Khi Kent Halliburton đứng trong phòng tắm tại khách sạn Rosewood ở trung tâm Amsterdam, cách nhà hàng ngàn dặm, vuốt ve phong bì chứa 10.000 euro tiền mặt mới tinh, anh bắt đầu tự hỏi mình đã dấn thân vào chuyện gì.

Halliburton là người đồng sáng lập kiêm CEO của Sazmining, một công ty vận hành  phần cứng khai thác bitcoin  thay mặt cho khách hàng – mô hình này được gọi là “khai thác dưới dạng dịch vụ”. Trụ sở chính của Halliburton đặt tại Peru, nhưng Sazmining vận hành phần cứng khai thác từ các trung tâm dữ liệu của bên thứ ba trên khắp Na Uy, Paraguay, Ethiopia và Hoa Kỳ.

Theo lời kể của Halliburton, ông đã bay đến Amsterdam vào ngày hôm trước, 5 tháng 8, để gặp Even và Maxim, hai đại diện của một gia đình giàu có ở Monaco. Văn phòng gia đình này đã đề nghị mua hàng trăm giàn khai thác bitcoin từ Sazmining—trị giá khoảng 4 triệu đô la—mà công ty sẽ lắp đặt tại một cơ sở đang được xây dựng ở Ethiopia. Trước khi hoàn tất thỏa thuận, văn phòng gia đình đã yêu cầu được gặp Halliburton trực tiếp.

Khi Halliburton đến khách sạn Rosewood, ông thấy Even và Maxim đang ngồi trong một gian riêng. Họ gây ấn tượng với ông như những tay chơi, những người giàu có – đặc biệt là Maxim, người mặc bộ vest ba mảnh màu be và có vẻ ngoài được chăm chút kỹ lưỡng, mái tóc dài đen nhánh rẽ ngôi giữa. Một chiếc Rolex nhô ra từ cổ tay áo của anh ta.

Trong bữa trưa ba món – gỏi cá với trứng cá, cá vược Chile và bánh anh đào – họ đã thảo luận về các chi tiết của thỏa thuận và trao đổi thông tin về xuất thân của mỗi người. Even thì hoạt ngôn và hài hước, kể những câu chuyện về những bữa tiệc xa hoa ở Marrakech. Maxim thì tỏ ra xa cách; anh ta chủ yếu nhìn chằm chằm vào Halliburton, giữ ánh mắt rất lâu như thể đang đánh giá ông ta.

Để củng cố mối quan hệ, Even đề nghị Halliburton bán cho văn phòng gia đình khoảng 3.000 đô la bằng bitcoin. Ban đầu Halliburton hơi do dự, nhưng coi đó như một nghi thức hẹn hò kỳ lạ. Một trong những người kia đưa cho Halliburton phong bì đựng tiền và bảo anh ta vào phòng tắm để đếm tiền riêng. "Cảm giác như một cảnh trong phim James Bond vậy," Halliburton nói. "Tất cả đều rất lạ lẫm với tôi."

Halliburton rời đi bằng taxi, có phần ngạc nhiên trước cuộc gặp gỡ, nhưng vẫn hy vọng sẽ hoàn tất thương vụ với văn phòng gia đình. Đối với Sazmining, một công ty nhỏ với khoảng 15 nhân viên, thương vụ này hứa hẹn sẽ mang tính đột phá.

Chưa đầy hai tuần sau, Halliburton đã mất hơn 200.000 đô la tiền bitcoin vào tay Even và Maxim. Ông không biết liệu Sazmining có thể vượt qua được cú sốc này hay không, cũng như không biết làm thế nào mà những kẻ lừa đảo lại có thể gài bẫy được ông.

Ngay sau bữa trưa với Even và Maxim, Halliburton đã bay đến Latvia để tham dự một hội nghị về Bitcoin. Từ đó, ông tiếp tục đến Ethiopia để kiểm tra tiến độ xây dựng trung tâm dữ liệu.

