Thiệt hại vì hack tiền điện tử nửa đầu 2025 tăng lên 2,47 tỷ USD, bất chấp số vụ và giá trị bị đánh cắp trong quý 2 giảm; các cuộc tấn công đang dịch chuyển mạnh sang khai thác yếu tố con người.
Báo cáo Hack3d của CertiK cho thấy quý 2/2025 mất hơn 800 triệu USD qua 144 sự cố, giảm 52% so với quý trước. Vụ Bybit trị giá 1,4 tỷ USD ngày 21/02 là lớn nhất lịch sử. Chuyên gia cảnh báo “chiến tranh bất tận” với hacker và xu hướng lừa đảo thao túng hành vi.
- Nửa đầu 2025 thiệt hại 2,47 tỷ USD; quý 2 mất 800 triệu USD, giảm 52% so với quý 1; Bybit 1,4 tỷ USD là vụ lớn nhất.
- Hacker chuyển sang tấn công yếu tố con người, từ lừa đảo phishing đến chữ ký giao dịch độc hại; chuyên gia cảnh báo chiến tranh không hồi kết.
- Doanh nghiệp cần ưu tiên quản trị khóa, vận hành an toàn; nhà đầu tư phải kiểm tra toàn bộ địa chỉ, mô phỏng giao dịch, dùng ví cứng và multisig.
Vì sao thiệt hại hack tiền điện tử vẫn lớn dù an ninh tăng cường?
Các giao thức phải đối đầu “chiến tranh bất tận” vì kẻ tấn công chỉ cần một điểm yếu để khai thác, trong khi phòng thủ phải kín toàn diện. Dù kiểm toán mã nguồn dày đặc, một lỗi trong hàng triệu dòng code vẫn đủ gây tổn thất lớn.
Ronghui Gu, Đồng sáng lập CertiK và Giáo sư ĐH Columbia, nhấn mạnh cán cân bất lợi: kẻ xấu chỉ cần 1 lỗ hổng, còn phòng thủ cần tuyệt đối an toàn. Với nhịp đổi mới nhanh, bề mặt tấn công trải rộng từ hợp đồng thông minh đến hạ tầng, công cụ và chính con người vận hành giao thức.
“Chỉ cần còn một điểm yếu hoặc lỗ hổng ở đâu đó, sớm muộn gì nó cũng sẽ bị kẻ tấn công phát hiện… Đây là một cuộc chiến không có hồi kết.”
– Ronghui Gu, Đồng sáng lập CertiK, Cointelegraph Chain Reaction (X Spaces), 22/08/2025, nguồn: Cointelegraph
Tổng quan nửa đầu 2025: Những con số nào đáng chú ý?
Thiệt hại do hack, lừa đảo và khai thác lỗ hổng đạt hơn 2,47 tỷ USD trong nửa đầu 2025, tăng gần 3% so với 2,4 tỷ USD của cả năm 2024, theo CertiK.
Riêng quý 2/2025 ghi nhận hơn 800 triệu USD bị đánh cắp qua 144 sự cố, giảm 52% giá trị so với quý 1 và ít hơn 59 vụ. Từ tỷ lệ giảm 52%, có thể ước tính quý 1 đạt khoảng 1,66 tỷ USD thiệt hại và khoảng 203 vụ việc. Dù giảm trong quý 2, mức tổn thất gộp vẫn cao do một vài sự cố đặc biệt lớn.
Vụ hack Bybit 1,4 tỷ USD có ý nghĩa gì với toàn ngành?
Vụ Bybit ngày 21/02 với 1,4 tỷ USD bị đánh cắp trở thành kỷ lục lịch sử, cho thấy “rủi ro đuôi dày” khi một sự cố đơn lẻ có thể làm lệch toàn bộ thống kê.
