Chấn động lớn trong lĩnh vực lưu ký tiền điện tử! Nhật Bản DMM bị tấn công mạng, thiệt hại 312 triệu yên, dự kiến bắt buộc đăng ký vào năm 2026

日本金融廳（FSA） xem xét bắt buộc các nhà cung cấp dịch vụ quản lý và giao dịch tiền điện tử phải đăng ký với cơ quan quản lý, nhóm công tác đã thảo luận về vấn đề này vào ngày 7 tháng 11, dự kiến hạn chế các sàn giao dịch chỉ sử dụng các nhà cung cấp dịch vụ đã đăng ký. Động thái này xuất phát từ vụ DMM Bitcoin bị hacker tấn công vào năm 2024, trong đó khoảng 48.2 tỷ yên Nhật (khoảng 312 triệu USD) Bitcoin bị đánh cắp, điểm xâm nhập của hacker được xác nhận là nhà thầu phụ Ginco.

DMM bị hacker lấy đi 312 triệu USD thúc đẩy cuộc cách mạng về quản lý

Báo Nikkei ngày 7 tháng 11 đưa tin, một nhóm công tác thuộc Ủy ban Hệ thống Tài chính của cơ quan tư vấn Thủ tướng Nhật Bản đã thảo luận về quy định mới về quản lý tiền điện tử. Nguyên nhân trực tiếp của cuộc thảo luận là vụ tấn công hacker vào Bitcoin của DMM vào năm 2024, gây chấn động cộng đồng tiền điện tử Nhật Bản. Khoảng 48.2 tỷ yên Nhật (khoảng 312 triệu USD) Bitcoin đã bị đánh cắp trong vụ việc này, trở thành một trong những sự cố an ninh nghiêm trọng nhất trong lịch sử tiền điện tử Nhật Bản.

Điều đáng chú ý hơn nữa là điểm xâm nhập của hacker. Điều tra cho thấy, kẻ tấn công không trực tiếp xâm nhập hệ thống của sàn giao dịch Bitcoin DMM, mà thông qua nhà thầu phụ của họ — công ty phần mềm Ginco đặt tại Tokyo — để xâm nhập vào hệ thống. DMM đã giao quản lý giao dịch của mình cho Ginco, và hệ thống của Ginco tồn tại lỗ hổng bảo mật, trở thành điểm yếu nhất trong chuỗi an ninh. Mô hình tấn công theo chuỗi cung ứng này đã phơi bày những thiếu sót chết người trong hệ thống quản lý tiền điện tử hiện tại.

Theo quy định hiện hành, các sàn giao dịch tiền điện tử phải quản lý nghiêm ngặt các khoản tiền gửi, bao gồm lưu trữ tài sản của người dùng trong ví lạnh. Sau vụ hacker tấn công Coincheck năm 2017 lấy đi 530 triệu USD, Nhật Bản đã xây dựng một khung pháp lý quản lý sàn giao dịch nghiêm ngặt nhất thế giới. Tuy nhiên, theo báo Nikkei, hiện chưa có quy định tương tự về các nhà cung cấp dịch vụ thứ ba hợp tác với sàn giao dịch. Kẽ hở quản lý này chính là nguyên nhân dẫn đến vụ việc của DMM.

Bài học từ vụ DMM là rất đắt giá. Ngay cả khi sàn giao dịch tuân thủ đầy đủ các quy định an toàn, lưu trữ tài sản trong ví lạnh và thực hiện đa chữ ký, nhưng nếu nhà cung cấp dịch vụ thứ ba mà họ phụ thuộc có lỗ hổng, tất cả các biện pháp phòng vệ đều có thể vô hiệu. Hacker không cần xâm nhập trực tiếp hệ thống cốt lõi của sàn, mà chỉ cần tìm ra điểm yếu trong chuỗi cung ứng. Mô hình tấn công này trong an ninh mạng gọi là “tấn công chuỗi cung ứng”, gần đây cũng ngày càng phổ biến trong lĩnh vực tài chính truyền thống và công nghệ.

Hầu hết các thành viên nhóm công tác sau thảo luận đều ủng hộ hệ thống mới đề xuất, đồng thời kêu gọi làm rõ hơn nữa quy định về quản lý tài sản kỹ thuật số. Sự đồng thuận cao này thể hiện mức độ chấn động của vụ DMM đối với cơ quan quản lý Nhật Bản. Khi một sự kiện đơn lẻ gây thiệt hại 312 triệu USD, các nhà quản lý có lý do chính đáng để hành động quyết đoán nhằm khắc phục các lỗ hổng hệ thống.