Trong khi Halliburton đang ở Ethiopia, ông nhận được tin nhắn WhatsApp từ Even, người muốn tiếp tục thỏa thuận với một điều kiện: Sazmining phải bán cho văn phòng gia đình một lượng bitcoin lớn hơn như một phần của giao dịch, sau lần mua ban đầu nhỏ tại khách sạn Rosewood. Hai bên đạt được thỏa thuận trị giá 400.000 đô la Mỹ - bằng một phần mười giá trị tổng thể của thỏa thuận.

Ông Even thậm chí còn yêu cầu Halliburton quay lại Amsterdam để ký các hợp đồng cần thiết nhằm hoàn tất thỏa thuận. Vì đã xa gia đình nhiều tuần, Halliburton phản đối. Nhưng ông Even đã thẳng thừng: “Làm việc từ xa không phù hợp với tôi, đó không phải là cách tôi kinh doanh hiện nay”, ông viết trong một tin nhắn mà WIRED đã xem được.

Halliburton trở về Amsterdam vào đầu giờ chiều ngày 16 tháng 8. Tối hôm đó, ông dự định gặp Maxim tại một nhà hàng teppanyaki ở khách sạn năm sao Okura. Nội thất được trang trí công phu theo phong cách truyền thống Nhật Bản; có ván ốp tường bằng gỗ, tường giấy, một khu vườn thiền và một đàn hạc giấy origami treo lủng lẳng trên dây dọc theo cầu thang xoắn ốc trong sảnh.

Halliburton thấy Maxim đang ngồi trên ghế dài ở khu vực chờ bên ngoài nhà hàng, mặc một bộ vest bạc lòe loẹt. Trong khi chờ bàn, Maxim hỏi Halliburton liệu anh ta có thể chứng minh rằng Sazmining nắm giữ đủ bitcoin để thực hiện giao dịch phụ mà Even đã đề xuất hay không. Anh ta muốn Halliburton chuyển khoảng một nửa số tiền đã thỏa thuận—trị giá 220.000 đô la—vào một ứng dụng ví bitcoin mà văn phòng gia đình tin tưởng. Số tiền này sẽ vẫn nằm dưới sự kiểm soát của Halliburton, nhưng văn phòng gia đình có thể xác minh sự tồn tại của chúng bằng cách sử dụng dữ liệu giao dịch công khai.

Halliburton mở chiếc iPhone của mình. Ứng dụng Atomic Wallet đã nhận được hàng nghìn đánh giá tích cực và đã có mặt trên Apple App Store trong nhiều năm. Cùng với Maxim bên cạnh, Halliburton đã tải ứng dụng xuống và tạo một ví mới. “Tôi đang cố gắng lấy lòng tin của anh chàng này,” Halliburton nói. “Một hợp đồng trị giá 4 triệu đô la. Tôi vẫn đang nhắm đến mục tiêu đó.”

Bữa tối diễn ra khá suôn sẻ. Lần này Maxim ít dè dặt hơn; ông nói về niềm yêu thích đồng hồ và công việc tìm kiếm các thương vụ cho văn phòng gia đình. Cảm thấy không khỏe sau chuyến đi dài, Halliburton tìm cách kết thúc buổi tối.

Họ rời đi với sự hiểu biết rằng Maxim sẽ mang các hợp đồng đã ký đến văn phòng gia đình để thực hiện, trong khi Halliburton sẽ gửi 220.000 đô la bằng bitcoin đến địa chỉ ví mới của anh ta như đã thỏa thuận.

Trở lại phòng khách sạn, Halliburton đã thực hiện một giao dịch thử nghiệm nhỏ bằng địa chỉ Atomic Wallet mới của mình. Sau đó, anh ấy đã xóa và khôi phục ví bằng thông tin đăng nhập riêng tư—cụm từ hạt giống—được tạo ra khi anh ấy tải ứng dụng lần đầu tiên, để đảm bảo rằng nó hoạt động như mong đợi. “Phải thực hiện một số biện pháp bảo mật nhưng gần như đã sẵn sàng. Cảm ơn sự kiên nhẫn của bạn,” Halliburton viết trong tin nhắn WhatsApp gửi cho Even. “Không sao, cứ từ từ,” Even trả lời.

