ZachXBT tuyên chiến với ví cứng, tiêu chuẩn vàng của crypto rạn nứt? Ảnh: CoolWallet
Ví cứng đều là rác, tệ nhất là Ledger
Trong nhiều năm qua, hardware wallet (ví cứng) thường được xem là "pháo đài cuối cùng" bảo vệ tài sản số. Thế nhưng, niềm tin ấy vừa bị chính một trong những chuyên gia điều tra blockchain có uy tín nhất ngành crypto công khai phủ nhận.
ZachXBT, người đứng sau hàng loạt cuộc truy vết tấn công và lừa đảo trị giá hàng tỷ USD, mới đây tuyên bố ông không còn khuyến nghị sử dụng bất kỳ thiết bị ví cứng nào để lưu trữ tài sản lớn hay ký các giao dịch quan trọng. Thay vào đó, ông cho rằng một chiếc iPhone được tách biệt hoàn toàn, chỉ dùng để quản lý tài sản số, còn đáng tin cậy hơn.
Trên kênh Telegram của mình, ZachXBT thẳng thắn viết:
"Tất cả ví cứng đều là rác. Tôi không khuyên dùng chúng để ký giao dịch quan trọng hay lưu trữ tài sản. Một chiếc iPhone riêng chỉ dùng cho crypto còn tốt hơn. Ledger là tệ nhất."
Nếu chỉ nhìn vào phát ngôn trên, nhiều người sẽ nghĩ ZachXBT đơn thuần "công kích" Ledger. Thực tế, điều ông rũ bỏ là cả triết lý bảo mật mà ví cứng đại diện suốt từ trước đến nay.
ZachXBT không hề cho rằng con chip Secure Element bên trong Ledger đã bị bẻ khóa. Vấn đề được ông luận giải nằm ở mọi thứ bao quanh chiếc ví. ZachXBT chỉ trích Ledger Live liên tục thay đổi và cập nhật, khiến ngay cả những thao tác cơ bản cũng có thể trở nên rườm rà, làm tăng nguy cơ người dùng mắc sai lầm.
Quan điểm này xuất hiện sau hàng loạt vụ việc mà ZachXBT trực tiếp điều tra trong hai năm qua, nhận thấy phần lớn tài sản không biến mất vì ví cứng bị xâm nhập, mà vì chính người sở hữu bị đánh bại. Những vụ đánh cắp tài sản hiện nay ngày càng ít dựa vào việc phá vỡ hàng rào kỹ thuật, thay vào đó là các chiêu trò giả mạo bộ phận hỗ trợ, ứng dụng lừa đảo, website giả mạo và những thủ đoạn thao túng tâm lý khiến nạn nhân tự trao chìa khóa kho tài sản của mình.
Đầu năm 2026, ZachXBT là người lần ra dấu vết vụ thất thoát hơn 282 triệu USD Bitcoin và Litecoin, đánh dấu một trong những vụ trộm tài sản số lớn nhất lịch sử. Kết quả điều tra cho thấy chiếc ví cứng hoàn toàn không bị xâm nhập, mà chủ sở hữu đã rơi vào một kịch bản lừa đảo được dàn dựng công phu và tự trao quyền kiểm soát tài sản cho kẻ gian.
On January 10, 2026 at around 11 pm UTC a victim lost $282M+ worth of LTC & BTC due to a hardware wallet social engineering scam.
— ZachXBT (@zachxbt) January 16, 2026
The attacker began converting the stolen LTC & BTC to Monero via multiple instant exchanges causing the XMR price to sharply increase.
BTC was also…
Kịch bản gần như lặp lại vào năm 2025. Một nhà đầu tư khác mất 783 BTC (khoảng 91 triệu USD) sau khi tin vào những kẻ giả danh bộ phận hỗ trợ của nhà sản xuất ví cứng và sàn giao dịch.
Chuỗi khủng hoảng niềm tin kéo dài
Việc Ledger bị ZachXBT chỉ đích danh cũng chẳng phải là ngẫu nhiên.
Hồi tháng 4, chính nhà điều tra này là người bóc trần vụ Ledger Live giả mạo vượt qua quy trình kiểm duyệt của Apple và xuất hiện trên App Store. Chỉ trong thời gian ngắn, hơn 50 người dùng đã bị đánh cắp khoảng 9,5 triệu USD tiền mã hóa sau khi nhập cụm từ khôi phục ví (seed phrase) vào ứng dụng giả. ZachXBT sau đó công khai chỉ trích Apple vì để phần mềm lừa đảo tồn tại trên cửa hàng ứng dụng, đồng thời cảnh báo những nền tảng vốn được xem là an toàn nhất đang trở thành mảnh đất màu mỡ cho các chiến dịch đánh cắp tài sản.
Vốn dĩ Ledger đã liên tục đối mặt với hàng loạt cuộc khủng hoảng về niềm tin trong nhiều năm qua. Trở lại năm 2020, công ty từng hứng chịu vụ rò rỉ dữ liệu khách hàng làm phát tán email, số điện thoại và địa chỉ của 270.000 khách hàng trên diễn đàn chuyên mua bán dữ liệu đánh cắp RaidForums.
Đến năm 2023, công ty tiếp tục châm ngòi cho làn sóng phản đối với màn ra mắt Ledger Recover - dịch vụ cho phép chia nhỏ và sao lưu cụm từ khôi phục ví thông qua ba đơn vị lưu ký độc lập. Dù được quảng bá là giải pháp giúp người dùng tránh mất quyền truy cập tài sản, cộng đồng lại xem đây là bằng chứng cho thấy khóa riêng tư (private key) có thể rời khỏi thiết bị, đi ngược với cam kết bảo mật mà Ledger luôn theo đuổi.
Cũng trong năm đó, một vụ tấn công khác đã nhắm vào bộ công cụ Ledger Connect Kit khiến mã độc bị phát tán tới hàng loạt ứng dụng DeFi, gây thiệt hại 600.000 USD chỉ trong vài giờ.
Dẫu vậy, Ledger vẫn luôn bảo vệ lập trường rằng ví cứng là tiêu chuẩn bảo mật cao nhất hiện nay. Công ty khẳng định khóa riêng tư không bao giờ rời khỏi thiết bị nhờ chip bảo mật Secure Element, đồng thời cho rằng điện thoại và máy tính mới là những mục tiêu dễ bị mã độc hoặc tin tặc khai thác.
Coin68 tổng hợp