Tình hình tổn thất trong lĩnh vực tiền điện tử
Tính đến năm 2025, hơn 3,1 tỷ USD tiền điện tử đã bị mất do các vấn đề như lỗi hợp đồng thông minh, lỗ hổng kiểm soát truy cập, rug pulls và lừa đảo, theo báo cáo từ công ty kiểm toán an ninh blockchain Hacken. Con số này cho nửa đầu năm 2025 đã vượt qua tổng số 2,85 tỷ USD trong toàn bộ năm 2024. Mặc dù vụ hack 1,5 tỷ USD của Bybit trong quý 1 năm 2025 có thể là một trường hợp ngoại lệ, nhưng lĩnh vực tiền điện tử vẫn tiếp tục đối mặt với những thách thức đáng kể.
Nguyên nhân tổn thất
Phân bố các loại tổn thất chủ yếu nhất quán với các xu hướng quan sát được trong năm 2024. Các cuộc tấn công kiểm soát truy cập đã là nguyên nhân chính dẫn đến tổn thất, chiếm khoảng 59% tổng số. Các lỗ hổng hợp đồng thông minh đã góp phần vào khoảng 8% tổn thất, với 263 triệu USD bị đánh cắp. Yehor Rudytsia, Trưởng phòng Pháp y và Phản ứng Sự cố, cho biết với Cointelegraph rằng họ đã quan sát thấy sự khai thác đáng kể GMX V1, với mã nguồn lỗi thời của nó bị nhắm đến bắt đầu từ quý 3 năm 2025. Rudytsia nhấn mạnh:
“Các dự án cần quan tâm đến mã nguồn cũ hoặc di sản của họ nếu nó không ngừng hoạt động hoàn toàn.”
Thay đổi trong phương thức tấn công
Khi không gian tiền điện tử trưởng thành, các kẻ tấn công đã chuyển trọng tâm từ việc khai thác các lỗi mật mã sang việc nhắm đến các điểm yếu ở cấp độ con người và quy trình. Những kỹ thuật tinh vi này bao gồm các cuộc tấn công ký mù, rò rỉ khóa riêng và các chiến dịch lừa đảo tinh vi. Cảnh quan đang phát triển này làm nổi bật một lỗ hổng quan trọng: Kiểm soát truy cập trong tiền điện tử vẫn là một trong những lĩnh vực kém phát triển và có rủi ro cao nhất, mặc dù có sự gia tăng các biện pháp bảo vệ kỹ thuật.
DeFi và hợp đồng thông minh phơi bày các lỗ hổng
Các lỗi an ninh hoạt động đã chịu trách nhiệm cho phần lớn các tổn thất, với 1,83 tỷ USD bị đánh cắp trên cả nền tảng DeFi và CeFi. Sự cố nổi bật trong quý 2 là vụ hack Cetus, nơi 223 triệu USD đã bị rút trong chỉ 15 phút, đánh dấu quý tồi tệ nhất của DeFi kể từ đầu năm 2023 và ngăn chặn xu hướng giảm kéo dài năm quý liên tiếp trong các tổn thất liên quan đến khai thác. Trước đó, quý 4 năm 2024 và quý 1 năm 2025 đã chứng kiến sự thống trị của các lỗi kiểm soát truy cập, làm lu mờ hầu hết các cuộc tấn công dựa trên lỗi. Tuy nhiên, trong quý này, tổn thất do kiểm soát truy cập trong DeFi đã giảm xuống chỉ còn 14 triệu USD, mức thấp nhất kể từ quý 2 năm 2024, mặc dù các cuộc tấn công hợp đồng thông minh đã tăng vọt.
Cuộc tấn công Cetus đã khai thác một lỗ hổng kiểm tra tràn trong việc tính toán thanh khoản của nó. Kẻ tấn công đã sử dụng một khoản vay chớp nhoáng để mở các vị trí nhỏ, sau đó quét qua 264 pool. Nếu việc giám sát giá trị tổng khóa (TVL) theo thời gian thực với tính năng tự động dừng đã được triển khai, lên đến 90% số tiền có thể đã được cứu, theo Hacken.
AI và mối đe dọa an ninh tiền điện tử
AI và các mô hình ngôn ngữ lớn (LLMs) đã được tích hợp sâu vào cả hệ sinh thái Web2 và Web3. Mặc dù sự tích hợp này kích thích đổi mới, nhưng nó cũng mở rộng bề mặt tấn công, giới thiệu các mối đe dọa an ninh mới và đang phát triển. Các cuộc tấn công liên quan đến AI đã tăng vọt 1.025% so với năm 2023, với 98,9% trong số này liên quan đến các API không an toàn.
Ngoài ra, năm lỗ hổng và phơi bày phổ biến liên quan đến AI đã được thêm vào danh sách, và 34% các dự án Web3 hiện đang triển khai các tác nhân AI trong môi trường sản xuất, khiến chúng trở thành mục tiêu ngày càng tăng cho các kẻ tấn công. Các khung an ninh mạng truyền thống, như ISO/IEC 27001 và Khung An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), không đủ khả năng để giải quyết các rủi ro cụ thể liên quan đến AI như ảo giác mô hình, tiêm lệnh và đầu độc dữ liệu đối kháng. Những khung này cần phải phát triển để cung cấp quản trị toàn diện bao gồm các thách thức độc đáo do AI đặt ra.
