Chính phủ Hàn Quốc đang tăng tốc siết lại khung pháp lý cho thị trường crypto sau vụ tấn công Upbit cuối tháng 11. Trọng tâm lần này là áp dụng cơ chế “bồi thường không cần xác định lỗi”, một tiêu chuẩn vốn chỉ dành cho ngân hàng và tổ chức thanh toán.
Upbit bị tấn công và khoảng trống pháp lý lộ diện
Vụ hack diễn ra trong 54 phút, từ 4:42 đến 5:36 sáng 27/11, khi hacker rút ra 104,06 tỷ đồng crypto thuộc hệ Solana (khoảng 44,5 tỷ won). Các token thiệt hại nặng nhất gồm BONK, SOL và một số tài sản liên quan.
Upbit phát hiện bất thường lúc 4:42, họp khẩn lúc 5:00, dừng giao dịch Solana lúc 5:27, ngưng toàn bộ giao dịch lúc 8:55, nhưng tới 10:58 mới báo cáo lên cơ quan giám sát tài chính (FSS).
FSS cho biết đang điều tra sự cố nhưng thừa nhận rất khó áp dụng chế tài mạnh vì luật hiện hành thiếu cơ sở để xử phạt. Upbit thì khẳng định đã tự bù toàn bộ tài sản bị mất để người dùng không chịu thiệt và tập trung khoanh vùng rủi ro trước khi báo cáo cơ quan quản lý.
Vấn đề nằm ở chỗ: Crypto hiện không được điều chỉnh trong khung pháp lý giống hệ thống tài chính truyền thống, nên FSS không có quyền buộc các sàn bồi thường bắt buộc, ngay cả khi lỗi không nằm ở phía khách hàng. Rủi ro vận hành, tấn công mạng và thiệt hại người dùng vì thế vẫn nằm trong “vùng xám”.
Sự cố tại Upbit cho thấy vấn đề không chỉ là kỹ thuật bảo mật, mà là một khung pháp lý chưa đủ mạnh để bảo vệ người dùng trước tốc độ biến động của tài sản số. Đây chính là lý do Hàn Quốc buộc phải chuyển sang các biện pháp cứng rắn hơn thay vì chỉ kêu gọi các sàn tự nâng cấp hệ thống.
Hàn Quốc muốn áp dụng cơ chế “bồi thường không cần xác định lỗi”
Ủy ban Dịch vụ Tài chính (FSC) cho biết đang rà soát lại toàn bộ quy định, tiến tới yêu cầu các sàn phải bồi thường thiệt hại khi xảy ra hack hoặc lỗi hệ thống, bất kể nguyên nhân đến từ đâu. Cơ chế này tương tự quy định trong ngân hàng: tổ chức cung cấp dịch vụ phải chịu trách nhiệm tối đa đối với tài sản của khách hàng. Nhưng trong lĩnh vực crypto, tiêu chuẩn này chưa từng được áp dụng.
Trong giai đoạn 2023 – 9/2025, 5 sàn lớn (Upbit, Bithumb, Coinone, Korbit, Gopax) ghi nhận 20 sự cố hệ thống, ảnh hưởng hơn 900 người dùng, tổng thiệt hại 5 tỷ won. Nhiều chuyên gia cảnh báo nếu không có chuẩn bắt buộc, thiệt hại sẽ tiếp tục leo thang.
Việc áp dụng chế độ trách nhiệm nghiêm ngặt sẽ làm tăng đáng kể chi phí tuân thủ, bảo hiểm và quản trị rủi ro của các sàn. Đổi lại, nhà đầu tư cá nhân được bảo vệ ở mức cao hơn rất nhiều. Đây được xem là bước ngoặt quan trọng trong bối cảnh rủi ro tấn công mạng ngày càng tinh vi.
Sửa luật crypto: Tăng chuẩn bảo mật, nâng phạt lên mức “tài chính truyền thống”
Dự thảo luật đang được Quốc hội Hàn Quốc xem xét bao gồm: Tiêu chuẩn bắt buộc về hạ tầng an ninh CNTT, lưu ký tài sản cách biệt, nâng yêu cầu về hệ thống vận hành và nhân sự kỹ thuật, mức phạt tối đa bằng 3% doanh thu hằng năm nếu để xảy ra sự cố, tương tự với tổ chức tài chính.
Hiện tại, mức phạt trần cho các sàn crypto chỉ dừng ở 5 tỷ won, quá thấp so với quy mô thị trường và không đủ sức răn đe.
Sự cố Upbit đã trở thành chất xúc tác để Hàn Quốc đẩy nhanh việc đồng nhất khung giám sát crypto với ngân hàng. Đây có thể trở thành mô hình tham chiếu cho nhiều quốc gia khác, đặc biệt ở thời điểm thị trường bước vào chu kỳ thanh lọc mạnh.
