Theo báo cáo từ Hacken, công ty kiểm toán bảo mật blockchain, hơn 3.1 tỷ USD tiền điện tử đã bị mất trong nửa đầu năm 2025 do các vấn đề như lỗi hợp đồng thông minh, lỗ hổng kiểm soát truy cập, rút thảm (rug pulls) và lừa đảo.
Con số này vượt qua tổng thiệt hại 2.85 tỷ USD của cả năm 2024, dù vụ hack Bybit 1.5 tỷ USD vào tháng 2 là một trường hợp ngoại lệ. Ngành tiền điện tử vẫn đang đối mặt với nhiều thách thức bảo mật.
Nội dung bài viết
Nguyên nhân chính: Lỗ hổng kiểm soát truy cập
Các vụ khai thác kiểm soát truy cập chiếm 59% tổng thiệt hại, trong khi lỗ hổng hợp đồng thông minh gây ra 8% tổn thất (khoảng 263 triệu USD). Yehor Rudytsia, trưởng bộ phận tại Hacken, cho biết GMX v1 bị tấn công do mã nguồn lỗi thời. Ông nhấn mạnh: “Các dự án phải quản lý mã nguồn cũ nếu chưa dừng hoàn toàn.”
Khi tiền điện tử phát triển, tin tặc chuyển từ khai thác lỗ hổng code sang nhắm vào yếu tố con người và quy trình, sử dụng các kỹ thuật tinh vi. Kiểm soát truy cập vẫn là lĩnh vực rủi ro cao nhất, dù các biện pháp kỹ thuật đã được cải thiện.
DeFi và CeFi: Tâm điểm của các vụ tấn công
Lỗ hổng bảo mật vận hành gây ra 1.83 tỷ USD thiệt hại trên các nền tảng DeFi và CeFi. Vụ hack Cetus trong quý 2, với 223 triệu USD bị rút trong 15 phút, là quý tồi tệ nhất của DeFi kể từ đầu năm 2023, chấm dứt xu hướng giảm thiệt hại kéo dài 5 quý. Vụ tấn công khai thác lỗ hổng kiểm tra tràn trong tính toán thanh khoản, khi tin tặc dùng khoản vay nhanh để rút sạch 264 pool. Hacken cho rằng nếu có giám sát TVL thời gian thực và tự động tạm dừng, 90% số tiền có thể được cứu.
Trước đó, quý 4/2024 và quý 1/2025 bị chi phối bởi lỗi kiểm soát truy cập, nhưng quý 2/2025 ghi nhận khoản lỗ từ kiểm soát truy cập trong DeFi giảm xuống 14 triệu USD, thấp nhất kể từ quý 2/2024, dù lỗ hổng hợp đồng thông minh tăng mạnh.
Mối đe dọa từ AI ngày càng lớn
AI và mô hình ngôn ngữ lớn (LLM) đang được tích hợp sâu vào Web2 và Web3, thúc đẩy đổi mới nhưng cũng mở rộng bề mặt tấn công. Các vụ tấn công liên quan đến AI tăng 1,025% so với 2023, với 98.9% liên quan đến API không an toàn. Ngoài ra, 5 lỗ hổng CVE liên quan đến AI được ghi nhận, và 34% dự án Web3 sử dụng AI trong môi trường sản xuất, trở thành mục tiêu lớn của tin tặc.
Các khung an ninh truyền thống như ISO/IEC 27001 và NIST chưa đủ khả năng xử lý các rủi ro AI. Hacken nhấn mạnh cần cập nhật tiêu chuẩn để đối phó với mối đe dọa AI trong Web3.
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
