Năm 2025, thiệt hại crypto do khai thác lỗ hổng vẫn ở mức rất cao, trong đó tấn công bằng social engineering chiếm tỷ trọng lớn nhất của giá trị bị đánh cắp.
Dữ liệu từ Sentora và phân tích của Chainalysis cho thấy trọng tâm tấn công đang dịch chuyển từ lỗi smart contract sang khai thác yếu tố con người, quản trị khóa và quy trình vận hành, khiến rủi ro lan rộng từ sàn giao dịch đến ví cá nhân.
- Thiệt hại do các exploit năm 2025 vượt 2,53 tỷ USD, social engineering chiếm phần lớn.
- Tổng giá trị crypto bị đánh cắp trên toàn ngành năm 2025 ước tính 2,7–3,4 tỷ USD; nhóm liên quan Triều Tiên chiếm ít nhất 2,02 tỷ USD.
- Giảm rủi ro năm 2025 cần ưu tiên bảo mật người dùng, quản trị khóa và kỷ luật vận hành, không chỉ audit kỹ thuật.
Social engineering trở thành kỹ thuật tấn công chủ đạo năm 2025
Social engineering là nguồn gây thiệt hại lớn nhất trong các exploit năm 2025, chiếm 55,3% giá trị bị lấy đi theo dữ liệu của Sentora.
Biểu đồ “Total TVL of Exploits 2025” của Sentora cho thấy trong tổng thiệt hại hơn 2,53 tỷ USD gắn với exploit, social engineering chiếm 55,3%, tương đương khoảng 1,39 tỷ USD.
So với các lỗi thuần kỹ thuật, nhóm tấn công này dựa vào thao túng hành vi, lừa đảo, giả mạo quy trình hoặc lạm dụng quyền truy cập để vượt qua lớp bảo mật công nghệ.
Dữ liệu tham chiếu được công bố qua bài đăng của Sentora tại dữ liệu Sentora trên X.
Rò rỉ hoặc bị chiếm private key là nguồn thiệt hại lớn thứ hai
Chiếm đoạt private key đóng góp 15% giá trị thiệt hại do exploit, phản ánh rủi ro từ phishing, malware và quản trị thông tin xác thực yếu.
Theo Sentora, nhóm “private key compromise” chiếm 15% thiệt hại do exploit, tương đương khoảng 0,37 tỷ USD.
Loại sự cố này thường liên quan đến phishing, phần mềm độc hại, hoặc quy trình lưu trữ/luân chuyển khóa kém an toàn. Trong thực tế vận hành, việc lộ seed phrase, ký giao dịch nhầm, hoặc để lộ quyền truy cập nội bộ có thể khiến tài sản bị rút nhanh mà không cần khai thác lỗi smart contract.
Bên cạnh social engineering và private key compromise, phần thiệt hại còn lại đến từ các kỹ thuật như infinite mint và exploit smart contract.
Tổng crypto bị đánh cắp toàn ngành năm 2025 lên tới 2,7–3,4 tỷ USD
Phân tích của Chainalysis ước tính tổng giá trị crypto bị đánh cắp năm 2025 nằm trong khoảng 2,7–3,4 tỷ USD, bao gồm nhiều nhóm hành vi trộm cắp khác nhau.
Chainalysis cho biết tổng số crypto bị đánh cắp trong năm 2025 (trên mọi hạng mục trộm cắp) được ước tính trong khoảng 2,7–3,4 tỷ USD, dựa trên phân tích và đối chiếu với các ước tính từ các đơn vị theo dõi trong ngành.
Phạm vi này bao gồm các vụ xâm nhập quy mô lớn, trộm ví cá nhân, và các hoạt động phi pháp khác. Bạn có thể xem chi tiết tại phân tích của Chainalysis.
Nhóm hacker liên quan Triều Tiên chiếm phần lớn giá trị bị đánh cắp
Chainalysis ghi nhận ít nhất 2,02 tỷ USD crypto bị đánh cắp năm 2025 có liên hệ với các nhóm trực thuộc hoặc liên quan DPRK, tăng khoảng 51% so với năm 2024.
Theo Chainalysis, các tác nhân liên quan Triều Tiên tiếp tục là nhóm hoạt động mạnh nhất, với ít nhất 2,02 tỷ USD bị đánh cắp trong năm 2025 gắn với các nhóm DPRK-affiliated.
Báo cáo cũng nêu đây là mức tăng khoảng 51% so với năm 2024. Điều này cho thấy rủi ro không chỉ đến từ kỹ thuật tấn công, mà còn từ năng lực tổ chức, khả năng nhắm mục tiêu và khai thác chuỗi điểm yếu vận hành.
Vụ khai thác Bybit chiếm tỷ trọng lớn trong thiệt hại năm 2025
Một phần đáng kể tổng thiệt hại đến từ vụ exploit kỷ lục tại sàn Bybit, nơi kẻ tấn công lấy đi ước tính 1,4 tỷ USD tài sản.