Nội dung cốt lõi của hệ thống đăng ký quản lý tiền điện tử

FSA dự kiến bắt buộc các nhà cung cấp dịch vụ quản lý và giao dịch phải đăng ký với cơ quan quản lý, đồng thời yêu cầu các sàn chỉ sử dụng hệ thống của các nhà cung cấp đã đăng ký. Báo cáo cho biết, mục đích của biện pháp này là để giải quyết các lỗ hổng bảo mật có thể dẫn đến trộm cắp hoặc lỗi hệ thống. Cốt lõi của hệ thống này là đưa các nhà cung cấp dịch vụ thứ ba vào cùng khung quản lý như các sàn, nhằm loại bỏ các khoảng trống về quản lý.

Hệ thống đăng ký dự kiến sẽ bao gồm các yêu cầu chính sau đây. Tiêu chuẩn vốn tối thiểu đảm bảo các nhà cung cấp dịch vụ có đủ năng lực tài chính để chịu đựng tổn thất tiềm năng, và có khả năng bồi thường cho khách hàng trong trường hợp xảy ra sự cố an ninh. Nghĩa vụ kiểm toán an ninh định kỳ yêu cầu các nhà cung cấp phải kiểm toán độc lập, nộp báo cáo kiểm thử xâm nhập và kết quả rà soát mã nguồn, chứng minh hệ thống đáp ứng các tiêu chuẩn an toàn tối thiểu. Yêu cầu bảo hiểm bắt buộc mua bảo hiểm an ninh mạng và bảo hiểm tài sản quản lý, nhằm bảo vệ người dùng trong trường hợp bị hacker tấn công hoặc hệ thống gặp sự cố.

Tiêu chuẩn kỹ thuật quy định về độ mạnh của thuật toán mã hóa, phương pháp tạo và lưu trữ khóa riêng, yêu cầu đa chữ ký, tỷ lệ phân chia ví lạnh và ví nóng, cùng các chi tiết kỹ thuật khác. Nghĩa vụ báo cáo định kỳ yêu cầu gửi báo cáo hàng quý hoặc hàng năm cho FSA, tiết lộ quy mô tài sản quản lý, các sự cố an ninh, tình trạng nâng cấp hệ thống và các thông tin liên quan. Cơ chế xử phạt vi phạm quy định bao gồm phạt tiền, tạm ngưng hoạt động và truy cứu hình sự đối với các nhà cung cấp không đăng ký hoặc vi phạm, đồng thời xử phạt các sàn sử dụng dịch vụ không đăng ký.

Dự kiến khung yêu cầu đăng ký

Vốn tối thiểu: yêu cầu vốn đăng ký tối thiểu và vốn duy trì

Kiểm toán an ninh: báo cáo kiểm toán độc lập hàng năm và kiểm thử xâm nhập

Bảo hiểm: bắt buộc mua bảo hiểm an ninh mạng và bảo hiểm tài sản quản lý

Tiêu chuẩn kỹ thuật: quy định về độ mạnh mã hóa, quản lý khóa riêng, đa chữ ký và các tiêu chuẩn khác

Báo cáo định kỳ: gửi báo cáo về quy mô quản lý và các sự cố an ninh cho FSA

Xử phạt vi phạm: phạt tiền, tạm ngưng hoạt động và truy cứu hình sự

Nếu thực thi, khung quản lý toàn diện này sẽ biến Nhật Bản trở thành một trong những quốc gia có mức độ quản lý dịch vụ quản lý tiền điện tử nghiêm ngặt nhất toàn cầu. Trong khi đó, Mỹ và châu Âu dù cũng đang tăng cường quản lý, nhưng chủ yếu tập trung vào các sàn giao dịch, còn việc quản lý các dịch vụ quản lý thứ ba vẫn còn khá lỏng lẻo.

Báo cáo cho biết, FSA dự kiến sớm soạn thảo báo cáo dựa trên các cuộc thảo luận này và dự kiến trình sửa đổi Luật Công cụ Tài chính và Giao dịch trong kỳ họp Quốc hội năm 2026. Điều này có nghĩa là các quy định mới có thể có hiệu lực chính thức vào nửa cuối năm 2026 hoặc đầu năm 2027. Quá trình từ thảo luận đến lập pháp thường mất từ 12 đến 18 tháng, tạo thời gian chuẩn bị cho các nhà cung cấp dịch vụ hiện tại.

