Việc phân biệt giao dịch hợp pháp với dòng tiền tội phạm trong thời gian thực gần như bất khả thi.
Trong thế giới mà các quy tắc vẫn đang hình thành, Giáo sư Zhou Yajin nổi bật như một doanh nhân đặc biệt.
Hành trình sự nghiệp của Zhou Yajin là minh chứng điển hình cho sự giao thoa giữa giới học thuật tinh hoa và ngành công nghiệp. Năm 2010, ông sang Mỹ học tiến sĩ, dành năm năm chuyên sâu về bảo mật di động. Ông cùng giáo sư hướng dẫn Jiang Xuxian sau đó gia nhập Qihoo 360, đánh dấu bước chuyển đầu tiên từ phòng thí nghiệm ra thực tiễn kinh doanh. Năm 2018, Zhou trở về giảng dạy tại Đại học Chiết Giang.
Ba năm sau, ông quay lại ngành và thành lập công ty bảo mật blockchain BlockSec.
Bốn năm qua, Zhou đã dẫn dắt BlockSec chuyển mình chiến lược. Công ty phát triển từ kiểm toán hợp đồng thông minh sang các lĩnh vực chuyên sâu như giám sát bảo mật, truy vết dòng tiền và tuân thủ chống rửa tiền (AML).
Zhou cùng đội ngũ đã đầu tư nhiều năm nghiên cứu dữ liệu on-chain chuyên biệt. Họ thậm chí sử dụng kỹ thuật để xâm nhập các nhóm tội phạm mạng Đông Nam Á, thu thập được những hiểu biết hiếm hoi về hoạt động nội bộ. Qua góc nhìn của ông, chúng ta có cái nhìn trực diện về những cuộc đấu quyền lực thực sự đang định hình thế giới số.
Dưới đây là chia sẻ cá nhân của Zhou Yajin, do đội ngũ Beating biên tập sau buổi phỏng vấn độc quyền.
Bài viết này được tài trợ bởi Kite AI.
Kite là blockchain Layer 1 đầu tiên dành riêng cho thanh toán AI agent. Hạ tầng này cho phép các agent AI tự động hoạt động trong môi trường xác thực danh tính, quản trị lập trình và thanh toán stablecoin gốc.
Kite được sáng lập bởi các chuyên gia AI và dữ liệu từ Databricks, Uber và UC Berkeley. Công ty đã huy động 35 triệu USD từ các nhà đầu tư như PayPal, General Catalyst, Coinbase Ventures, 8VC cùng nhiều quỹ lớn khác.
Từ kiểm toán mã nguồn đến chiến trường AML
Tôi theo học tiến sĩ tại Mỹ từ năm 2010 đến 2015 dưới sự hướng dẫn của Giáo sư Jiang Xuxian, chuyên về bảo mật di động—đặc biệt là phát hiện phần mềm độc hại Android, vốn là công nghệ tiên tiến thời điểm đó. Sau khi tốt nghiệp năm 2015, tôi cùng thầy gia nhập Qihoo 360 để thương mại hóa kết quả nghiên cứu.
Năm 2018, tôi về Đại học Chiết Giang, chuyển từ ngành về lại học thuật. Thời điểm này trùng với làn sóng ICO 2017–2018 tại Trung Quốc, khiến blockchain trở thành tâm điểm của một số ít người. Đó cũng là lúc tôi bắt đầu tìm hiểu về bảo mật blockchain.
Tôi nhận thấy lúc đó các sự cố bảo mật on-chain xảy ra thường xuyên. Giới học thuật đã phát triển các giải pháp mạnh, nhưng ngành công nghiệp lại chậm chân—rất ít người thực sự chú ý đến vấn đề này.
Vì vậy, năm 2021, tôi cùng Giáo sư Wu Lei đồng sáng lập BlockSec.
Ban đầu, quan niệm về “công ty bảo mật blockchain” rất hạn hẹp: “Chẳng phải chỉ kiểm toán thôi sao?” Chúng tôi cũng bắt đầu từ kiểm toán hợp đồng thông minh.
Nền tảng học thuật và đội ngũ tinh nhuệ nhanh chóng giúp chúng tôi khẳng định vị thế trong mảng kiểm toán. Nhưng tầm nhìn của tôi rộng hơn—tôi không muốn công ty chỉ cung cấp dịch vụ bảo mật. Kiểm toán chỉ giải quyết rủi ro trước khi ra mắt, nhưng chưa có giải pháp tốt cho bảo vệ sau khi vận hành.
