Nguồn bài viết này: Liên minh An ninh mạng toàn cầu

1. Bối cảnh vụ việc

Vào ngày 23 tháng 4 năm 2026, Tether tuyên bố sẽ hợp tác với Bộ Tài chính Hoa Kỳ và các cơ quan thực thi pháp luật để đóng băng hai địa chỉ USDT trên mạng TRON, với tổng số tiền bị đóng băng khoảng 344 triệu USDT. Ngày hôm sau, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã bổ sung hai địa chỉ này vào thông tin trừng phạt SDN liên quan đến Ngân hàng Markazi, ngân hàng trung ương của Iran và đánh dấu chúng là có liên quan đến các mục tiêu trừng phạt như Lực lượng IRGC-Qods và Hizballah. Hai địa chỉ bị cố định là:

***Địa chỉ: TNiq9AXBp9EjUqhDhrwrfvAA8U3GUQZH81; Chuỗi: TRON/TRC20-USDT; Số tiền bị phong tỏa: khoảng 212.922.653 USDT; Đặc tính công khai hiện tại: OFAC Được đánh dấu là địa chỉ liên quan đến Ngân hàng Trung ương Iran;

Địa chỉ: TTiDLWE6fZK8okMJv6ijg42yrH6W2pjSr9; Chuỗi: TRON/TRC20-USDT; Số tiền bị phong tỏa: khoảng 131.288.800 USDT; Đặc tính công khai hiện tại: OFAC Được đánh dấu là một địa chỉ liên quan đến Ngân hàng Trung ương Iran;

Lý do tại sao sự cố này được Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ mô tả là "địa chỉ liên quan đến chính phủ Iran" không chủ yếu dựa trên một giao dịch trực tuyến mà dựa trên nhiều phán đoán:

Đầu tiên, OFAC ghi trực tiếp hai địa chỉ vào các mục trừng phạt có liên quan của Ngân hàng Trung ương Iran Iran;

Thứ hai, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ và các tổ chức phân tích trên chuỗi tin rằng các địa chỉ này có đường dẫn giao dịch với các sàn giao dịch Iran, ví và địa chỉ trung gian liên quan đến Ngân hàng Trung ương Iran;

Thứ ba, hai địa chỉ này từ lâu đã nhận được số lượng lớn USDT, thực hiện chuyển khoản tần suất thấp và không hoạt động trong một thời gian dài. Đặc điểm hành vi của chúng gần với dự trữ hoặc nhóm vốn ở cấp tổ chức hơn so với ví của người dùng thông thường.

Tuy nhiên, cần phải làm rõ rằng đặc điểm của các biện pháp trừng phạt của OFAC là phán quyết tình báo và pháp lý chính thức, đồng thời bản thân dữ liệu công khai trên chuỗi không thể chứng minh trực tiếp rằng khóa riêng được chính phủ Iran hoặc Ngân hàng Trung ương Iran trực tiếp kiểm soát. Nói cách khác, điều có thể xác nhận hiện tại là “Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã xác định rằng nó có liên quan đến Ngân hàng Trung ương Iran”. Tuy nhiên, không thể kết luận rằng “hai địa chỉ này phải là ví do chính phủ Iran trực tiếp kiểm soát” chỉ dựa trên dữ liệu trên chuỗi công khai.

2. Phân tích chi tiết

2.1 Đặc điểm trên chuỗi của hai địa chỉ bị đóng băng

Từ dữ liệu trên chuỗi, cả hai địa chỉ đều cho thấy các đặc điểm rõ ràng là "dòng vào lớn, tỷ lệ dòng ra thấp và lượng mưa dài hạn". Trong số đó, TNiq9...ZH81 là địa chỉ có số dư lớn hơn, với tổng thu nhập lịch sử khoảng 228,6 triệu USDT, tổng chuyển khoản khoảng 15,73 triệu USDT và tỷ lệ chuyển khoản khoảng 6,9%; TTiDL...Sr9 có số dư bị đóng băng khoảng 131,3 triệu USDT và được thêm vào danh sách đen USDT lúc 12:02 UTC vào ngày 23 tháng 4 năm 2026.

