Ngành công nghiệp tiền điện tử tiếp tục đối mặt với làn sóng vi phạm an ninh chưa từng có vào năm 2025, với hơn $3.1 tỷ tài sản số bị đánh cắp chỉ trong nửa đầu năm, theo một báo cáo mới toàn diện từ công ty bảo mật blockchain Hacken.
Các tổn thất, chủ yếu do các lỗ hổng kiểm soát truy cập, mã cũ, và làn sóng khai thác do AI thúc đẩy gia tăng, đã vượt qua tổng số cả năm $2.85 tỷ vào năm 2024 - báo hiệu một cuộc khủng hoảng an ninh đang xấu đi khi việc áp dụng Web3 mở rộng toàn cầu.
Phát hiện của Hacken đã làm nổi bật các điểm yếu cấu trúc kéo dài trong hệ thống DeFi và CeFi, theo đặc biệt là về bảo mật cấp độ con người và quy trình, hiện đã vượt trội hơn về phương thức tấn công so với các lỗi mã hóa. Mặc dù các sự cố lớn như vụ hack Bybit trị giá $1.5 tỷ vào tháng Hai có thể là các ngoại lệ về thống kê, báo cáo này nhấn mạnh rằng phần lớn các tổn thất xuất phát từ các lỗ hổng có thể ngăn chặn được, thường liên quan đến mã lỗi thời, quyền không cấu hình, hoặc API không bảo vệ.
Các lỗ hổng kiểm soát truy cập - xảy ra khi các tác nhân không được phép giành quyền kiểm soát các chức năng đặc quyền do cài đặt quyền yếu - chiếm khoảng 59% tổng số tiền bị đánh cắp vào năm 2025, theo Hacken. Điều đó tương đương với khoảng $1.83 tỷ giá trị bị mất qua hàng chục sự cố.
Xu hướng này phản ánh năm 2024, nơi mà các điểm yếu tầng lớp kiểm soát tương tự chiếm ưu thế trong dữ liệu khai thác. Tuy nhiên, quy mô và sự tinh vi của các cuộc tấn công đã tăng nhanh vào năm 2025, với một số xâm nhập quy mô lớn nhằm vào các hợp đồng thông minh cũ kỹ và logic quản trị lỗi thời trong các giao thức phi tập trung. "Các dự án cần quan tâm đến mã của họ nếu nó không còn hoạt động hoàn toàn," Yehor Rudytsia, Trưởng ban pháp y và ứng phó sự cố tại Hacken cho biết. "Nhiều giao thức vẫn thể hiện các chức năng hành chính từ các phiên bản được cho là đã ngừng hoạt động."
Rudytsia nhấn mạnh ví dụ của GMX v1, nơi mà các lỗ hổng kiến trúc hợp đồng cũ đã được khai thác trong Q3 2025 - lâu sau khi giao thức chuyển phát triển sang các phiên bản mới hơn.
Các nền tảng DeFi và CeFi tiếp tục chảy máu
Kết hợp lại, các nền tảng tài chính phi tập trung (DeFi) và tài chính tập trung (CeFi) đã trải qua thiệt hại hơn $1.83 tỷ năm nay do các lỗi vận hành và an ninh. Sự cố lớn nhất trong Q2 là khai thác giao thức Cetus, dẫn đến tổn thất $223 triệu chỉ trong 15 phút, khiến Q2 trở thành quý tồi tệ nhất của DeFi kể từ đầu năm 2023 và kết thúc một xu hướng năm quý liên tiếp của khối lượng hack suy giảm.
Theo phân tích của Hacken, kẻ tấn công Cetus đã sử dụng khai thác flash loan lợi dụng kiểm tra tràn lỗi trong tính toán hồ thanh khoản. Bằng cách mở một loạt vị trí nhỏ trên 264 hồ, kẻ tấn công đã quá tải hệ thống và rút cạn thanh khoản mà không kích hoạt cơ chế an ninh thời gian thực.
"Nếu Cetus đã triển khai hệ thống giám sát TVL động với các ngưỡng tự động tạm ngừng,chúng tôi ước tính rằng có thể đã bảo toàn được 90% số tiền bị đánh cắp," Hacken viết trong bản báo cáo.
Sự cố này cũng đã thay đổi phân bố loại hình khai thác cho Q2. Trong khi các thất bại kiểm soát truy cập giảm xuống còn $14 triệu - mức thấp nhất kể từ Q2 2024 - các lỗi hợp đồng thông minh gia tăng, cho thấy trong khi các lỗ hổng quyền hạn vẫn chiếm lĩnh lâu dài, các vấn đề mã vẫn đe dọa nghiêm trọng.
AI và LLMs giới thiệu các phương thức tấn công mới
Một trong những tiết lộ đáng lo ngại nhất trong báo cáo năm 2025 của Hacken là mức gia tăng mạnh mẽ trong các sự cố an ninh liên quan đến AI trong crypto. Các khai thác liên quan đến mô hình ngôn ngữ lớn (LLMs) và hạ tầng Web3 tích hợp AI đã tăng phi mã 1,025% so với 2023, với hầu hết các cuộc tấn công nhắm mục tiêu vào các API không an toàn được dùng để kết nối logic on-chain với các hệ thống trí tuệ ngoài chuỗi.
