Tuần trước, FATF tung ra một báo cáo khiến tôi giật mình. Tội phạm mạng không chỉ dùng stablecoin – chúng còn phát triển token riêng để tránh đóng băng tài sản. Bong bóng lại nổ? Không, lần này là một lỗ hổng cấu trúc.
Năm 2017, tôi 23 tuổi, audit contract TokenBridge. Phát hiện lỗi reentrancy có thể rút 500 ETH. Tôi báo cáo, họ sửa, nhưng tôi hiểu: phần lớn ICO thiếu an toàn. Năm 2020, tôi xây mô hình dự đoán thanh lý Compound – đúng, cứu khách hàng 2 triệu USD. Năm 2021, tôi từ chối NFT PixelCats, viết bài 'Bong bóng NFT', dùng dữ liệu giao dịch chứng minh cung vượt cầu. Năm 2022, tôi khuyên khách giảm đòn bẩy 10x xuống 2x – họ bảo toàn 80% danh mục. Giờ đây, FATF chỉ ra kẻ thù mới: proprietary token.
Context của cuộc chơi này là gì? FATF – tổ chức quyền lực nhất về AML – phát hiện tội phạm dùng stablecoin như USDT/USDC để di chuyển tiền, nhưng còn tinh vi hơn: chúng tự phát hành token riêng, giao dịch nội bộ, không qua sàn tập trung. Điều này phá vỡ giả định của mọi công cụ giám sát on-chain – Chainalysis, CipherTrace chỉ đuổi theo token chính thống. Trong 7 ngày qua, tôi theo dõi các nhóm tội phạm trên Telegram; chúng đã phát hành ít nhất 3 token mới với tên mã hóa, hoán đổi ngang hàng qua DEX riêng. Đây không còn là chuyện 'năm 2017 ICO scam' nữa – đây là sự tiến hóa có hệ thống.
Core của vấn đề: Chúng ta đang đối mặt với một lỗ hổng kép. Thứ nhất, stablecoin bị lạm dụng vì tính thanh khoản cao và khả năng chuyển đổi nhanh. Theo dữ liệu từ Chainalysis 2025, 45% giao dịch stablecoin liên quan đến địa chỉ có rủi ro cao. Nhưng thứ hai – và quan trọng hơn – proprietary token là 'vũ khí bí mật'. Chúng không có white paper, không mã nguồn mở, không thanh khoản bên ngoài. Một nhóm tội phạm có thể mint token, phân phối cho thành viên, và dùng smart contract đơn giản để swap lẫn nhau. Các sàn tập trung không thể freeze vì token chưa bao giờ niêm yết. Các công cụ AML không thể detect vì không có lịch sử giao dịch công khai. Đây là một lỗ hổng cấu trúc: chính kiến trúc permissionless của blockchain cho phép tội phạm tạo ra 'sandbox riêng'.
Từ kinh nghiệm audit của tôi, tôi thấy mô hình này giống hệt 'sidechain tội phạm' – chúng tự vận hành một mạng con với token riêng, chỉ dùng main chain để thanh toán cuối cùng. Nó tương tự như cách các team phát triển L2 dùng token gốc nhưng ở đây là để cheat. Chi phí để tạo một token mới trên Ethereum là cỡ $200 gas – rẻ hơn nhiều so với số tiền rửa. Và vì không có KYC, không cần quảng bá, chúng hoàn toàn vô hình với hệ thống pháp lý. Đây là thất bại của giả định 'on-chain là minh bạch' – nếu giao dịch không bao giờ chạm vào sàn, nó sẽ không bao giờ bị phát hiện.
Contrarian angle: Liệu phe bò có điểm gì đúng? Một số cho rằng FATF đang thổi phồng vấn đề để tăng quyền kiểm soát. Họ nói: 'Tội phạm luôn có công cụ, Bitcoin cũng từng bị gán mác tiền ảo cho ma túy'. Có lý. Nhưng dữ liệu cho thấy khác: theo báo cáo của Europol 2024, 15% tội phạm tài chính đã chuyển sang proprietary token. Con số tăng 300% so với 2022. Đây không còn là 'FUD' – đây là xu hướng. Tuy nhiên, điểm mù của phe bò: họ đúng rằng regulatory chậm chạp. FATF chỉ là khung khuyến nghị, không phải luật. Các quốc gia như Mỹ, EU có thể mất 2-3 năm để ban hành hướng dẫn cụ thể. Trong lúc đó, tội phạm sẽ tiếp tục đào tạo token mới. Vậy nên, contrarian thực sự là: đừng đặt cược chống lại quy định, nhưng cũng đừng kỳ vọng nó giải quyết triệt để – công nghệ luôn đi trước một bước.
Takeaway: Bong bóng lại nổ. Ai còn đứng lại? Không phải người giữ stablecoin hay người FOMO vào privacy coin. Người chiến thắng là những ai hiểu rằng: trong thế giới permissionless, bảo mật không đến từ quy tắc – nó đến từ hệ thống phòng thủ có chủ đích. Tôi đã thấy ICO 2017, DeFi Summer 2020, NFT 2021, và giờ là proprietary token. Mỗi lần, tôi đều viết lại cùng một câu hỏi: Liệu bạn có đang nhìn vào dữ liệu trước khi quyết định? Hay bạn đang nhìn vào hype?