Vào lúc 10:45 tối, hài lòng với các thử nghiệm của mình, Halliburton ra hiệu cho một đồng nghiệp chuyển 220.000 đô la bitcoin vào địa chỉ Atomic Wallet. Khi tiền đến, ông gửi ảnh chụp màn hình số dư được cập nhật cho Even. Một phút sau, Even trả lời, "Cảm ơn anh."

Halliburton gửi một tin nhắn khác cho Even, hỏi về các hợp đồng. Mặc dù trước đó Even thường trả lời rất nhanh, nhưng lần này anh ấy không hồi đáp. Halliburton kiểm tra ứng dụng Atomic Wallet và cảm thấy có điều gì đó không ổn. Số bitcoin đã biến mất.

Halliburton cảm thấy như bụng mình thắt lại. Ngồi trên giường, ông cố gắng kìm nôn. “Cảm giác như bị đấm vào bụng vậy,” Halliburton nói. “Chỉ toàn là sốc và không thể tin vào mắt mình.”

Halliburton vắt óc suy nghĩ xem mình đã bị lừa như thế nào. Lúc 11:30 đêm, ông gửi một tin nhắn khác cho Even: “Đây là vụ lừa đảo tinh vi nhất mà tôi từng gặp. Tôi biết có lẽ anh chẳng quan tâm nhưng công việc kinh doanh của tôi có thể không vượt qua được chuyện này. Tôi đã dành bốn năm cuộc đời để xây dựng nó.”

Even đã phản hồi, phủ nhận mọi cáo buộc sai phạm, nhưng đó là lần cuối cùng Halliburton liên lạc được với ông ta. Halliburton đã cung cấp cho WIRED tài khoản Telegram mà Even đã sử dụng; tài khoản này hoạt động lần cuối vào ngày tiền bị rút hết. Even không phản hồi yêu cầu bình luận.

Chỉ trong vài giờ, số tiền bị rút khỏi ví của Halliburton bắt đầu được chia nhỏ, chuyển qua một mạng lưới các địa chỉ khác nhau và gửi vào các nền tảng bên thứ ba để chuyển đổi tiền điện tử thành tiền tệ thông thường, theo phân tích của các công ty phân tích blockchain Chainalysis và CertiK.

Một phần bitcoin được chia cho các sàn giao dịch tức thời khác nhau, cho phép mọi người trao đổi một loại tiền điện tử này lấy một loại tiền điện tử khác gần như ngay lập tức. Phần lớn được chuyển vào một địa chỉ duy nhất, nơi nó được trộn lẫn với các khoản tiền mà Chainalysis gắn nhãn là tiền thu được từ các giao dịch lừa đảo, một hình thức lừa đảo trong đó ai đó giả mạo nhà đầu tư để đánh cắp tiền điện tử từ một công ty khởi nghiệp.

“Không có gì bất hợp pháp về các dịch vụ mà kẻ lừa đảo đã sử dụng,” Margaux Eckle, điều tra viên cấp cao tại Chainalysis, cho biết. “Tuy nhiên, việc chúng sử dụng các địa chỉ hợp nhất có vẻ liên quan chặt chẽ đến các hoạt động lừa đảo đã được xác định là dấu hiệu cho thấy đây có thể là một hoạt động gian lận.”

Một phần bitcoin đi qua địa chỉ hợp nhất đã được gửi vào một sàn giao dịch tiền điện tử, nơi nó có thể đã được đổi lấy tiền tệ thông thường. Phần còn lại được chuyển đổi thành  stablecoin  và chuyển qua các "cầu nối" đến chuỗi khối Tron, nơi lưu trữ một số dịch vụ giao dịch phi tập trung (OTC) có thể dễ dàng được sử dụng để rút tiền mặt với số lượng lớn, theo các nhà nghiên cứu.

Hiệu ứng của nhiều bước chuyển đổi, xáo trộn, chuyển đổi và chia nhỏ là làm cho việc truy tìm nguồn gốc tiền trở nên khó khăn hơn, để chúng có thể được rút ra mà không gây nghi ngờ. “Kẻ lừa đảo khá tinh vi,” Eckle nói. “Mặc dù chúng ta có thể truy tìm thông qua một cầu nối, nhưng đó là một cách để làm chậm quá trình truy tìm tiền của các nhà điều tra có thể đang theo dõi bạn.”

