Nửa đầu năm 2025, ngành tài sản mã hóa mất hơn 3,1 tỷ USD do tấn công mạng, với các lỗ hổng trong kiểm soát truy cập là nguyên nhân chính.
Chỉ trong nửa đầu năm 2025, ngành công nghiệp tài sản mã hóa đã ghi nhận thiệt hại nghiêm trọng lên tới hơn 3,1 tỷ USD do các cuộc tấn công mạng, vượt xa tổng thiệt hại 2,85 tỷ USD của cả năm 2024. Theo báo cáo mới nhất từ công ty kiểm toán bảo mật blockchain Hacken, phần lớn các sự cố này xuất phát từ những lỗ hổng cơ bản trong cơ chế kiểm soát truy cập.
Đáng chú ý, vụ tấn công vào sàn giao dịch Bybit hồi tháng 2 với thiệt hại 1,5 tỷ USD tuy là trường hợp đặc biệt nghiêm trọng nhưng đồng thời cũng làm nổi bật xu hướng chung rằng toàn ngành đang đối diện với những thách thức an ninh mang tính hệ thống.
Nguồn: Báo cáo An ninh Web3 Nửa đầu năm 2025 của Hacken
Phân tích của Hacken chỉ rõ rằng các cuộc khai thác lỗ hổng kiểm soát truy cập chiếm tới 59% tổng thiệt hại, phản ánh sự thay đổi chiến lược của tin tặc. Thay vì chỉ tập trung vào các lỗi mã hóa trong hợp đồng thông minh – vốn chỉ gây ra khoảng 8% tổn thất (263 triệu USD), tin tặc ngày càng hướng vào các lỗ hổng trong quy trình vận hành và yếu tố con người.
Các kỹ thuật tấn công như ký lệnh mù, rò rỉ khóa cá nhân, và những chiến dịch lừa đảo tinh vi đang ngày càng phổ biến, khiến kiểm soát truy cập trở thành điểm yếu chưa được quan tâm đúng mức. Ông Yehor Rudytsia, Trưởng bộ phận điều tra của Hacken, cảnh báo rằng các dự án cần chú trọng đặc biệt đến mã nguồn cũ hoặc kế thừa, bởi đây thường là những hệ thống chưa được ngừng hoạt động hoàn toàn và tiềm ẩn nhiều rủi ro.
Trong khi các lỗ hổng vận hành là nguyên nhân chính dẫn tới tổn thất 1,83 tỷ USD trên cả các nền tảng DeFi và CeFi, thì một mối đe dọa mới đang nổi lên nhanh chóng là trí tuệ nhân tạo (AI). Việc tích hợp sâu rộng AI và các mô hình ngôn ngữ lớn (LLMs) vào hệ sinh thái Web3 tuy mang lại những đổi mới tích cực, song đồng thời mở rộng đáng kể bề mặt tấn công.
Báo cáo ghi nhận số vụ tấn công liên quan đến AI đã tăng tới 1.025% so với năm 2023, trong đó có tới 98,9% xuất phát từ các giao diện lập trình ứng dụng (API) không được bảo mật đúng mức.
Hiện nay, khoảng 34% dự án Web3 đã đưa vào triển khai các tác tử AI trong môi trường sản phẩm, khiến chúng trở thành những mục tiêu hấp dẫn với tin tặc. Vấn đề này càng trở nên cấp bách hơn khi các tiêu chuẩn an ninh mạng truyền thống như ISO/IEC 27001 và NIST chưa được thiết kế để ứng phó hiệu quả với những rủi ro đặc thù từ AI, ví dụ như hiện tượng ảo giác mô hình (model hallucination) hay tấn công tiêm lệnh (prompt injection).
Hacken nhấn mạnh sự cần thiết phải nhanh chóng cập nhật các tiêu chuẩn bảo mật này, nhằm phản ánh đúng những rủi ro mới nổi từ AI đang ngày càng tác động sâu sắc đến an toàn của toàn bộ hệ sinh thái Web3.
