Các vụ hack Web3 trị giá tỉ USD năm 2025

Con số thiệt hại lên đến hơn 3,352 tỉ USD trong 2025 do những cuộc tấn công tinh vi và có quy mô lớn hơn, đặt ra thách thức cho nền tảng blockchain, nhà đầu tư và người dùng.

Càng phát triển thì rủi ro càng lớn

Năm 2025 được đánh dấu bởi sự phục hồi mạnh mẽ của thị trường tiền mã hóa và Web3 sau giai đoạn suy giảm trước đó. Dòng vốn quay trở lại giúp thị trường sôi động hơn, các nền tảng DeFi (tài chính phi tập trung) tăng trưởng, trong khi blockchain dần được ứng dụng để số hóa tài sản thực như bất động sản và danh tính kỹ thuật số.

Tuy nhiên, thị trường càng phát triển thì rủi ro càng lớn. Hacker ngày càng tinh vi hơn, không còn tấn công nhỏ lẻ mà nhắm thẳng vào các mục tiêu có giá trị lớn, đồng thời tận dụng công nghệ hiện đại để xâm nhập và đánh cắp tài sản trong hệ sinh thái Web3.

Tổng thiệt hại năm 2025 lớn hơn dù ít vụ hack hơn

CertiK thống kê rằng trong năm 2025 có 630 sự cố bảo mật trong Web3, với tổng thiệt hại được ghi nhận là hơn 3,352 tỉ USD, tăng 37% so với 2024. Theo CertiK, giá trị thiệt hại tăng mạnh do một số vụ tấn công mạng cực kỳ lớn, dù số lượng vụ giảm khoảng 137 so với 2024. Mức thiệt hại trung bình mỗi vụ lên đến 5,32 triệu USD, tăng hơn 66% so với 2024.

Điều này cho thấy một xu hướng đáng chú ý: Hacker không còn tấn công dàn trải như trước, nhưng hầu hết mỗi vụ đều nhắm vào mục tiêu lớn và gây thiệt hại nặng nề.

Báo cáo của CertiK ghi nhận 630 sự cố bảo mật trong lĩnh vực Web3, với tổng thiệt hại hơn 3,35 tỉ USD

Vụ tấn công sàn giao dịch tiền mã hóa lớn nhất

Vụ tấn công vào sàn giao dịch tiền mã hóa Bybit hồi tháng 2.2025 là một trong những vụ đánh cắp tài sản lớn nhất lịch sử Web3. Theo các thống kê và báo cáo bảo mật, Bybit đã bị hacker chiếm đoạt khoảng 1,45 - 1,5 tỉ USD, chủ yếu là tiền mã hóa lưu trữ trong các ví của sàn.

Điểm đáng chú ý là hacker không trực tiếp xâm nhập hệ thống giao dịch hay hợp đồng thông minh cốt lõi của Bybit, mà khai thác các điểm yếu trong hệ thống vận hành và hạ tầng liên quan, đặc biệt là các thành phần bên thứ ba và cơ chế quản lý ví đa chữ ký. Cách tiếp cận gián tiếp này khiến vụ tấn công trở nên cực kỳ nguy hiểm và khó phát hiện.

Dữ liệu trên blockchain cho thấy hàng trăm nghìn ETH (đồng tiền mã hóa lớn thứ 2 thế giới sau Bitcoin) cùng nhiều tài sản số khác đã bị rút khỏi các ví lưu trữ, nhanh chóng được chuyển qua nhiều địa chỉ trung gian. Dòng tiền bất thường này khiến thị trường tiền mã hóa toàn cầu rung chuyển, giá nhiều đồng tiền lớn biến động mạnh trong thời gian ngắn và nhà đầu tư hoang mang.

Không chỉ gây thiệt hại về tài sản, vụ hack Bybit còn làm lung lay niềm tin của thị trường vào các sàn giao dịch tập trung (CEX), vốn được xem là “pháo đài an toàn” cho người dùng phổ thông. Nhiều nhà đầu tư bắt đầu đặt câu hỏi: Nếu một sàn giao dịch lớn, có hệ thống bảo mật phức tạp như Bybit vẫn có thể bị tấn công ở quy mô tỉ USD, thì mức độ an toàn thực sự của tài sản số ở đâu?