Vì vậy, năm 2022, khi mở rộng kiểm toán, chúng tôi bắt đầu xây dựng nền tảng giám sát tấn công on-chain. Ý tưởng sản phẩm là giám sát liên tục các giao dịch on-chain, có khả năng tự động chặn giao dịch tấn công ngay khi phát sinh.
Trong quá trình này, chúng tôi nhận ra kiểm toán và giám sát vẫn chưa đủ—dự án vẫn có thể bị tấn công. Kèm theo đó là sự gia tăng các rủi ro như phishing, mất khóa cá nhân và các mối đe dọa với người dùng cuối, khiến người dùng liên tục mất tiền. Điều này tạo ra nhu cầu mới.
Khi dự án bị hack hoặc người dùng bị phishing, họ cần trình báo với cảnh sát và giải thích cho cơ quan chức năng dòng tiền đã đi đâu. Từ năm 2022, chúng tôi ra mắt sản phẩm truy vết dòng tiền hoàn toàn SaaS. Người dùng có thể đăng ký trực tiếp—không cần bán B2B.
Đối tượng sản phẩm làm chúng tôi bất ngờ: không chỉ cơ quan chức năng, mà cả nhà báo, tổ chức tài chính và nhiều điều tra viên tư nhân tự do cũng sử dụng sản phẩm.
Nhóm người dùng đa dạng này giúp chúng tôi hoàn thiện sản phẩm và thu hút thêm khách hàng. Kết hợp với các engine phát hiện tấn công và phishing, các tag dữ liệu này trở thành lợi thế cạnh tranh sâu nhất của chúng tôi.
Bước ngoặt đến vào cuối năm 2024 và đầu năm 2025.
Lượng phát hành stablecoin bắt đầu tăng vọt. Thị trường không còn chỉ là sân chơi của dân crypto—nhiều chuyên gia tài chính truyền thống tham gia, stablecoin là tài sản số đầu tiên của họ. Nhóm người dùng này có ý thức tuân thủ rất cao và lập tức hỏi: “Nếu tôi dùng stablecoin, làm sao xử lý AML và CFT?”
Thiếu giải pháp tuân thủ mạnh, nhưng chúng tôi có ba năm dữ liệu tag nền tảng. Chúng tôi nhanh chóng ra mắt sản phẩm AML. Quá trình này diễn ra tự nhiên: khi nhu cầu thị trường thay đổi, chúng tôi chuyển mình từ nhà cung cấp bảo mật thuần túy thành nhà cung cấp tổng hợp “bảo mật + tuân thủ.”
Điều tra bí mật
Muốn xử lý AML, bạn phải hiểu rõ cách tội phạm sử dụng tiền.
Theo nghiên cứu của chúng tôi, tội phạm crypto chia thành hai nhóm chính. Nhóm thứ nhất là “thuần crypto”: tấn công lỗ hổng DeFi, đánh cắp khóa cá nhân hoặc phishing—tội phạm chỉ xuất hiện nhờ blockchain.
Nhóm thứ hai là “dẫn dắt bởi crypto,” như lừa đảo trực tuyến, tống tiền, buôn người. Crypto đã tăng tốc và ẩn danh hóa chuyển tiền xuyên biên giới. Đáng chú ý nhất là buôn người trong ngành lừa đảo trực tuyến Đông Nam Á.
Nhiều người cho rằng lừa đảo trực tuyến là chuyện xa vời, nhưng các quảng cáo tuyển dụng lại rất nhắm mục tiêu: lương khởi điểm 19.000 RMB, bao vé máy bay, ăn ở, thậm chí hứa “bảo hiểm xã hội Thâm Quyến.” Các chiêu này nhắm vào nhóm tuổi 18–37, dụ dỗ nạn nhân vượt biên sang các khu lừa đảo tại Myanmar, Campuchia hoặc Lào.
Các khu lừa đảo hiện đại tổ chức như doanh nghiệp thật, có đội tài chính, kỹ thuật, truyền thông riêng. Để duy trì hoạt động lớn như vậy cần nguồn “lao động” liên tục. Nhưng các khu (bên mua) và kẻ buôn người (bên cung cấp) không biết nhau và không có niềm tin trên mạng.
Điều này tạo ra các “nền tảng bảo đảm lao động”—bên trung gian giữ tiền cho giao dịch phi pháp.
Hệ thống vận hành tương tự Taobao. Khu lừa đảo đặt cọc USDT lên nền tảng bảo đảm; kẻ buôn người giao nạn nhân tại điểm “kiểm tra” được chỉ định.