Cuối cùng, dấu vết của dữ liệu giao dịch công khai bị chặn lại. Để xác định thủ phạm, cơ quan thực thi pháp luật sẽ phải triệu tập các dịch vụ dường như đã được sử dụng để rút tiền, vốn được yêu cầu rộng rãi để thu thập thông tin về người dùng.

Từ dữ liệu giao dịch, không thể xác định chính xác cách thức bọn lừa đảo có thể truy cập và rút hết tiền trong ví của Halliburton mà không có sự cho phép của ông. Tuy nhiên, một số khía cạnh trong các tương tác của ông với bọn lừa đảo cung cấp một vài manh mối.

Ban đầu, Halliburton đặt câu hỏi liệu sự cố này có liên quan đến vụ  tấn công mạng năm 2023  do các nhóm tin tặc  có liên hệ  với chính phủ Triều Tiên thực hiện, dẫn đến việc 100 triệu đô la bị rút khỏi tài khoản của người dùng Atomic Wallet hay không. (Atomic Wallet không phản hồi yêu cầu bình luận.)

Nhưng thay vào đó, các nhà nghiên cứu bảo mật đã trao đổi với WIRED tin rằng Halliburton đã trở thành nạn nhân của một cuộc tấn công theo kiểu giám sát có chủ đích. "Các giám đốc điều hành được biết đến rộng rãi là những người nắm giữ số dư tiền điện tử lớn thường là mục tiêu hấp dẫn", Guanxing Wen, người đứng đầu bộ phận nghiên cứu bảo mật tại CertiK, cho biết.

Các bữa tối trực tiếp, quần áo đắt tiền, những cọc tiền mặt và những màn phô trương sự giàu có khác là những chiêu trò nhằm tạo sự thoải mái cho Halliburton, các nhà nghiên cứu đưa ra giả thuyết. “Đây là một chiến thuật xây dựng mối quan hệ quen thuộc trong các vụ lừa đảo có giá trị cao,” Wen nói. “Nạn nhân càng dành nhiều thời gian với kẻ tấn công trong một môi trường thoải mái, thì càng khó để phản bác lại yêu cầu kỹ thuật sau này.”

Để hoàn tất vụ trộm, bọn lừa đảo có thể đã phải đánh cắp cụm từ hạt giống (seed phrase) của địa chỉ ví Atomic Wallet mới được Halliburton tạo ra. Chỉ cần có cụm từ hạt giống của ví, bất kỳ ai cũng có thể truy cập không hạn chế vào số bitcoin được lưu trữ bên trong.

Một khả năng là những kẻ lừa đảo, những người đã ấn định địa điểm cho cả hai cuộc gặp ở Amsterdam, đã chiếm quyền kiểm soát hoặc giả mạo mạng Wi-Fi của khách sạn, cho phép chúng thu thập thông tin từ điện thoại của Halliburton. “Những thiết bị đó bạn có thể mua trực tuyến, không vấn đề gì. Tất cả đều có thể đựng vừa trong một vài vali,” Adrian Cheek, nhà nghiên cứu chính tại công ty an ninh mạng Coeus, cho biết. Nhưng Halliburton khẳng định rằng điện thoại của ông chưa bao giờ rời khỏi tay ông, và ông đã sử dụng dữ liệu di động để tải xuống ứng dụng Atomic Wallet, chứ không phải Wi-Fi công cộng.

Theo Wen, lời giải thích hợp lý nhất là những kẻ lừa đảo—có lẽ với sự trợ giúp của một đồng phạm gần đó hoặc một chiếc máy ảnh có khả năng zoom xa—đã ghi lại được cụm từ hạt giống khi nó xuất hiện trên điện thoại của Halliburton vào thời điểm ông tải ứng dụng lần đầu tiên, khi đang ngồi trên ghế sofa tại khách sạn Okura.

Rất lâu trước khi Halliburton chuyển 220.000 đô la bitcoin vào địa chỉ Atomic Wallet của anh ta, những kẻ lừa đảo có thể đã thiết lập một " kịch bản quét ", theo lời Wen, một loại bot tự động được lập trình để rút hết tiền trong ví khi phát hiện ra sự thay đổi lớn về số dư.