Trong số các sự cố liên quan đến AI được phân tích:
- 98.9% vi phạm liên quan đến AI liên quan đến API bị lộ hoặc không cấu hình.
- Năm lỗ hổng và phơi nhiễm mới (CVE) liên quan đến LLM đã được thêm vào năm 2025.
- 34% dự án Web3 hiện triển khai các agent AI trong môi trường sản xuất, khiến chúng trở thành các mục tiêu ngày càng hấp dẫn.
Các cuộc tấn công này nêu rõ sự chồng lấn ngày càng tăng giữa các lỗ hổng Web2 và hạ tầng Web3, đặc biệt khi các nền tảng crypto tranh thủ tích hợp học máy vào trading bot, DAOs, hệ thống hỗ trợ khách hàng và các agent tự động.
"Các khuôn khổ an ninh truyền thống đang tình trạng tụt hậu," Hacken viết, đề cập đến các tiêu chuẩn như ISO/IEC 27001 và NIST Cybersecurity Framework, mà chưa thích nghi để đối phó với các mối đe dọa cụ thể AI như tiêm prompt, ảo giác mô hình và tiêm độc dữ liệu.
Rug Pulls và lừa đảo vẫn là vấn đề lớn
Ngoài các khai thác kỹ thuật, không gian tiền điện tử tiếp tục chịu đau khổ từ các cuộc tấn công xã hội, gian lận và những cái gọi là "rug pulls" - các dự án biến mất sau khi thu hút vốn đầu tư.
Trong khi các sự cố này khó lượng hóa hơn về mặt kỹ thuật, Hacken ước tính rằng các tổn thất phi kỹ thuật, bao gồm các trò lừa đảo, đã góp phần vào khoảng $750 triệu vốn bổ sung trốn chạy khỏi các nhà đầu tư bán lẻ và tổ chức vào năm 2025.
Lừa đảo rug pull lớn nhất năm nay liên quan đến một bộ tập hợp yield DeFi trên mạng BNB, nơi mà các nhà phát triển rút $62 triệu từ quỹ người dùng thông qua việc thao túng logic hợp đồng trước khi xóa tất cả các kênh giao tiếp dự án và đi offline.
Bài học và khuyến nghị quan trọng
Báo cáo của Hacken kết luận với một loạt khuyến nghị nhằm giúp các dự án giảm thiểu nguy cơ phơi bày rủi ro trong môi trường mối đe dọa đang phát triển nhanh chóng:
- Đánh giá mã cũ: Các dự án cần kiểm toán và vô hiệu hóa các hợp đồng thông minh cũ giữ chức năng quyền hạn và quản trị cao.
- Kiểm soát truy cập động: Danh sách trắng cứng nhắc hoặc các chức năng chỉ dành riêng cho quản trị nên được thay thế bằng hệ thống multi-sig, hẹn giờ và dựa trên vai trò để thích nghi với các mức đe dọa thay đổi.
- Hệ thống giám sát thời gian thực và tạm ngừng tự động: Triển khai viễn thông on-chain và cảnh báo di chuyển TVL thời gian thực để ngăn chặn việc rút quỹ nhanh chóng trong các cuộc tấn công flash loan.
- Kiểm soát rủi ro AI: Các dự án sử dụng LLM phải thiết lập việc vệ sinh đầu vào, nhật ký kiểm tra, và hạn chế truy cập vào các chức năng on-chain nhạy cảm. Các khung sườn agent mở rộng không được triển khai nếu không có danh sách trắng và xác nhận phản hồi API nghiêm ngặt.
- Giáo dục người dùng: An ninh cấp ví vẫn yếu. Khuyến khích sử dụng ví phần cứng, vô hiệu hóa việc ký mù, và triển khai giả lập giao dịch có thể giảm rủi ro bị tấn công key riêng từ các cuộc tấn công phishing.
An ninh không còn là tùy chọn
Khi áp dụng crypto mở rộng vào hệ thống tài chính chính thống và hạ tầng tổ chức, bảo mật không còn là mối quan tâm thứ cấp - nó là nền tảng cho tính khả thi dài hạn của Web3.
Khi các kẻ tấn công tiến hóa từ khai thác kỹ thuật đến thao túng cấp độ quy trình và khai thác AI, nhu cầu về các tiêu chuẩn bảo mật chủ động, thích nghi và toàn diện chưa bao giờ cấp bách hơn.
Nếu xu hướng hiện tại tiếp tục, năm 2025 chuẩn bị trở thành năm tốn kém nhất trong lịch sử an ninh crypto, và ngành công nghiệp sẽ cần đối mặt với các mối liên kết yếu nhất của nó - từ các hợp đồng thông minh lỗi thời đến các tích hợp học máy không an toàn.
"Crypto đang bước sang một kỷ nguyên mới, nơi mà lỗi con người, thiết kế kém, và khai thác AI ngày càng quan trọng," Rudytsia kết luận. "Các giao thức sống sót trong kỷ nguyên này sẽ là những giao thức coi bảo mật là sản phẩm cốt lõi, chứ không phải suy nghĩ sau khi ra mắt."