Các giao thức tài chính phi tập trung (DeFi) đã mất 92,5 triệu USD qua 15 vụ tấn công riêng biệt trong tháng 4 năm 2025. Theo báo cáo hàng tháng mới nhất của công ty an ninh blockchain Immunefi, con số này tăng 27,3% so với cùng kỳ năm trước và hơn gấp đôi mức tổn thất của tháng 3 năm 2025 là 41,4 triệu USD.
Sự gia tăng đáng lo ngại này củng cố sự đồng thuận ngày càng gia tăng trong cộng đồng an ninh mạng rằng nền tảng kỹ thuật của DeFi vẫn cực kỳ dễ bị tổn thương bất chấp nhiều năm xảy ra các cuộc tấn công nổi tiếng và các cảnh báo lặp đi lặp lại từ các chuyên gia an ninh mạng. Các con số của tháng 4 đóng góp vào một số liệu thậm chí còn đáng báo động hơn: tổng tổn thất tiền điện tử từ các vụ tấn công đã đạt 1,74 tỷ USD năm 2025 - vượt qua tổng tổn thất của cả năm 2024 chỉ trong bốn tháng.
"Những gì chúng ta đang chứng kiến không chỉ là sự gia tăng tạm thời, mà là một cuộc khủng hoảng an ninh cơ bản về cách các giao thức phi tập trung được thiết kế, triển khai và bảo trì," giải thích Maria Chen, Nhà nghiên cứu chính tại ChainSecurity. "Ngành công nghiệp đang xây dựng hạ tầng tài chính ngày càng phức tạp trên nền tảng mã code chưa trải qua cùng mức độ nghiêm ngặt như các hệ thống tài chính truyền thống."
Các cuộc khai thác vào tháng 4 chủ yếu nhắm vào các mạng blockchain đã được thiết lập, với 100% các cuộc tấn công được phân loại là khai thác kỹ thuật thay vì tấn công lừa đảo hoặc dựa trên kỹ thuật xã hội. Trong số 15 vụ việc được ghi nhận, một số điểm nổi bật cả về quy mô và các vector tấn công tinh vi được áp dụng:
Giao thức UPCX: 70 triệu USD
Lỗ hổng lớn nhất trong tháng đã ảnh hưởng đến UPCX, một giao thức thanh toán chuỗi chéo đã tích lũy được hơn 300 triệu USD tổng giá trị bị khóa (TVL) kể từ khi ra mắt vào cuối năm 2024. Vào ngày 12 tháng 4, kẻ tấn công đã xác định một lỗ hổng nghiêm trọng trong cơ chế xác minh thông điệp chuỗi chéo của giao thức.
Theo phân tích pháp y sơ bộ của công ty tình báo blockchain Chainalysis, kẻ tấn công tận dụng một lỗi tinh vi trong cách UPCX xác thực các chữ ký giao dịch trên các chuỗi tương thích EVM khác nhau. Kẻ tấn công đã thực hiện một cuộc tấn công chính xác trong thời kỳ tắc nghẽn mạng cao, vượt qua các bước xác minh và cho phép rút tiền gian lận từ nhiều pool thanh khoản cùng lúc.
"Cuộc tấn công UPCX cho thấy cầu nối chuỗi chéo tiếp tục là một trong những hạ tầng dễ bị tổn thương nhất trong hệ sinh thái," ghi chú Thomas Walton-Pocock, người sáng lập Phòng thí nghiệm An ninh Optimism. "Mặc dù đã có nhiều ví dụ lịch sử về các cuộc tấn công cầu nối từ năm 2022 đến nay, các dự án vẫn tiếp tục đánh giá thấp sự phức tạp của nhắn tin chuỗi chéo an toàn."
UPCX đã công bố kế hoạch bồi thường cho người dùng bị ảnh hưởng, mặc dù chi tiết vẫn đang chờ trong khi các cuộc điều tra tiếp tục.
KiloEx: 7,5 triệu USD
KiloEx, một sàn giao dịch phi tập trung tập trung vào giao dịch quyền chọn, đã mất 7,5 triệu USD vào ngày 19 tháng 4 qua một cuộc tấn công thao túng oracle giá tinh vi. Kẻ tấn công đã lợi dụng sự giảm thanh khoản tạm thời trên một trong những thị trường tham chiếu của KiloEx, thao túng giá được nhận thức của các hợp đồng quyền chọn KETH/ETH.
Bằng cách đầu tiên giảm giá oracle một cách giả tạo thông qua một loạt giao dịch phối hợp trên nhiều nền tảng, rồi khai thác cơ chế thanh lý tự động của KiloEx, kẻ tấn công có khả năng mua các hợp đồng quyền chọn đã giảm mạnh trước khi giá oracle hồi phục.
"Các cuộc tấn công oracle đang ngày càng trở nên có phương pháp," nhận xét Samczsun, một nhà nghiên cứu an ninh có uy tín với Paradigm. "Những kẻ tấn công ngày nay hiểu cấu trúc vi mô thị trường và có thể tổ chức các điều kiện vốn không vi phạm bất kỳ quy tắc nào của từng hệ thống, nhưng vẫn tạo ra cơ hội chênh lệch đáng khai thác qua các giao thức kết nối lẫn nhau."