Theo hãng phân tích blockchain hàng đầu Chainalysis, vụ tấn công này nhiều khả năng được thực hiện bởi nhóm hacker chuyên nghiệp liên quan Triều Tiên.

Các hình thức tấn công Web3 phổ biến trong năm 2025

Báo cáo của CertiK cũng phân tích chi tiết về các phương thức tấn công phổ biến:

1. Tấn công chuỗi cung ứng

Theo CertiK, tấn công chuỗi cung ứng là hình thức gây thiệt hại lớn nhất trong năm 2025. Dù CertiK chỉ ghi nhận hai vụ việc, nhưng tổng số tiền bị đánh cắp lên tới khoảng 1,45 tỉ USD, chiếm gần một nửa tổng thiệt hại của toàn bộ thị trường Web3 năm 2025.

Tấn công chuỗi cung ứng là gì? Thay vì tấn công trực tiếp vào một dự án hay hợp đồng thông minh cụ thể, hacker đánh vào các thành phần “dùng chung” trong hệ sinh thái Web3. Đây có thể là thư viện phần mềm, công cụ lập trình, dịch vụ xác thực, hệ thống ví đa chữ ký hoặc các nền tảng bên thứ ba mà nhiều dự án cùng phụ thuộc.

Khi một mắt xích trong chuỗi này bị cài mã độc hoặc khai thác lỗ hổng, tất cả dự án sử dụng nó đều có nguy cơ bị ảnh hưởng, giống việc nhiễm độc từ một nguồn chung. Vì vậy, chỉ một lỗ hổng nhỏ cũng có thể gây ra thiệt hại trên diện rộng và với giá trị rất lớn.

Vụ hack sàn Bybit là ví dụ điển hình. Hacker không tấn công trực tiếp hệ thống giao dịch chính của sàn, mà lợi dụng các thành phần phụ trợ và dịch vụ bên thứ ba liên quan đến quản lý ví đa chữ ký. Điều này khiến cơ chế kiểm soát giao dịch bị vô hiệu hóa, cho phép hacker rút lượng lớn tài sản mà không bị ngăn chặn kịp thời.

Vì mức độ lan rộng và khó phát hiện, tấn công chuỗi cung ứng được xem là mối đe dọa nguy hiểm nhất với Web3 hiện nay, buộc các dự án và sàn giao dịch phải rà soát không chỉ hệ thống của mình, mà cả những dịch vụ và công cụ mà họ sử dụng hằng ngày.

2. Phishing

Trong năm 2025, phishing (lừa đảo trực tuyến) là hình thức tấn công xảy ra nhiều nhất trong Web3, với 248 vụ việc được CertiK ghi nhận. Tổng số tiền mà người dùng và các dự án bị mất vì các chiêu trò lừa đảo này lên tới khoảng 723 triệu USD.

Thủ đoạn của hacker thường không quá phức tạp về mặt kỹ thuật, nhưng lại đánh mạnh vào tâm lý người dùng. Chúng tạo ra các email, tin nhắn, website giả mạo có giao diện gần giống hệt sàn giao dịch, ví điện tử hoặc dự án blockchain. Khi người dùng mất cảnh giác và đăng nhập, nhập khóa riêng hoặc bấm xác nhận giao dịch, tài sản sẽ ngay lập tức bị chuyển sang ví của hacker.

Đáng lo ngại hơn, trí tuệ nhân tạo (AI) đang được hacker tận dụng để làm cho các chiêu lừa này ngày càng tinh vi. AI giúp tạo nội dung, hình ảnh và website giả mạo rất giống thật, khiến ngay cả những người đã có kinh nghiệm trong lĩnh vực tiền mã hóa cũng có thể mắc bẫy nếu không cẩn trọng.