Chainalysis cho biết phần lớn tổng số gắn với DPRK đến từ vụ khai thác quy mô lớn tại sàn Bybit, với giá trị bị đánh cắp ước tính 1,4 tỷ USD.
Các sự kiện “single-event” như vậy có thể làm lệch đáng kể bức tranh thống kê theo năm, đồng thời nhấn mạnh tầm quan trọng của kiểm soát quyền truy cập đặc quyền, quy trình phê duyệt nội bộ, và giám sát rủi ro theo thời gian thực.
Xu hướng exploit dịch chuyển từ lỗi smart contract sang khai thác người dùng và quyền truy cập
Khi công cụ audit và bảo mật giao thức cải thiện, kẻ tấn công ngày càng ưu tiên khai thác người dùng, quy trình vận hành và quyền truy cập thay vì chỉ săn lỗi smart contract.
Các nhà phân tích trong ngành cho rằng tiến bộ về auditing tự động, formal verification và công cụ an toàn giao thức đang khiến các lỗ hổng smart contract quy mô lớn trở nên ít gặp hơn.
Song song, kẻ tấn công chuyển sang các chiến thuật nhắm vào người dùng và “privileged access”, tức các điểm kiểm soát quan trọng như khóa quản trị, quyền ký, quyền triển khai, hoặc quy trình vận hành tại sàn/đơn vị lưu ký.
Chainalysis cũng ghi nhận tình trạng trộm ví cá nhân tăng mạnh trong năm nay, ảnh hưởng tới hàng nghìn nạn nhân, dù mức thiệt hại mỗi vụ thường nhỏ hơn so với các vụ tấn công tổ chức.
Hệ sinh thái cần ưu tiên bảo mật người dùng và kỷ luật vận hành
Dữ liệu năm 2025 cho thấy giảm thiệt hại hiệu quả phụ thuộc nhiều vào bảo mật người dùng, quản trị khóa và vệ sinh vận hành, không chỉ vá lỗi code.
Tổng hợp các số liệu cho thấy trọng tâm phòng thủ nên mở rộng: đào tạo chống lừa đảo, quy trình xác thực đa lớp, bảo vệ thiết bị đầu cuối, kiểm soát quyền truy cập đặc quyền, và chuẩn hóa quản trị khóa cho sàn giao dịch, đơn vị lưu ký và nhà cung cấp ví.
Trong bối cảnh social engineering chiếm tỷ trọng lớn, các biện pháp như hạn mức rút theo thời gian, cảnh báo ký giao dịch rủi ro, kiểm tra địa chỉ nhận tiền, phân tách nhiệm vụ (segregation of duties), và quy trình phê duyệt nhiều người có thể mang lại tác động giảm thiểu rõ rệt.
Những câu hỏi thường gặp
Social engineering trong crypto là gì và vì sao gây thiệt hại lớn?
Social engineering là nhóm kỹ thuật lừa đảo/thao túng để nạn nhân tự cung cấp thông tin, ký giao dịch, hoặc cấp quyền truy cập. Năm 2025, kỹ thuật này chiếm 55,3% giá trị bị lấy đi trong nhóm exploit theo Sentora, vì nó né được nhiều lớp phòng thủ kỹ thuật và đánh thẳng vào thói quen người dùng/quy trình.
Năm 2025 thiệt hại do exploit và tổng bị đánh cắp khác nhau thế nào?
“Exploit losses” là phần thiệt hại gắn với các hành vi khai thác (như social engineering, lộ private key, exploit smart contract). Còn “tổng bị đánh cắp” bao phủ mọi hạng mục trộm cắp crypto trong năm. Sentora ghi nhận hơn 2,53 tỷ USD do exploit, trong khi Chainalysis ước tính tổng bị đánh cắp 2,7–3,4 tỷ USD.
Private key compromise thường xảy ra do đâu?
Theo mô tả trong dữ liệu, chiếm đoạt private key thường liên quan phishing, malware hoặc quản lý thông tin xác thực kém. Khi private key/seed phrase bị lộ, kẻ tấn công có thể chuyển tài sản mà không cần khai thác lỗ hổng smart contract.
Vì sao các nhóm liên quan Triều Tiên được nhắc tới nhiều trong các vụ trộm crypto?
Chainalysis báo cáo ít nhất 2,02 tỷ USD crypto bị đánh cắp năm 2025 có liên hệ với các nhóm DPRK-affiliated và mức này tăng khoảng 51% so với 2024, khiến họ trở thành nhóm tác nhân nổi bật nhất trong thống kê theo năm.
Hệ sinh thái nên ưu tiên biện pháp nào để giảm rủi ro năm 2025?
Trọng tâm nên là bảo mật người dùng và vận hành: chống phishing/social engineering, quản trị khóa chặt chẽ, kiểm soát quyền truy cập đặc quyền, quy trình phê duyệt nhiều lớp và giám sát bất thường. Audit và công cụ an toàn smart contract vẫn quan trọng, nhưng không đủ nếu yếu tố con người bị khai thác.
