Chương 5: DDoS & Vu Khống

Chương trước Chương sau

Ba giờ hai mươi bảy phút sáng thứ Tư, điện thoại Kiệt rung liên tục trên đầu giường. Anh mở mắt, nhìn màn hình — mười bảy cuộc gọi nhỡ từ Hoàng, kỹ sư DevOps của PayBlock, và bốn mươi ba tin nhắn Telegram từ group nội bộ. Tin nhắn đầu tiên, gửi lúc ba giờ mười một: "SERVER DOWN. ALL NODES UNRESPONSIVE. DDOS CONFIRMED."

Kiệt ngồi bật dậy, mở laptop ngay trên giường. SSH vào server monitor — connection timeout. Thử lại — timeout. Anh chuyển sang VPN backup rồi vào CloudWatch dashboard trên AWS. Biểu đồ traffic hiện ra như một bức tường đỏ: lưu lượng truy cập vọt từ mức bình thường ba nghìn request mỗi giây lên hai triệu rưỡi request mỗi giây trong vòng bốn phút. DDoS volumetric attack — loại tấn công dùng botnet khổng lồ nhồi nhét traffic giả vào server cho đến khi bandwidth bão hoà.

Kiệt gọi Hoàng. "Report chi tiết."

"Anh ơi, cả bốn node validator đều sập," giọng Hoàng run, nghe rõ tiếng gõ bàn phím phía sau. "Load balancer chịu không nổi. Cloudflare DDoS protection bị bypass — bọn nó dùng kỹ thuật slowloris kết hợp với SYN flood, attack vector rất chuyên nghiệp. Không phải script kiddie, đây là thuê dịch vụ DDoS-for-hire cấp enterprise."

"Có trace được IP nguồn không?"

"Phân tán qua proxy chain, nhưng có một cluster lớn từ một dải IP thuộc về một hosting provider ở Campuchia. Em đang làm forensics."

Kiệt tắt máy, mặc áo khoác lên, chạy xe máy đến văn phòng trên Duy Tân. Ba giờ năm mươi sáng — đường phố Hà Nội gần như trống không, chỉ có vài chiếc xe tải đầu kéo và những chiếc taxi Grab chạy lác đác. Gió đêm lạnh quất vào mặt anh, nhưng anh không cảm nhận được — đầu óc đang chạy với tốc độ của bộ xử lý overclock.

Đến văn phòng, Hoàng và Tuấn — kỹ sư backend — đã có mặt. Màn hình monitor treo tường hiện dashboard đỏ lòm: uptime 0%, error rate 100%, user complaints trên email support: hai trăm bốn mươi bảy và đang tăng.

Kiệt ngồi vào bàn, mở terminal, bắt đầu viết rules cho iptables và cấu hình lại Cloudflare WAF. Trong bốn mươi phút, anh thiết lập hệ thống rate limiting mới, filter traffic theo pattern, và reroute qua một CDN backup mà anh đã chuẩn bị từ trước — không phải vì anh dự đoán DDoS, mà vì thói quen của một kỹ sư từng xử lý sự cố server cho PayViet suốt ba năm.

Năm giờ mười lăm sáng, server bắt đầu hồi phục. Traffic giả giảm dần khi hệ thống filter bắt đầu hoạt động. Đến sáu giờ, PayBlock online trở lại — nhưng thiệt hại đã xong: một nghìn hai trăm giao dịch bị gián đoạn, tám mươi bảy merchant báo lỗi thanh toán, và ba trăm sáu mươi người dùng đã post complaint trên Facebook group "PayBlock Vietnam Users."

Kiệt chưa kịp thở thì Linh gọi. Sáu giờ mười lăm sáng.

"Anh đọc VnExpress chưa?" giọng cô sắc, nhưng không hoảng.

Kiệt mở trình duyệt, gõ VnExpress. Bài báo nằm ngay trang chủ mục Công nghệ, đăng lúc năm giờ ba mươi: "PayBlock bị tố sử dụng mã nguồn ăn cắp từ PayViet — CEO PayViet cung cấp bằng chứng."

Tim Kiệt đập mạnh một nhịp rồi chậm lại. Anh click vào bài.

Nội dung: Trần Đức Anh — CEO PayViet — tuyên bố Phạm Tuấn Kiệt đã "lấy trộm toàn bộ mã nguồn lõi của PayViet khi rời công ty" và sử dụng nó để xây dựng PayBlock. Bài báo kèm theo ảnh chụp màn hình hai đoạn code được cho là "giống nhau đến chín mươi phần trăm," cùng với phát biểu của luật sư Nguyễn Hoàng Phúc: "Chúng tôi đã gửi đơn tố cáo đến Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an."

Kiệt nhìn ảnh chụp code. Anh nhận ra ngay: đoạn code mà Đức Anh gọi là "mã nguồn PayViet" thực ra là code mà chính Kiệt đã viết từ năm 2023 — trước khi PayViet ra đời — và đã push lên GitHub personal repo. Đức Anh đang dùng chính code của Kiệt để vu khống rằng Kiệt ăn cắp code của PayViet.

"Bài báo này có quote từ hai 'chuyên gia bảo mật' giấu tên xác nhận mã nguồn giống nhau," Linh nói qua điện thoại. "Tôi check rồi — hai người này không tồn tại trong bất kỳ hội nghị bảo mật nào ở Việt Nam. Đức Anh bịa ra chuyên gia."

"Tôi biết," Kiệt đáp. "Code đó là của tôi. Tôi viết từ trước khi có PayViet. Commit history trên GitHub và timestamp trên blockchain chứng minh được."