Khi hai bên xác nhận giao hàng trong nhóm Telegram riêng, nền tảng sẽ nhả tiền cọc cho kẻ buôn người. Quy tắc rất đơn giản: “giao người, trả tiền.” Nếu bên nào vi phạm, nền tảng sẽ đóng băng hoặc tịch thu tiền cọc để bù cho bên còn lại.
Để thu hút khách hàng, các nền tảng này vận hành kênh Telegram công khai để khoe giao dịch. Ví dụ, các kênh như Linghang Guarantee hoặc Haowang Guarantee dùng bot đăng ảnh giao dịch và chuyển tiền on-chain theo thời gian thực. Họ còn chạy chương trình khuyến mãi—giảm hoa hồng, quảng cáo “mua 10 tặng 2”—giống hệt thương mại điện tử phổ thông.
Đây là cửa sổ trực tiếp nhất vào thế giới ngầm.
Từ tháng 2 đến tháng 8 năm 2025, chúng tôi xây dựng hệ thống tự động liên tục thâm nhập các nhóm này và thu thập thông tin tình báo. Vì các cuộc trò chuyện đầy thuật ngữ, chúng tôi huấn luyện mô hình ngôn ngữ lớn để phân tích.
Trong tiếng lóng chợ đen, nạn nhân gọi là “cá,” còn thủ đoạn lừa đảo và thông tin nạn nhân gọi là “tài liệu.” Có “tài liệu ba đen,” “tài liệu trộn,” “tài liệu vé” và nhiều loại khác. Để rửa tiền, “tài liệu cấp một” là tiền lấy trực tiếp từ nạn nhân, còn “tài liệu cấp hai” là tiền đã rửa qua nhiều lớp.
Còn có vai trò gọi là “cổng điện thoại,” trong đó đồng phạm trong nước dùng dây âm thanh hoặc app đặc biệt để chuyển tiếp cuộc gọi lừa đảo từ nước ngoài qua điện thoại địa phương, vượt qua chặn chống gian lận và kiếm khoảng 200 USDT mỗi giờ. Nhiều thanh niên vùng quê được tuyển cho công việc này.
Một số nhóm còn lưu hành “hướng dẫn chống cảnh sát,” chỉ cách né điều tra—khai báo mất điện thoại, xóa script và app mã hóa trước. Cuối hướng dẫn là câu mỉa mai cay đắng: “Gửi đến mọi người lao động chăm chỉ.”
Sau sáu tháng giám sát tự động, chúng tôi xác định được 634 địa chỉ liên quan đến nhóm buôn người trên một nền tảng bảo đảm, truy vết gần 12 triệu USD giao dịch phi pháp. Cao điểm, có 10 người bị buôn mỗi ngày chỉ qua nền tảng này. Thực tế còn tệ hơn vì còn nhiều nền tảng khác.
Khi truy vết dòng tiền, chúng tôi phát hiện phần lớn giao dịch diễn ra trên TRON, chủ yếu dùng USDT. Phí thấp và rào cản nhỏ của TRON phù hợp với nhóm tội phạm nhỏ lẻ. Dù phí đã tăng, thói quen sử dụng vẫn không đổi.
Phân tích dòng tiền của hơn 120 nhóm, chúng tôi thấy hơn 34,9% tiền phi pháp chuyển vào ví nóng OKX, 6,9% vào Binance và 14,4% vào ví nóng liên quan Huiwang.
Khi bạn có thể truy vết nguồn gốc và dòng chảy của tiền, AML không còn là khẩu hiệu. Dữ liệu thực tế từ cộng đồng giờ là lợi thế lõi cho bảo mật và tuân thủ.
12 giây: Đua trước hacker trong mempool
Chuyên gia bảo mật luôn đối mặt với nghịch lý: kiểm toán chỉ đảm bảo an toàn mã khi ra mắt. Khi vận hành, dự án liên tục bị hacker toàn cầu soi xét 24/7. Nếu kiểm toán là “phòng thủ tĩnh,” liệu có thể tạo ra “can thiệp động”?
Năm 2022, chúng tôi ra mắt nền tảng giám sát tấn công on-chain song song với dịch vụ kiểm toán. Ý tưởng cốt lõi: giám sát mempool của Ethereum—“phòng chờ” nơi mọi giao dịch xếp hàng trước khi được ghi vào block.