Ảnh hưởng dây chuyền đến ngành công nghiệp quản lý tiền điện tử toàn cầu

Sáng kiến quản lý của Nhật Bản có thể gây ra phản ứng dây chuyền toàn cầu. Là thị trường tiền điện tử lớn thứ ba thế giới (sau Mỹ và Trung Quốc), chính sách quản lý của Nhật thường trở thành mẫu tham khảo cho các quốc gia khác. Sau vụ Coincheck bị hacker tấn công năm 2017, hệ thống quản lý sàn giao dịch nghiêm ngặt của Nhật đã được Hàn Quốc, Singapore và nhiều quốc gia khác học hỏi. Quy định mới về dịch vụ quản lý thứ ba này dự kiến cũng sẽ tạo ra hiệu ứng mẫu mực tương tự.

Đối với các nhà cung cấp dịch vụ quản lý tiền điện tử toàn cầu, rào cản gia nhập thị trường Nhật Bản sẽ tăng đáng kể. Các công ty phần mềm nhỏ như Ginco nếu không đáp ứng được yêu cầu đăng ký sẽ buộc phải rút khỏi thị trường hoặc đầu tư lớn vào tuân thủ. Hiệu ứng loại bỏ này, dù sẽ làm tăng chi phí ngành trong ngắn hạn, nhưng về lâu dài sẽ nâng cao trình độ chuyên môn và tiêu chuẩn an toàn của toàn ngành quản lý.

Các nhà cung cấp dịch vụ quản lý lớn như BitGo, Fireblocks có thể sẽ là những người hưởng lợi lớn nhất từ sự thay đổi quản lý này. Những công ty đã xây dựng hệ thống tuân thủ và an ninh vững chắc tại châu Âu và Mỹ, với chi phí gia nhập thị trường Nhật Bản tương đối thấp. Trong khi đó, các nhà cung cấp nhỏ thiếu vốn và công nghệ sẽ đối mặt với nguy cơ tồn tại.

Đối với các sàn giao dịch tiền điện tử Nhật Bản, quy định mới này sẽ buộc họ phải đánh giá lại các phương án quản lý tài sản hiện tại. Nếu nhà cung cấp dịch vụ hiện tại không thể được đăng ký, sàn sẽ phải tìm giải pháp thay thế, có thể liên quan đến di chuyển hệ thống, đàm phán lại hợp đồng và rủi ro gián đoạn hoạt động. Tuy nhiên, về dài hạn, quy định này sẽ nâng cao an toàn tổng thể của các sàn, giảm thiểu thiệt hại do lỗ hổng của bên thứ ba gây ra.

Song song đó, Bộ Tài chính Nhật Bản đang thúc đẩy nhanh kế hoạch phát hành stablecoin nội địa. Tháng trước, Bộ đã phê duyệt đồng stablecoin gắn với yên Nhật đầu tiên là JPYC, sau đó nhanh chóng ra mắt. Tuần trước, cơ quan này công bố hỗ trợ một dự án thử nghiệm stablecoin liên quan đến ba ngân hàng lớn của Nhật Bản — Mizuho, Mitsubishi UFJ Financial Group và Sumitomo Mitsui Banking Corporation. Chiến lược mở rộng quản lý này cho thấy Nhật Bản đang tìm cách cân bằng giữa đổi mới và an toàn.

Xét theo xu hướng quản lý toàn cầu, sáng kiến của Nhật có thể trở thành tiêu chuẩn mới. Khung pháp lý MiCA của EU dù toàn diện, nhưng yêu cầu cụ thể về dịch vụ quản lý thứ ba vẫn chưa đủ chi tiết. Các quy định của Mỹ còn phân tán hơn, các tiểu bang có tiêu chuẩn riêng. Nếu hệ thống đăng ký của Nhật chứng minh hiệu quả, nhiều quốc gia khác có thể sẽ theo chân, hình thành tiêu chuẩn toàn cầu về dịch vụ quản lý tiền điện tử.

Đối với các doanh nghiệp trong ngành quản lý tiền điện tử, đây là cơ hội để chuẩn bị trước. Những nhà cung cấp có thể đáp ứng yêu cầu đăng ký của Nhật sớm nhất sẽ có lợi thế không chỉ tại thị trường Nhật Bản mà còn trong việc mở rộng ra các quốc gia khác áp dụng quy định tương tự trong tương lai. Đầu tư vào hạ tầng an toàn, hệ thống tuân thủ và bảo hiểm sẽ trở thành lợi thế cạnh tranh trong bối cảnh quản lý ngày càng chặt chẽ.