Do đó, phishing hiện được xem là mối đe dọa trực tiếp và thường xuyên nhất với người dùng Web3, đặc biệt là nhà đầu tư cá nhân, vốn tự quản lý ví và tài sản số của mình.

3. Khai thác lỗ hổng trong mã nguồn

Bên cạnh phishing, khai thác lỗ hổng trong mã nguồn là hình thức tấn công phổ biến thứ hai trong Web3 năm 2025, với khoảng 240 vụ việc được CertiK ghi nhận.

Trong các vụ này, hacker không cần lừa người dùng mà tấn công trực tiếp vào lỗi kỹ thuật của hệ thống. Những lỗi thường nằm trong hợp đồng thông minh, cơ chế phân quyền quản lý hoặc quy trình xác thực giao dịch. Hacker có thể tận dụng một sai sót nhỏ trong cách viết hoặc triển khai mã để rút tiền, chiếm quyền kiểm soát hoặc làm tê liệt toàn bộ hệ thống.

Thực tế này cho thấy, dù vấn đề bảo mật hợp đồng thông minh đã được cảnh báo suốt nhiều năm, không ít dự án Web3 vẫn triển khai sản phẩm khi chưa được kiểm tra kỹ lưỡng, hoặc cắt giảm chi phí kiểm toán an ninh. Hệ quả là các lỗ hổng tồn tại âm thầm trong hệ thống và chỉ bị phát hiện khi hacker đã kịp khai thác và gây thiệt hại lớn.

Những blockchain bị tấn công nhiều nhất

Theo thống kê của CertiK, Ethereum tiếp tục là blockchain bị hacker nhắm tới nhiều nhất trong năm 2025. Cụ thể, Ethereum ghi nhận 310 sự cố bảo mật, với tổng thiệt hại lên tới khoảng 1,7 tỉ USD. Ethereum hiện là nền tảng lớn nhất cho các ứng dụng DeFi, nơi tập trung lượng tài sản số rất lớn, khiến hacker coi đây là “mục tiêu béo bở”.

Bitcoin, dù được đánh giá cao về mức độ an toàn, cũng không hoàn toàn miễn nhiễm. Năm 2025, Bitcoin ghi nhận 22 vụ việc, thiệt hại khoảng 528 triệu USD, chủ yếu liên quan đến các sàn giao dịch, ví lưu trữ và dịch vụ trung gian, chứ không phải từ lỗi kỹ thuật hay bảo mật của chính blockchain này.

Ngoài ra, các vụ tấn công ảnh hưởng đến nhiều blockchain cùng lúc cũng gây thiệt hại đáng kể, với 29 sự cố và gần 461 triệu USD bị đánh cắp, theo CertiK. Đây thường là những vụ hacker nhắm vào cầu nối blockchain hoặc các dịch vụ hạ tầng dùng chung giữa nhiều hệ sinh thái.

Những nhóm hacker cực kỳ tinh vi

Báo cáo của CertiK cùng các phân tích độc lập từ giới chuyên môn cho thấy một số nhóm hacker cực kỳ tinh vi đã nổi lên trong năm 2025, trở thành mối đe dọa lớn nhất cho hệ sinh thái Web3. Trong đó, các nhóm hacker có liên quan đến Triều Tiên, chẳng hạn TraderTraitor (có liên hệ với Lazarus Group), được nhiều cơ quan quốc tế xác nhận là thủ phạm chính trong các vụ tấn công mạng quy mô lớn, gồm cả vào Bybit. Theo dữ liệu từ Chainalysis, tổng thiệt hại do các nhóm hacker này gây ra trong năm 2025 lên tới khoảng 2,02 tỉ USD, chiếm gần 60% tổng số tiền bị đánh cắp toàn không gian Web3.

Các nhóm hacker này thường sử dụng nhiều thủ đoạn kết hợp, gồm:

Phần mềm độc hại để xâm nhập hệ thống và giành quyền kiểm soát các tài sản số.

Kỹ thuật thao túng tâm lý nhắm vào nhân viên, quản trị viên hoặc người dùng cuối để lấy thông tin đăng nhập, khóa riêng hay quyền ký giao dịch.