Loại hành vi này không giống như các địa chỉ chuyển tiền tần suất cao thông thường và cũng không giống như ví nóng của sàn giao dịch. Cách hiểu hợp lý hơn là cả hai có thể nằm trong “lớp dự trữ” hay “lớp tích lũy” của một mạng lưới vốn nhất định. Phân tích tổng hợp của TRM Labs về hai địa chỉ cũng tin rằng cả hai đã nhận được tổng cộng khoảng 370 triệu đô la Mỹ và khoảng 1.000 giao dịch. Hầu hết số tiền sẽ được tích lũy trước cuối năm 2023, sau đó sẽ ngủ trong một thời gian dài, giống như một "ví dự trữ" hơn là một ví hoạt động hàng ngày.

2.2 Mối quan hệ giữa hai địa chỉ bị đóng băng

Hai địa chỉ này không tồn tại tách biệt. Phân tích công khai đề cập rằng TTiDL...Sr9 đã chuyển khoảng 8,6 triệu USDT cho TNiq9...ZH81. Giao dịch này cho thấy có mối liên hệ tài chính trực tiếp giữa hai địa chỉ, hỗ trợ cho nhận định rằng chúng thuộc cùng một cơ cấu cấp vốn hoặc cùng một mạng lưới hoạt động.

Nhưng điều này không có nghĩa là "cả hai phải chịu sự kiểm soát trực tiếp của Ngân hàng Trung ương Iran." Một tuyên bố chính xác hơn là: Việc chuyển 8,6 triệu USDT này chứng minh sự tồn tại của mối quan hệ phối hợp quỹ giữa hai bên, nhưng nó không thể chứng minh người kiểm soát khóa riêng trong thế giới thực, cũng như không thể loại trừ khả năng các nhà môi giới bên thứ ba, OTC, người giám sát hoặc phòng thanh toán bù trừ nắm giữ hoặc điều hành thay mặt họ.

2.3 Phân tích các địa chỉ thượng nguồn

Theo bản đồ công khai và phân tích sơ bộ, một số địa chỉ thượng nguồn quan trọng bao gồm:

• Địa chỉ: TD2BiYkihphjrK35YQy1QGxGotSo86vVnk; Đánh giá vai trò: Nhà tài trợ chính thượng nguồn; Mối quan hệ với các địa chỉ bị đóng băng: Nguồn vốn cấp khoảng 29M / 30M; Kết luận: Đó có thể là quỹ đầu tư thượng nguồn, nhà môi giới hoặc địa chỉ lưu ký;

Địa chỉ: TZ3xL5jeBXyo8jPDvh2veBtJZCJozHq81t; Đánh giá vai trò: Nhà tài trợ chính thượng nguồn; Mối quan hệ với địa chỉ bị đóng băng: Nguồn vốn cấp khoảng 16,5 triệu; Kết luận: Với Funder-001 Cấu thành cùng một đợt đường dẫn bơm vốn;

→Địa chỉ: TYkdG6k1987mkfU5ZzYf9ZK3xi989jNMPJ; Đánh giá vai trò: Nhà tài trợ thứ cấp; mối quan hệ với địa chỉ bị đóng băng: số lượng nhỏ; kết luận: có ý nghĩa hỗ trợ chứng minh cơ cấu quỹ chung;

·Địa chỉ: TGzGetNjyDNv4ByMaLwPqG3U8tskNwQsbL; đánh giá vai trò: Nhà tài trợ thứ cấp; mối quan hệ với địa chỉ bị đóng băng: số lượng nhỏ; kết luận: giống một cạnh hoặc địa chỉ kiểm tra ngược dòng hơn;

·Địa chỉ: TCXfhTDMuS6pbfCEoACPcBf2EnnhMAAEWh; phán đoán vai trò: Trung tâm trung chuyển chính; mối quan hệ với địa chỉ bị đóng băng: lưu lượng truy cập toàn diện khoảng 274,6 triệu USDT; kết luận: giống nút thanh toán bù trừ/chuyển tuyến hơn;

