Các vụ hack tiền điện tử vượt quá 3,1 tỷ đô la Mỹ vào năm 2025 do các lỗ hổng truy cập vẫn tồn tại: Hacken

Theo báo cáo từ công ty kiểm toán bảo mật blockchain Hacken, hơn 3,1 tỷ đô la Mỹ tiền điện tử đã bị mất từ đầu năm 2025 do các vấn đề bao gồm lỗi hợp đồng thông minh, lỗ hổng kiểm soát truy cập, rug pull và lừa đảo. Con số này trong nửa đầu năm 2025 vượt quá tổng số 2,85 tỷ đô la Mỹ của cả năm 2024. Mặc dù vụ hack Bybit trị giá 1,50 tỷ đô la Mỹ trong quý 1 năm 2025 có thể là một trường hợp ngoại lệ, nhưng lĩnh vực tiền điện tử nói chung vẫn tiếp tục đối mặt với những thách thức đáng kể. Sự phân bổ các loại tổn thất phần lớn vẫn phù hợp với các xu hướng được quan sát thấy vào năm 2024. Các hành vi khai thác kiểm soát truy cập là nguyên nhân chính gây ra tổn thất, chiếm khoảng 59% tổng số. Các lỗ hổng hợp đồng thông minh đóng góp khoảng 8% vào các khoản lỗ, với 263 triệu đô la Mỹ bị đánh cắp. Khi không gian tiền điện tử trưởng thành, những kẻ tấn công đã chuyển trọng tâm từ khai thác các lỗ hổng mật mã sang nhắm mục tiêu vào những điểm yếu ở cấp độ con người và quy trình. Các kỹ thuật tinh vi này bao gồm các cuộc tấn công ký mù, rò rỉ khóa riêng tư và các chiến dịch lừa đảo phức tạp. Liên quan: 2,1 tỷ đô la Mỹ tiền điện tử bị đánh cắp vào năm 2025 khi tin tặc chuyển trọng tâm từ mã sang người dùng: CertiK Bối cảnh đang phát triển này làm nổi bật một lỗ hổng quan trọng: Kiểm soát truy cập trong tiền điện tử vẫn là một trong những lĩnh vực kém phát triển và có rủi ro cao nhất, mặc dù các biện pháp bảo vệ kỹ thuật ngày càng tăng. Các lỗ hổng bảo mật hoạt động chịu trách nhiệm cho phần lớn các khoản lỗ, với 1,83 tỷ đô la Mỹ bị đánh cắp trên cả nền tảng DeFi và CeFi. Sự cố nổi bật trong quý 2 là vụ hack Cetus, nơi 223 triệu đô la Mỹ đã bị rút cạn chỉ trong 15 phút, đánh dấu quý tồi tệ nhất của DeFi kể từ đầu năm 2023 và ngăn chặn xu hướng giảm trong 5 quý liên tiếp về các khoản lỗ liên quan đến khai thác. Trước đó, quý 4 năm 2024 và quý 1 năm 2025 chứng kiến sự thống trị của các lỗi kiểm soát truy cập, làm lu mờ hầu hết các hành vi khai thác dựa trên lỗi. Tuy nhiên, quý này chứng kiến các khoản lỗ kiểm soát truy cập trong DeFi giảm xuống chỉ còn 14 triệu đô la Mỹ, mức thấp nhất kể từ quý 2 năm 2024, mặc dù các hành vi khai thác hợp đồng thông minh đã tăng vọt. Vụ tấn công Cetus đã khai thác một lỗ hổng kiểm tra tràn trong tính toán thanh khoản của nó. Kẻ tấn công đã sử dụng khoản vay nhanh để mở các vị thế nhỏ, sau đó quét qua 264 pool. Theo Hacken, nếu việc giám sát tổng giá trị bị khóa (TVL) theo thời gian thực với tính năng tự động tạm dừng được triển khai, thì có thể đã cứu được tới 90% số tiền. AI và các mô hình ngôn ngữ lớn (LLM) được tích hợp sâu vào cả hệ sinh thái Web2 và Web3. Mặc dù sự tích hợp này tạo ra sự đổi mới, nhưng nó cũng mở rộng bề mặt tấn công, giới thiệu các mối đe dọa bảo mật mới và đang phát triển. Các hành vi khai thác liên quan đến AI đã tăng vọt 1.025% so với năm 2023, với con số đáng kinh ngạc là 98,9% các cuộc tấn công này có liên quan đến API không an toàn. Ngoài ra, năm Điểm yếu và Lỗi bảo mật chung (CVE) lớn liên quan đến AI đã được thêm vào danh sách và 34% dự án Web3 hiện triển khai các tác nhân AI trong môi trường sản xuất, khiến chúng trở thành mục tiêu ngày càng tăng của những kẻ tấn công. Các khuôn khổ an ninh mạng truyền thống, như ISO/IEC 27001 và Khuôn khổ An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) (CSF), không được trang bị tốt để giải quyết các rủi ro cụ thể về AI như ảo giác mô hình, tấn công nhanh và đầu độc dữ liệu đối nghịch. Các khuôn khổ này phải phát triển để cung cấp khả năng quản trị toàn diện bao gồm những thách thức riêng do AI gây ra. Tạp chí: Vụ hack Coinbase cho thấy luật pháp có thể sẽ không bảo vệ bạn: Đây là lý do [Tạp chí]