Nạn nhân vụ phishing DAI 55 triệu USD năm 2024 kiện Coinbase tại tòa liên bang, cáo buộc sàn từ chối hoàn trả dù đã đóng băng tài sản.
Một cá voi tài sản mã hóa ẩn danh có trụ sở tại Puerto Rico đã đệ đơn kiện Coinbase tại tòa án liên bang San Francisco trong tuần này, cáo buộc sàn giao dịch lớn nhất nước Mỹ từ chối hoàn trả tài sản bị đánh cắp dù đã xác định và đóng băng chúng từ cuối năm 2024. Vụ kiện làm nổi bật một câu hỏi pháp lý ngày càng cấp thiết trong ngành tài sản mã hóa: trách nhiệm của sàn giao dịch tập trung đến đâu khi tài sản bị đánh cắp tìm đến hệ thống của họ?
Các thông tin trong hồ sơ kiện có nhiều điểm tương đồng với một vụ tấn công phishing quy mô lớn xảy ra vào tháng 8 năm 2024, lần đầu được phát hiện bởi điều tra viên on-chain ZachXBT. Trong vụ đó, một người dùng đã mất hơn 55 triệu USD stablecoin DAI sau khi sập bẫy một trang đăng nhập giả mạo DeFi Saver, công cụ quản lý tài sản tài sản mã hóa mà nạn nhân đang sử dụng, được tạo ra bởi nền tảng Inferno Drainer.
Điểm mấu chốt khiến nạn nhân không nhận ra sự giả mạo là tên miền của trang web kết thúc bằng đuôi “.app” thay vì “.com”. Tin tặc lập tức chuyển số DAI qua nhiều ví và bắt đầu rửa tiền thông qua các dịch vụ trộn coin.
Coinbase xác nhận đóng băng tài sản nhưng từ chối hoàn trả
Sau vụ tấn công, nguyên đơn cho biết đã thuê nhiều công ty điều tra on-chain để truy vết dòng tiền. Các điều tra viên cuối cùng lần ra tài sản tại một tài khoản Coinbase, và đến đầu tháng 12 năm 2024, sàn giao dịch xác nhận đã nhận diện được số tài sản và sẽ đóng băng chúng trong thời gian điều tra.
Tuy nhiên, sau hơn một năm rưỡi, nguyên đơn cho biết vẫn chưa nhận lại được tài sản, và Coinbase được cho là tuyên bố sẽ không hoàn trả nếu không có lệnh từ tòa án. Coinbase chưa đưa ra phản hồi chính thức trước thời điểm bài viết được đăng tải.
Lập trường của Coinbase, đóng băng tài sản nhưng chờ lệnh tòa trước khi hoàn trả, phản ánh thế lưỡng nan pháp lý mà các sàn giao dịch tập trung thường xuyên đối mặt. Một mặt, hoàn trả tài sản mà không có lệnh tòa có thể khiến sàn chịu trách nhiệm pháp lý với chủ tài khoản hiện tại. Mặt khác, từ chối hoàn trả khi tài sản đã được xác định rõ ràng là bị đánh cắp lại đặt ra câu hỏi về nghĩa vụ bảo vệ người dùng.
Kết quả của vụ kiện này có thể tạo ra tiền lệ quan trọng, buộc các sàn tập trung phải làm rõ chính sách xử lý tài sản bị đánh cắp, một khoảng trống pháp lý tồn tại dai dẳng trong ngành kể từ khi các vụ tấn công quy mô lớn trở nên phổ biến.