Trong số đó, Funder-001 và Funder-002 có ý nghĩa nhất. Chúng không bị phân mảnh vào tài khoản của các nhà đầu tư bán lẻ, nhưng số lượng lớn hơn và tập trung nhiều hơn vào cùng một cấu trúc quỹ, cho thấy rằng các địa chỉ bị đóng băng có thể được kết nối với các nguồn tài trợ cấp tổ chức, nhà môi giới OTC, mạng lưới lưu ký hoặc thanh toán bù trừ đa địa chỉ. Funder-001 và Funder-002 không thể được viết đơn giản là "địa chỉ của chính phủ Iran". Một tuyên bố nghiêm ngặt hơn là "địa chỉ bị nghi ngờ là nguồn gốc của một lượng lớn tiền thượng nguồn, có thể đại diện cho bên cung hoặc bên môi giới của mạng lưới vốn liên quan của Iran."

Ngoài ra, chìa khóa Hub TCXfh...AEWh đáng được quan tâm hơn. Địa chỉ này được mô tả là nút kênh quỹ số lượng lớn, xử lý lưu lượng toàn diện khoảng 274,6 triệu USDT, với số dư gần bằng 0, cho thấy đặc điểm chuyển tiền là “đi qua nhưng không nắm giữ lâu dài”. Điều này cho thấy toàn bộ cấu trúc quỹ có thể không phải là một "ví lạnh của Ngân hàng Trung ương Iran" đơn giản, mà giống như:

Nguồn/nhà môi giới quỹ ngược dòng → Ví thu thập → Ví hoạt động → Trung tâm thanh toán bù trừ → Sàn giao dịch, cầu nối chuỗi, DeFi hoặc đường dẫn thanh toán khác

Cấu trúc này phù hợp hơn với mạng lưới kết hợp giữa "quỹ liên quan đến nhà nước + cơ sở hạ tầng tài chính của bên thứ ba + tài khoản biên của sàn giao dịch" thay vì một mô hình ví chính phủ duy nhất.

Đồng thời, theo dữ liệu từ trang web chính thức của Bộ Tài chính Hoa Kỳ, có tổng cộng 9 địa chỉ tiền điện tử TRON liên quan đến Iran được đánh dấu rõ ràng trong danh sách SDN. Dựa trên điều này, phân tích này đã xây dựng một thư viện tham chiếu địa chỉ bị xử phạt bao gồm 7 thực thể đã biết như sàn giao dịch ZEDCEX và tiến hành so sánh chặt chẽ 45 đối tác hợp lệ (17 đối tác được liên kết với TARGET và 28 đối tác được liên kết với TNiq9) của các địa chỉ kép bị xử phạt:

Trong xác minh "bước đầu tiên" của các đối tác trực tiếp, dữ liệu cho thấy rằng ngoại trừ TARGET và TNiq9 Ngoại trừ chuyển tiền nội bộ giữa họ, không bên nào có tương tác trực tiếp với bất kỳ địa chỉ Iran nào trong tham chiếu cơ sở dữ liệu.

Trong thử nghiệm truy xuất nguồn gốc "Hop-2" được thiết kế để phát hiện các kết nối ẩn, phạm vi điều tra còn bao gồm các giao dịch ngược dòng và xuôi dòng của tất cả các đối tác trực tiếp. Kết quả theo dõi trên chuỗi cho thấy không có khoản tiền nào được phát hiện có liên hệ với các địa chỉ trừng phạt Iran đã biết trong phạm vi bước nhảy thứ hai của tất cả các trung tâm vốn thượng nguồn có liên quan (chẳng hạn như TCXfh...) và các điểm đến hạ nguồn.