Khai thác lỗ hổng hợp đồng thông minh hoặc lỗi trong các ứng dụng blockchain để rút tiền hoặc làm tê liệt hệ thống.

Tấn công chuỗi cung ứng nhằm vào các thành phần dùng chung trong nhiều dự án để gây thiệt hại lan rộng.

Điều đáng lưu ý là những nhóm hacker này hoạt động có tổ chức, bài bản và theo chiến lược dài hạn. Chúng không tấn công ngẫu nhiên mà nghiên cứu kỹ lưỡng từng mục tiêu, từ các sàn giao dịch lớn, ví lưu trữ, nền tảng DeFi cho đến các công cụ, thư viện và dịch vụ phụ trợ mà nhiều dự án blockchain cùng phụ thuộc. Do vậy, chỉ một lỗ hổng nhỏ cũng có thể tạo ra thiệt hại khổng lồ và lan tỏa trên diện rộng.

Việt Nam trong bức tranh an ninh Web3 2025

CertiK không ghi nhận dự án nào có nguồn gốc từ Việt Nam bị tấn công trực tiếp trong năm 2025. Song nếu nhìn rộng hơn, vẫn có một số điểm cần lưu ý:

- Nhiều người Việt rất tích cực tham gia thị trường tiền mã hóa, thường giao dịch trên các sàn lớn như Binance, Bybit, OKX và có nguy cơ mất tiền do lừa đảo trực tuyến, chiêu trò gian lận hoặc bị tấn công vào ví điện tử nếu không cẩn thận.

- Các vụ lừa đảo tiền mã hóa quy mô lớn vẫn diễn ra tại Việt Nam, điển hình như vụ Paynet Coin (PAYN) bị Công an tỉnh Phú Thọ triệt phá hồi tháng 8, khiến nhiều nhà đầu tư mất hàng tỉ USD.

- Sự cố lớn liên quan Việt Nam gần đây là vụ hack Ronin Network vào năm 2022, gây ảnh hưởng nặng nề đến cộng đồng blockchain trong nước. Tháng 3.2022, Ronin Network, blockchain riêng được tạo ra để hỗ trợ game Axie Infinity, đã bị hacker tấn công và đánh cắp lượng tiền mã hóa trị giá hơn 600 triệu USD.

Sky Mavis, công ty đứng sau Axie Infinity và Ronin Network, là studio game có nguồn gốc từ Việt Nam. Dù đây là sự cố toàn cầu, nhiều người Việt đã bị ảnh hưởng trực tiếp vì tài sản trong game Axie Infinity (như NFT Axie, token SLP/AXS) vốn có giá trị lớn.

Bài học và cách phòng ngừa

Báo cáo của CertiK không chỉ liệt kê các vụ tấn công chấn động thế giới Web3 năm 2025 mà còn đưa ra những bài học quan trọng cho cả nền tảng, nhà phát triển lẫn người dùng cá nhân.

Với nền tảng và nhà phát triển

Kiểm toán hợp đồng thông minh định kỳ bởi các công ty bảo mật độc lập.

Áp dụng giải pháp bảo mật hiện đại, gồm phân tích mã tự động; kiểm tra các phần mềm, thư viện phụ thuộc (chuỗi cung ứng); kiểm thử xâm nhập (thử tấn công để tìm lỗ hổng); theo dõi giao dịch trên blockchain; áp dụng quy trình kiểm soát truy cập nghiêm ngặt, hạn chế quyền phê duyệt giao dịch, đồng thời sử dụng các cơ chế bảo mật nhiều lớp để giảm nguy cơ bị tấn công.

Với người dùng cá nhân

Không chia sẻ khóa cá nhân hoặc cụm từ khôi phục khóa riêng với bất kỳ ai.

Sử dụng ví phần cứng hoặc các dịch vụ uy tín để lưu trữ tài sản có giá trị cao.

Luôn cảnh giác với các liên kết lừa đảo, email giả mạo hoặc trang web sao chép giao diện thật nhằm đánh cắp thông tin hoặc tiền trong ví.

Sơn Vân