Các Sự Cố Đáng Kể Khác
Các vụ khai thác trong tháng 4 còn lại kết hợp lại đã gây tổn thất 15 triệu USD:
- Loopscale: Mất 5,8 triệu USD khi kẻ tấn công khai thác lỗ hổng tái nhập trong hợp đồng vay
- ZKsync: 5,0 triệu USD bị rút qua lỗi trong mạch xác minh bằng chứng không kiến thức
- Term Labs: 1,5 triệu USD bị đánh cắp qua các giá trị trả về chưa kiểm tra trong các tương tác hợp đồng thông minh
- Bitcoin Mission: 1,3 triệu USD trong BTC được đóng gói bị lấy thông qua điều khiển truy cập không chuẩn
- The Roar: Mất 790.000 USD qua thao túng khoản vay tức thời
- Impermax: 152.000 USD bị rút qua lỗi làm tròn chính xác trong các phép tính phần thưởng
- Zora: 140.000 USD trong tài sản NFT bị xâm phạm thông qua thao túng siêu dữ liệu
- ACB: Mất 84.000 USD do các chức năng khởi tạo không được bảo vệ
Ethereum Vẫn là Mục Tiêu Chính
Sự phân bố các cuộc tấn công trên các mạng blockchain cho thấy những lỗ hổng thường trực ngay cả trong các hệ sinh thái đã được thiết lập. Ethereum vẫn là mục tiêu chính, chiếm năm sự cố (33,3% tổng số), trong khi Chuỗi BNB trải qua bốn cuộc tấn công (26,7%). Base, giải pháp Layer-2 của Coinbase, đã chứng kiến ba vụ khai thác đáng kể (20%), đánh dấu một xu hướng đáng lo ngại cho mạng mới tương đối.
"Những kẻ tấn công nhắm vào nơi có tiền, nhưng họ cũng ưu tiên các mạng có điểm tích hợp dễ bị khai thác," giải thích Tiến sĩ Jenna Rodriguez, giáo sư mật mã học tại MIT. "Total Value Locked (TVL) chiếm ưu thế của Ethereum làm cho nó trở thành một mục tiêu không ngừng, nhưng chúng tôi đang thấy sự chú ý ngày càng tăng đối với các mạng layer-2 như Base chính xác vì chúng đang triển khai công nghệ mới chưa được kiểm chứng trong chiến đấu."
Các sự cố còn lại ảnh hưởng đến Arbitrum, Solana, Sonic và ZKsync, chỉ ra rằng không có hệ sinh thái blockchain nào miễn nhiễm với các vi phạm an ninh. Sự cố đơn lẻ của Solana đại diện cho một cải tiến đáng kể so với các năm trước khi mạng phải chịu nhiều cuộc khai thác nổi bật.
Bối Cảnh Lịch Sử
Để đánh giá đầy đủ mức độ nghiêm trọng của các con số trong tháng 4, ngữ cảnh lịch sử rất cần thiết. Dữ liệu từ Chainalysis và CipherTrace chỉ ra rằng các tổn thất hàng năm do các vụ tấn công đã theo đuổi một quỹ đạo đáng lo ngại:
- 2019: 370 triệu USD
- 2020: 520 triệu USD
- 2021: 3,2 tỷ USD
- 2022: 3,8 tỷ USD
- 2023: 1,7 tỷ USD
- 2024: 1,49 tỷ USD
- 2025 (Jan-Apr): 1,74 tỷ USD
Tốc độ tăng nhanh của năm nay cho thấy 2025 có thể vượt qua kỷ lục được thiết lập vào năm 2022, khi sự sụp đổ của Terra/Luna và sự lan truyền sau đó tạo ra sự tổn thương chưa từng có trong toàn hệ sinh thái.
"Điều đặc biệt đáng lo ngại về làn sóng khai thác hiện tại là chúng đang xảy ra trong thời kỳ ổn định thị trường," ghi chú Michael Lewellen, cựu trưởng bộ phận an ninh tại Aave. "Không giống như năm 2022, khi hỗn loạn thị trường và các cascading thanh lý tạo ra những hoàn cảnh đặc biệt, những cuộc tấn công này đang thành công chống lại các giao thức hoạt động trong quyền điều bình thường."
Quý I năm 2025: Đặt Nền Tảng cho Sự Gia Tăng của Tháng 4
Các cuộc khai thác trong tháng 4 xây dựng trên một quý đầu đã gây thiệt hại. Năm được bắt đầu với một trong những cuộc tấn công lớn nhất trong ngành tiền điện tử khi Bybit, một sàn giao dịch tập trung lớn, đã mất 1,46 tỷ USD sau khi bọn tấn công xâm nhập vào một số khóa cá nhân ví nóng. Mặc dù không phải là một cuộc tấn công DeFi, sự cố Bybit đã nhấn mạnh những điểm yếu dai dẳng trong các giải pháp giám sát khắp hệ sinh thái tiền điện tử rộng lớn hơn.