2.4 Hiện tại không thể chứng minh rõ ràng rằng địa chỉ này do chính phủ Iran trực tiếp kiểm soát

Tổng hợp lại, thông tin công khai hiện tại có thể hỗ trợ cho các nhận định sau:

Đầu tiên, hai địa chỉ đã được OFAC chính thức đánh dấu là địa chỉ liên quan đến Ngân hàng Trung ương Iran;

Thứ hai, hoạt động của hai địa chỉ trên chuỗi có đặc điểm của một quỹ dự trữ lớn;

Thứ ba, hai địa chỉ được kết nối với nhiều địa chỉ Các nhà tài trợ ngược dòng và chuyển giao chính. Có sự kết nối tài chính giữa Hub và địa chỉ biên của sàn giao dịch;

Thứ tư, có sự chuyển khoản trực tiếp 8,6 triệu USDT giữa hai địa chỉ.

Tuy nhiên, vẫn còn những thiếu sót rõ ràng trong thông tin công khai: không có tài liệu điều tra đầy đủ nào được tiết lộ, không có bằng chứng công khai nào về người kiểm soát khóa riêng, không có bằng chứng nào cho thấy địa chỉ của Nhà tài trợ ngược dòng là địa chỉ của chính phủ Iran và không có khả năng tham gia của các nhà môi giới bên thứ ba, OTC, người giám sát, tài khoản biên trao đổi hoặc mạng thanh toán bù trừ kết hợp.

Hai địa chỉ này không hoạt động giống như ví IRGC thông thường; họ có sự tiếp xúc hỗn hợp với cơ sở hạ tầng giao dịch như Bitfinex, HTX, Huione, v.v. và được cho là có sự chồng chéo với các luồng liên quan đến lừa đảo. Những yếu tố này làm suy yếu câu chuyện đơn giản về “đây là một địa chỉ dự trữ sạch sẽ, khép kín, chỉ thuộc về chính phủ Iran”.

Do đó, báo cáo này khuyến nghị mô tả đặc điểm thận trọng hơn:

Hai địa chỉ này có thể được mô tả là "địa chỉ liên quan của ngân hàng trung ương Iran được OFAC xác định" hoặc "địa chỉ dự trữ/tích lũy đáng ngờ trong các mạng tài trợ liên quan đến Iran", nhưng sẽ không thích hợp nếu nêu trực tiếp chúng là "địa chỉ ví được xác nhận là do chính phủ Iran trực tiếp kiểm soát".

3. Phân tích tác động

3.1 Tác động đến Stablecoin

Sự cố này một lần nữa cho thấy các stablecoin tập trung như USDT không phải là tài sản hoàn toàn có khả năng chống kiểm duyệt. Mặc dù USDT chạy trên chuỗi công khai nhưng các nhà phát hành vẫn có thể đưa vào danh sách đen và đóng băng các địa chỉ cụ thể ở cấp độ hợp đồng. Do đó, USDT chính xác hơn là sự kết hợp giữa “chứng chỉ USD trên chuỗi + kiểm soát tuân thủ của nhà phát hành” thay vì tiền mặt hoàn toàn không thể đóng băng trên chuỗi.

Điều này sẽ có tác động kép: một mặt, các cơ quan tuân thủ và cơ quan quản lý sẽ công nhận nhiều hơn về khả năng quản lý của stablecoin; mặt khác, những người dùng nhấn mạnh đến khả năng phân quyền và chống kiểm duyệt sẽ đánh giá lại nguy cơ đóng băng của các stablecoin tập trung.

3.2 Tác động đến hệ sinh thái chuỗi công cộng

Cả hai địa chỉ bị đóng băng đều nằm trên mạng TRON, cho thấy rằng TRON, với tư cách là mạng chuyển USDT có mức phí thấp, tính thanh khoản cao, đã trở thành trọng tâm của việc giám sát trên chuỗi và thực thi pháp luật. Trong tương lai, việc giám sát sẽ không chỉ tập trung vào chính chuỗi công khai mà còn chú ý nhiều hơn đến các nhà phát hành, sàn giao dịch, OTC, cầu nối chuỗi chéo, nhà cung cấp dịch vụ ví, nhà cung cấp dịch vụ dữ liệu trên chuỗi và các kênh gửi và rút tiền hợp pháp.