Những sự cố cực lớn tạo hiệu ứng dây chuyền: tăng áp lực tuân thủ và an ninh, kéo theo yêu cầu kiểm soát khóa, phân quyền và quy trình phản ứng sự cố. Nó cũng nhấn mạnh tầm quan trọng của phòng thủ theo chiều sâu và giả định tấn công thành công để sẵn sàng cô lập, phong tỏa, khôi phục nhanh.
Xu hướng an ninh mới buộc hacker nhắm vào yếu tố con người như thế nào?
Khi lớp giao thức và hạ tầng cứng rắn hơn, kẻ tấn công chuyển trọng tâm sang con người: người giữ khóa riêng, quản trị vận hành, nhà đầu tư cuối. Gu cho biết khoảng một nửa sự cố năm 2024 đến từ rủi ro vận hành như lộ khóa riêng.
“Giả sử giao thức hay blockchain layer 1 của bạn an toàn hơn, họ sẽ nhắm vào con người phía sau, những người nắm khóa riêng…”
– Ronghui Gu, Đồng sáng lập CertiK, Cointelegraph Chain Reaction (X Spaces), 22/08/2025, nguồn: Cointelegraph
Xu hướng này phù hợp với dữ liệu an ninh truyền thống: báo cáo Verizon Data Breach Investigations Report 2024 ghi nhận 68% vi phạm bảo mật có yếu tố con người. Điều này lý giải vì sao kỹ nghệ lừa đảo social và mô hình “wallet drainer” nở rộ.
Vì sao phishing và chữ ký giao dịch độc hại bùng nổ trở lại?
Phishing dựa trên thao túng tâm lý và giao diện quen thuộc, khiến nạn nhân tự ký giao dịch cấp quyền cho kẻ xấu. Khi đã phê duyệt, kẻ tấn công có thể rút tài sản mà không cần chiếm đoạt seed phrase.
Trong tháng 8/2025, một nhà đầu tư mất 3 triệu USD USDT chỉ với một cú nhấp sai – ký nhầm giao dịch độc hại. Trường hợp khác mất hơn 900.000 USD sau 458 ngày kể từ khi vô tình ký phê duyệt độc hại, cho thấy tác động trì hoãn: quyền đã cấp có thể bị lợi dụng rất lâu về sau.
Nhà đầu tư thường mắc lỗi gì khi chuyển tiền bằng ví?
Lỗi phổ biến là chỉ đối chiếu vài ký tự đầu-cuối địa chỉ ví, bỏ qua phần giữa thường bị ẩn trên nhiều giao diện. Kẻ xấu lợi dụng hiển thị rút gọn để tạo ví bẫy có đầu-cuối giống mục tiêu.
Thực hành tốt là so khớp toàn bộ địa chỉ, bật hiển thị đầy đủ hoặc dán vào công cụ kiểm tra theo checksum. Mô phỏng giao dịch trước khi ký, giới hạn “approve” theo số tiền cần dùng, và thu hồi quyền đã cấp định kỳ cũng giúp giảm rủi ro.
Doanh nghiệp và giao thức nên ưu tiên biện pháp nào để giảm rủi ro?
Trọng tâm là quản trị khóa và vận hành an toàn: multisig với ngưỡng phù hợp, HSM hoặc ví cứng cho khóa nóng-quản trị, phân quyền và nhật ký kiểm toán chi tiết.
Song song, áp dụng kiểm toán liên tục, fuzzing, kiểm tra hình thức chính thức với phần code trọng yếu; triển khai giám sát on-chain thời gian thực, cảnh báo bất thường, và quy trình ứng cứu sự cố có diễn tập định kỳ. Đào tạo chống lừa đảo social cho đội ngũ là điều kiện bắt buộc.
Nhà đầu tư cá nhân bảo vệ tài sản ra sao trước “wallet drainer”?
Nguyên tắc vàng là “không ký nếu chưa hiểu”. Luôn đọc kỹ quyền cấp phát trong giao dịch, dùng trình mô phỏng/diễn giải giao dịch từ ví hoặc công cụ bên thứ 3 uy tín.
