Một giao dịch 100.000 USDT được chuyển từ một ví mới tạo, ngay lập tức được chia thành 47 giao dịch nhỏ hơn, mỗi giao dịch dưới ngưỡng báo cáo 10.000 USD. Những giao dịch này đến từ một địa chỉ không có lịch sử giao dịch với các sàn giao dịch uy tín. Đối với hầu hết mọi người, đó chỉ là một dòng dữ liệu vô hại. Đối với Ngân hàng Trung ương Thái Lan, đó là một tín hiệu. Và tín hiệu đó đã được gửi đến Ủy ban Chứng khoán và Giao dịch (SEC) Thái Lan.
Từ lỗ hổng nhỏ nhất, một hệ thống có thể sụp đổ. Câu nói này không chỉ đúng với hợp đồng thông minh, mà còn đúng với hệ thống tài chính phi tập trung. Nhưng lần này, lỗ hổng không nằm trong mã nguồn, mà nằm trong cách các stablecoin đang được sử dụng để phục vụ nền kinh tế ngầm. Và người phát hiện ra nó không phải là một auditor như tôi, mà là một cơ quan quản lý.

Hãy bắt đầu với bối cảnh. Thái Lan, giống như nhiều quốc gia Đông Nam Á khác, đã chứng kiến sự gia tăng sử dụng stablecoin, đặc biệt là USDT và USDC, trong các giao dịch xuyên biên giới và thanh toán phi chính thức. Ngân hàng Trung ương Thái Lan (BOT) đã âm thầm phát triển năng lực phân tích on-chain. Họ không chỉ nhìn vào các báo cáo từ sàn giao dịch, mà còn quét trực tiếp các blockchain công khai. Báo cáo gần đây của họ xác nhận: họ đã phát hiện ra các mẫu giao dịch bất thường – các luồng stablecoin được cấu trúc để tránh sự giám sát của các cơ quan chống rửa tiền (AML). Những giao dịch này không vi phạm luật trên giấy tờ, nhưng lại vẽ nên một bức tranh về một nền kinh tế ngầm đang phát triển mạnh mẽ dựa trên tài sản kỹ thuật số.
Về mặt kỹ thuật, điều này không có gì mới. Các công ty phân tích chuỗi như Chainalysis và Elliptic đã làm điều này trong nhiều năm. Nhưng điểm đáng chú ý là một ngân hàng trung ương – vốn thường bị coi là chậm chạp trong công nghệ – lại chủ động xây dựng khả năng này. Điều này cho thấy một xu hướng: các cơ quan quản lý đang chuyển từ thụ động (dựa vào báo cáo từ các tổ chức tài chính) sang chủ động (trực tiếp quét dữ liệu on-chain). Đối với những người trong ngành bảo mật, điều này giống như việc một hacker phát hiện ra rằng hệ thống giám sát của họ không chỉ ghi nhật ký, mà còn có thể phản ứng theo thời gian thực.
Phân tích dữ liệu ở đây hoạt động thế nào? Đầu tiên, BOT có thể đã xây dựng một bộ phân loại địa chỉ dựa trên các đặc điểm: tuổi của ví, lịch sử giao dịch, kết nối với các sàn giao dịch đã biết, và các mẫu giao dịch "structuring" (chia nhỏ giao dịch lớn thành nhiều giao dịch nhỏ). Họ cũng có thể sử dụng các kỹ thuật phân cụm để nhóm các địa chỉ có chung quyền kiểm soát, ngay cả khi chúng không tương tác trực tiếp. Đây là một ví dụ kinh điển về việc ứng dụng machine learning vào dữ liệu công khai. Bear market là mùa của những kẻ kiên nhẫn đào sâu. Trong thị trường tăng giá hiện tại, khi mọi người đang mải mê với những câu chuyện về AI và token hóa tài sản, các cơ quan quản lý đang lặng lẽ xây dựng cơ sở hạ tầng giám sát của họ.
Nhưng có một góc nhìn phản trực giác ở đây. Nhiều người cho rằng việc phát hiện này sẽ giúp tăng cường an ninh cho hệ sinh thái stablecoin. Tôi không đồng ý. Trên thực tế, nó có thể tạo ra một nghịch lý: càng giám sát chặt chẽ, càng thúc đẩy người dùng chuyển sang các công cụ khó giám sát hơn. Trong những năm làm auditor, tôi đã thấy điều này nhiều lần. Khi các sàn giao dịch tập trung bị yêu cầu KYC nghiêm ngặt, khối lượng giao dịch trên các sàn phi tập trung (DEX) và các cầu nối xuyên chuỗi tăng vọt. Các stablecoin tập trung như USDT có thể bị thay thế bởi các stablecoin phi tập trung như DAI, hoặc thậm chí là các privacy coin như Monero. Sự tĩnh lặng của dữ liệu thường che giấu bão tố.