Điều này có nghĩa là mặc dù chuỗi công khai vẫn trung lập về mặt kỹ thuật, nhưng tài sản, lối vào, xuất khẩu và nhà cung cấp dịch vụ trên đó sẽ bị ảnh hưởng bởi các quy định và địa chính trị trong thế giới thực.

3.3 Tác động đến ngành tuân thủ và kiểm soát rủi ro trên chuỗi

Sự cố này cho thấy rằng việc chỉ kiểm tra "xem nó có lọt vào danh sách đen hay không" là không đủ. Kiểm soát rủi ro thực sự hiệu quả đòi hỏi sự kết hợp của chân dung địa chỉ, đường dẫn dòng vốn, rủi ro nhiều bước, thẻ trao đổi, cụm OTC, trạng thái đóng băng của stablecoin và mô hình hành vi địa chỉ.

Trong tương lai, hệ thống tuân thủ trên chuỗi sẽ không chỉ cần trả lời "Địa chỉ này có nằm trong danh sách OFAC" mà còn phải xác định:

Địa chỉ này cách địa chỉ có rủi ro cao bao nhiêu bước nhảy?

Bạn có bất kỳ liên hệ nào với các tổ chức bị trừng phạt, địa chỉ tiền gửi trao đổi, cầu nối chuỗi chéo hoặc OTC xám không?

Có những mô hình bất thường như gửi tiền lớn, rút ​​tiền với tần suất thấp, không hoạt động trong thời gian dài và chuyển khoản đột ngột không?

Do đó, việc lập hồ sơ địa chỉ, theo dõi dòng tiền, chấm điểm rủi ro nhiều bước và giám sát đóng băng stablecoin sẽ trở thành khả năng cốt lõi của các sản phẩm kiểm soát rủi ro Web3.

3.4 Tác động đến hệ thống quản lý

Các biện pháp trừng phạt truyền thống chủ yếu dựa vào các ngân hàng, SWIFT, ngân hàng thanh toán bù trừ và tổ chức tài chính để thực thi, nhưng vụ việc này cho thấy các nhà phát hành stablecoin đang trở thành một phần của chuỗi thực thi lệnh trừng phạt. Một mô hình giám sát trên chuỗi mới có thể được hình thành trong tương lai:

Danh sách xử phạt OFAC + công ty phân tích trên chuỗi + nhà phát hành stablecoin + sàn giao dịch + nhà cung cấp dịch vụ ví

Cơ chế này mang tính tức thời hơn hệ thống ngân hàng truyền thống vì dữ liệu trên chuỗi là mở, có thể truy nguyên và có thể được giám sát tự động. Nhưng nó cũng sẽ gây ra những vấn đề như thương tích do tai nạn, quy kết hộp đen và cơ chế kháng cáo không đầy đủ.

3.5 Tác động đến người dùng thông thường và doanh nghiệp

Đối với người dùng thông thường, việc kiểm soát khóa riêng không có nghĩa là bảo mật tuyệt đối tài sản. Đối với các stablecoin tập trung như USDT và USDC, ngay cả khi khóa riêng không bị rò rỉ, mã thông báo vẫn có thể bị đóng băng ở cấp hợp đồng vì lý do tuân thủ.

Đối với các doanh nghiệp, khi chấp nhận thanh toán USDT, họ không chỉ nên kiểm tra xem tiền đã đến tài khoản hay chưa mà còn phải kiểm tra xem nguồn tiền có sạch hay không. Nếu khoản thanh toán đến từ địa chỉ bị xử phạt, địa chỉ lừa đảo, địa chỉ của hacker hoặc OTC có rủi ro cao, bạn có thể gặp phải các rủi ro như sàn giao dịch từ chối gửi tiền, kiểm soát rủi ro tài khoản, đóng băng tiền và điều tra tuân thủ.

Nguồn báo cáo chuyên sâu: Liên minh an ninh mạng toàn cầu

Bài viết này là từ một bài gửi và không thể hiện quan điểm của BlockBeats