"Vấn đề không phải chứng minh," Linh nói, giọng cô lạnh hơn. "Vấn đề là perception. Google Play Store vừa gửi email thông báo PayBlock bị gỡ khỏi store do nhận được DMCA takedown notice từ PayViet. Apple App Store cũng vậy — pending review, ước tính bảy mươi hai tiếng."

Kiệt nhắm mắt lại, hai tay nắm chặt mép bàn. App bị gỡ nghĩa là hai trăm nghìn người dùng hiện tại không thể cập nhật, không thể tải lại nếu xoá, và người dùng mới không thể đăng ký. Bảy mươi hai tiếng — ba ngày — đủ để mất một phần ba user base.

"Có thêm thông tin xấu nữa," Linh tiếp tục. "Sáng nay, ba merchant lớn nhất của PayBlock — chuỗi cà phê Aha, siêu thị Winmart Express chi nhánh Cầu Giấy, và nhà sách Fahasa Xuân Thuỷ — đã gửi email yêu cầu tạm ngưng hợp đồng thanh toán. Lý do: 'lo ngại về tính pháp lý của nền tảng.'"

Kiệt mở inbox — đúng vậy. Ba email, cùng template, gửi trong khoảng từ năm giờ đến năm giờ ba mươi sáng. Ai đó đã liên hệ với các merchant này từ đêm qua — phối hợp nhịp nhàng với DDoS và bài báo vu khống. Một chiến dịch tấn công có tổ chức.

"Đức Anh chơi lớn," Kiệt nói.

"Hắn đang chuẩn bị gọi Series B," Linh đáp. "Năm mươi tỷ từ một quỹ ngoại. PayBlock là đối thủ trực tiếp. Hắn cần giết PayBlock trước khi nhà đầu tư ngoại due diligence — nếu họ phát hiện có một sản phẩm tốt hơn PayViet trên thị trường, deal sẽ sụp."

Đến trưa, tình hình trở nên tồi tệ hơn. Báo Tuổi Trẻ Online đăng bài follow-up: "Cựu CTO PayViet bị tố đánh cắp tài sản trí tuệ — chuyên gia cảnh báo người dùng PayBlock." Bài viết dẫn lời một "luật sư sở hữu trí tuệ" cho rằng người dùng PayBlock nên "rút tiền ra khỏi ví trước khi app bị đóng vĩnh viễn."

Hậu quả lập tức: trong hai tiếng sau khi bài báo đăng, bốn nghìn người dùng rút tiền khỏi ví PayBlock. Tổng giá trị rút: sáu tỷ đồng. Dashboard tài chính hiện số dư ví hệ thống giảm mười bảy phần trăm.

Kiệt ngồi trong phòng họp, trước mặt là Hoàng, Tuấn, và ba kỹ sư còn lại. Mọi người im lặng. Trên tường, ba màn hình TV hiện ba thứ: dashboard server đang nhấp nháy vàng, trang VnExpress với bài vu khống, và Facebook group PayBlock Users đang tràn ngập comment phẫn nộ.

"Chúng ta có bảy mươi hai tiếng," Kiệt nói. "Bảy mươi hai tiếng trước khi Google Play xét lại DMCA. Trong bảy mươi hai tiếng đó, Đức Anh sẽ tiếp tục tung bài báo, tiếp tục contact merchant, và có thể sẽ có thêm một đợt DDoS nữa."

Anh đứng dậy, viết lên whiteboard: "1. Forensics — trace DDoS về nguồn. 2. Counter-DMCA — chuẩn bị hồ sơ chứng minh quyền sở hữu code. 3. Server hardening — chuẩn bị cho đợt tấn công tiếp theo."

"Và thứ tư," Linh bước vào phòng họp — Kiệt không biết cô đến từ lúc nào. Cô đặt iPad lên bàn, mở một danh sách. "PR crisis management. Tôi đã gọi cho đội truyền thông của Hà Phong Holdings. Chiều nay sẽ có bài phỏng vấn anh trên CafeF và báo Đầu Tư — câu chuyện thật về sự phản bội co-founder. Đồng thời, luật sư của VinaTech sẽ gửi thư cảnh báo đến VnExpress và Tuổi Trẻ yêu cầu gỡ bài hoặc đăng đính chính trong hai mươi tư giờ, theo Luật Báo chí."

Kiệt nhìn cô — blazer đen, mắt sắc, không một dấu hiệu hoảng loạn. Giữa cơn bão, cô đứng như một cây cột thép, và bắt đầu ra lệnh.

"Anh lo phần kỹ thuật," Linh nói, mắt nhìn thẳng vào Kiệt. "Tôi lo phần chiến trường còn lại. Bảy mươi hai tiếng — chúng ta sẽ vượt qua."

Kiệt gật đầu. Lần đầu tiên kể từ khi PayBlock ra đời, anh không cảm thấy mình đang chiến đấu một mình.

Chương trước Chương sau
Home Trước Sau
Danh sách chương
Chương 1: Bị Đuổi Khỏi Startup Chương 2: Nữ Chủ Tịch Quỹ Đầu Tư Chương 3: Thử Thách Hackathon Chương 4: PayBlock Ra Đời Chương 5: DDoS & Vu Khống Chương 6: Ngân Hàng Nhà Nước Vào Cuộc Chương 7: Chứng Cứ Blockchain Chương 8: Bank Run Chương 9: Vua Fintech Hà Thành
Cài đặt Đọc truyện
Cỡ chữ
Kiểu Chữ
Phông Nền
💬 Bình luận đoạn
Đang tải bình luận...