Tại đây, chúng tôi không chỉ theo dõi giao dịch thông thường mà còn cả giao dịch mang dấu hiệu tấn công. Khi phát hiện giao dịch khả nghi, hệ thống lập tức phân tích tự động trong môi trường chain riêng: Ý định là gì? Logic có hợp lệ không? Có thể bị đánh cắp bao nhiêu?
Những trận chiến gay cấn nhất chỉ diễn ra trong 12 giây.
Sau khi Ethereum hợp nhất, thời gian block cố định là 12 giây. Nghĩa là, từ lúc hacker gửi lệnh tấn công đến khi block xác nhận, chỉ có một khoảng thời gian cực ngắn. Vài giây này là thời gian vàng để white hat cứu nguy.
Khi hệ thống xác nhận tấn công, nó tự động tạo giao dịch “front-running”—gần như giống hệt của hacker, nhưng đổi địa chỉ nhận sang ví an toàn của chúng tôi.
Muốn thắng hacker, phải giành ưu tiên của miner.
Hacker thường đặt phí gas tiêu chuẩn để tối đa lợi nhuận. Chúng tôi dùng thuật toán đặt giá cao hơn nhiều—thậm chí chia sẻ một phần phí cho miner. Động lực lợi nhuận khiến miner ưu tiên giao dịch của chúng tôi. Khi giao dịch được thực hiện, giao dịch của hacker bị vô hiệu.
Năng lực này đã cứu nhiều dự án khỏi các vụ tấn công thực tế.
Một trường hợp điển hình: chúng tôi đã front-run thành công vụ tấn công trong mempool, thu hồi 2.909 ETH cho một protocol. Hacker đã kích hoạt lỗ hổng, số tiền có nguy cơ mất lên đến hàng triệu USD. Hệ thống giám sát báo động ngay lập tức, chỉ trong vài giây đã hoàn tất mô phỏng tấn công, tạo giao dịch và đặt giá gas. Cuối cùng, tiền về địa chỉ an toàn của chúng tôi trước khi hacker kịp ra tay.
Trước đây, dự án bị hack chỉ biết cầu cứu trên Twitter hoặc thương lượng bounty với hacker. Giờ đây, chúng tôi có thể chặn tiền ngay trước khi hacker thành công.
Muốn bảo vệ tuyến cuối cùng trong “rừng tối code là luật,” bạn phải thông minh và nhanh hơn hacker.
Kết luận
Nếu thập kỷ vừa qua của crypto là “cơn sốt vàng,” thì năm 2025 đánh dấu sự trở lại của “tính chắc chắn.” Khi lượng stablecoin tăng vọt lên 300 tỷ USD và hệ thống tài chính số chuyển mình từ “hoang dã” sang “thành bang,” công nghệ không còn chỉ là công cụ tạo ra của cải—mà trước hết phải là lá chắn trước mặt tối của con người.
Sự chuyển mình của Zhou Yajin và đội ngũ phản ánh logic đó. Từ kiểm toán mã nguồn đến can thiệp động, rồi thâm nhập mạng lưới phi pháp, đây không phải chủ nghĩa anh hùng đơn độc mà là cơ chế phòng vệ tất yếu của tiến hóa công nghệ quy mô lớn.
Trong thế giới nơi code là luật, nếu dòng tiền phi pháp và bảo mật thất bại không được kiểm soát, thì cái gọi là “cuộc cách mạng tài chính” vẫn chỉ là trò chơi của số ít.
Mọi ngành khi lên mainstream đều trải qua hành trình đau đớn từ hỗn loạn đến pháp quyền. Đó là quá trình dài, đôi khi nhàm chán, nhưng như Zhou Yajin nói, hình thái bảo mật tối thượng là “vô hình.”
Chỉ khi bảo mật trở nên phổ biến và vô hình như không khí, thì vùng biên số từng biến động này mới hoàn tất chuyển hóa văn minh thực sự.
Tuyên bố:
- Bài viết này được đăng lại từ [Beating], bản quyền gốc thuộc về [Sleepy.txt]. Nếu có vấn đề về bản quyền, vui lòng liên hệ đội ngũ Gate Learn để được xử lý nhanh chóng.
- Miễn trừ trách nhiệm: Quan điểm trong bài viết chỉ thuộc về tác giả và không cấu thành khuyến nghị đầu tư.
- Các phiên bản ngôn ngữ khác do đội ngũ Gate Learn thực hiện dịch. Nếu không đề cập Gate, không được sao chép, phân phối hoặc đạo văn bản dịch này.