Điểm mù bảo mật thực sự không nằm ở các giao dịch bất thường, mà nằm ở giả định rằng việc phát hiện sẽ dẫn đến hành động hiệu quả. Các giao dịch bị phát hiện có thể đã được thực hiện bởi những kẻ xấu tinh vi, những người sử dụng các kỹ thuật như CoinJoin, trộn token, hoặc các giao thức bảo mật như Tornado Cash (nếu vẫn hoạt động ở một số khu vực). Họ có thể đã sử dụng các sàn giao dịch không yêu cầu KYC hoặc các DEX có thanh khoản sâu. Vì vậy, việc BOT "phát hiện" các giao dịch này có thể chỉ là phần nổi của tảng băng chìm. Phần chìm, mà họ chưa thấy, là vô số giao dịch đã được che giấu bởi các công cụ nâng cao hơn.
Hãy nhìn vào kinh nghiệm audit của tôi. Năm 2020, khi kiểm tra Uniswap v2, tôi phát hiện ra một lỗ hổng về race condition trong quá trình cập nhật giá. Lỗi đó không nằm trong logic chính, mà nằm ở giả định rằng các giao dịch flash swap sẽ luôn được thực hiện theo thứ tự. Tương tự, các cơ quan quản lý đang mắc phải một sai lầm tương tự: họ giả định rằng việc phát hiện các mẫu giao dịch đơn giản là đủ để ngăn chặn rửa tiền. Trong thực tế, những kẻ tấn công (hoặc người dùng trong nền kinh tế ngầm) sẽ liên tục thích nghi. Họ sẽ xây dựng các mạng lưới phức tạp hơn, sử dụng các lớp trung gian, và tận dụng các sàn giao dịch phi tập trung mới nổi.
Vậy bài học cho những người trong ngành blockchain là gì? Thứ nhất, đừng đánh giá thấp khả năng công nghệ của các cơ quan quản lý. Họ đang bắt kịp nhanh hơn chúng ta nghĩ. Thứ hai, đối với các dự án stablecoin, đã đến lúc xem xét nghiêm túc các tính năng tuân thủ tích hợp sẵn: kiểm tra địa chỉ bị cấm, giới hạn giao dịch, và báo cáo tự động. Đây không phải là một sự đầu hàng trước kiểm duyệt, mà là một sự thích nghi thực tế. Nếu bạn không làm điều đó, ngân hàng trung ương sẽ làm thay bạn – và họ sẽ làm nó một cách vụng về, gây tổn hại đến toàn bộ hệ sinh thái.

Kết lại, tôi muốn đặt một câu hỏi: Liệu sự phát hiện của Ngân hàng Trung ương Thái Lan có phải là tiếng chuông báo tử cho các stablecoin không được kiểm soát? Hay nó chỉ là một cảnh báo sớm, một lời nhắc nhở rằng ngay cả trong thế giới phi tập trung, dữ liệu công khai là con dao hai lưỡi? Câu trả lời, như mọi khi, nằm trong mã nguồn. Nhưng lần này, mã nguồn đó không phải là Solidity, mà là luật pháp và các thuật toán giám sát. Và tôi, với tư cách là một kỹ sư bảo mật, chỉ có thể nói: Hãy kiểm tra mọi thứ. Ngay cả những gì bạn không thể nhìn thấy.