Dùng ví cứng cho khoản lớn, tách ví tương tác khỏi ví lưu trữ, thiết lập giới hạn chi tiêu và thu hồi quyền định kỳ. Truy cập dApp qua nguồn chính thức, tránh liên kết từ mạng social, và bật whitelist địa chỉ trên sàn/bridge nếu có.
Dự báo năm tới: Thiệt hại có còn ở mức hàng tỷ USD?
Gu cho rằng dù phòng thủ tốt hơn, tổng thiệt hại năm tới vẫn có thể ở mức hàng tỷ USD vì kẻ tấn công cũng ngày càng tinh vi, và chỉ cần một lỗi nhỏ đã đủ gây ra tổn thất lớn.
Tính bất đối xứng trong cuộc chơi khiến chiến lược tối ưu là giảm xác suất và quy mô thiệt hại: hạn mức, đa tầng phê duyệt, giám sát chủ động và phản ứng nhanh. Giảm thiểu rủi ro con người là mảnh ghép then chốt bên cạnh kỹ thuật.
Bảng so sánh nhanh quý 1 và quý 2/2025 (ước tính từ dữ liệu CertiK)
Dựa trên báo cáo của CertiK về mức giảm 52% giá trị thiệt hại và giảm 59 vụ trong quý 2 so với quý 1, có thể suy ra bức tranh sau.
| Chỉ số | Quý 1/2025 (ước tính) | Quý 2/2025 | Ghi chú |
|---|---|---|---|
| Giá trị thiệt hại | ≈ 1,66 tỷ USD | ≈ 800 triệu USD | Quý 2 giảm 52% so với quý 1 |
| Số vụ việc | ≈ 203 vụ | 144 vụ | Quý 2 ít hơn 59 vụ |
| Sự cố lớn nhất | Bybit 1,4 tỷ USD (21/02) | Không có sự cố vượt Bybit | Kéo lệch số liệu nửa đầu năm |
Nguồn: CertiK, Hack3d – Web3 Security Quarterly Report Q2/H1 2025 (2025).
Những câu hỏi thường gặp
Vì sao nói an ninh blockchain là “chiến tranh bất tận”?
Vì kẻ tấn công chỉ cần một lỗ hổng, còn phòng thủ phải an toàn tuyệt đối. Nhận định này được Ronghui Gu (CertiK) nhấn mạnh trong buổi Cointelegraph Chain Reaction (X Spaces) ngày 22/08/2025.
Yếu tố con người chiếm tỷ lệ lớn như thế nào trong rủi ro?
Gu cho biết khoảng một nửa sự cố năm 2024 xuất phát từ rủi ro vận hành như lộ khóa. Báo cáo Verizon DBIR 2024 cũng ghi nhận 68% vi phạm bảo mật có yếu tố con người.
Tại sao phải kiểm tra toàn bộ địa chỉ ví khi chuyển tiền?
Vì nhiều giao diện ẩn ký tự giữa, kẻ xấu tạo địa chỉ đầu-cuối giống để đánh lừa. Luôn so khớp toàn bộ địa chỉ, ưu tiên hiển thị đầy đủ và dùng checksum.
Làm sao tránh ký nhầm giao dịch cấp quyền độc hại?
Sử dụng mô phỏng giao dịch, đọc kỹ nội dung approve, giới hạn hạn mức, và thu hồi quyền định kỳ. Tránh nhấp liên kết từ mạng social và chỉ dùng dApp chính thức.
Vụ Bybit 1,4 tỷ USD cho thấy điều gì?
Một sự cố đơn lẻ có thể chi phối thống kê toàn ngành. Đây là lời nhắc phải chuẩn hóa quản trị khóa, phân quyền và kịch bản phản ứng sự cố ở cấp độ doanh nghiệp.