Các vụ khai thác đáng kể khác trong quý I bao gồm:
- Giao thức Infini: Mất 50 triệu USD thông qua một cuộc tấn công chênh lệch phức tạp liên quan đến nhiều nền tảng vay mượn
- zkLend: Mất 9,5 triệu USD qua một cuộc tấn công flash loan thao túng các giá trị bảo đảm
- Ionic: 8,5 triệu USD bị rút sau khi bọn tấn công chiếm quyền truy cập vào các chức năng có quyền thông qua kỹ thuật xã hội
Kết hợp với các con số của tháng 4, những sự cố này vẽ nên bức tranh về một ngành công nghiệp đang vật lộn để bảo vệ bản thân chống lại các mối đe dọa ngày càng phức tạp.
Sự Phát Triển của Các Vector Tấn Công
Các nhà nghiên cứu an ninh đã ghi nhận sự phát triển rõ rệt trong các phương pháp tấn công trong suốt năm 2024 và 2025. Các cuộc khai thác DeFi ban đầu thường nhắm vào các lỗi rõ ràng: chức năng quản trị không được bảo vệ, khóa mã hóa cứng, hoặc các lỗ hổng tái nhập đơn giản. Các cuộc tấn công ngày nay thể hiện độ phức tạp đáng kể hơn nhiều.
"Các cuộc khai thác DeFi hiện đại ngày càng nhắm vào các giả định toán học cơ bản của thiết kế giao thức thay vì lỗi triển khai đơn giản," giải thích Tiến sĩ Neha Narula, Giám đốc Sáng kiến Tiền tệ Kỹ thuật số tại MIT. "Những kẻ tấn công đang tìm kiếm các trường hợp ngoại lệ trong các mô hình kinh tế, khai thác các mất cân bằng tạm thời qua nhiều giao thức, và tận dụng các tương tác tinh tế giữa các hệ thống mà tưởng như là độc lập."
Các vector tấn công phổ biến trong những tháng gần đây bao gồm:
Lỗ Hổng Chứng Minh Không Kiến Thức
Khi giải pháp ZK-rollup và các giải pháp riêng tư được áp dụng, các cuộc tấn công nhắm vào nền tảng mật mã của chúng đã tăng lên. Mất 5 triệu USD của ZKsync tháng 4 là minh chứng cho việc ngay cả những hệ thống có tính toán nghiêm ngặt cũng có thể chứa các lỗi có thể khai thác trong việc triển khai.
Khai Thác Cầu Nối Chuỗi Chéo
Mặc dù đã có nhiều cảnh báo trong nhiều năm, các giao thức cầu nối nối các blockchain khác nhau vẫn rất dễ bị tấn công. Mất 70 triệu USD của UPCX gia nhập hàng ngũ dài các cuộc tấn công cầu nối, bao gồm các tấn công lịch sử vào Wormhole (320 triệu USD), Ronin (620 triệu USD), và Nomad (190 triệu USD).
Thao Túng Oracle
Các cuộc tấn công oracle giá đã trở nên ngày càng tinh vi, với những kẻ tấn công dàn dựng các thao túng thị trường phức tạp qua nhiều địa điểm để tạm thời làm sai lệch các nguồn cấp giá.
Tấn Công Quản Trị
Mặc dù không phổ biến trong tháng 4, các cuộc tấn công cơ chế quản trị đại diện cho một mối lo ngại đang lớn lên. Các cuộc tấn công gần đây đã nhắm vào các hệ thống biểu quyết, cho phép kẻ tấn công có được quyền quyết định thông qua các khoản vay tức thời hoặc tích lũy tạm thời tài nguyên.
Đáp Ứng của Tổ Chức: Ngành Công Nghiệp Thích Ứng
Ngành công nghiệp tiền điện tử không đứng yên trước các thách thức an ninh ngày càng gia tăng. Một số phản hồi của tổ chức đã nổi lên:
Tiêu Chuẩn Kiểm Toán Nâng Cao
Các công ty kiểm toán hàng đầu như Trail of Bits, OpenZeppelin, và Consensys Diligence đã phát triển các phương pháp toàn diện hơn vượt ra ngoài việc xem xét mã code để bao شامل mô phỏng tấn công kinh tế và phê chuẩn chính thức.
Chúng tôi thấy các giao thức yêu cầu kiểm toán kỹ lưỡng hơn nhiều so với thậm chí cách đây một năm," Yan Michalevsky, người sáng lập công ty bảo mật Ottersec, báo cáo. "Các dự án hiện thường trải qua nhiều cuộc kiểm toán độc lập, xác minh chính thức nếu áp dụng được và mô phỏng kinh tế trước khi triển khai."
### Giải Pháp Bảo Hiểm
Các giao thức bảo hiểm trên chuỗi như Nexus Mutual và InsurAce đã mở rộng các tùy chọn bảo hiểm, mặc dù phí bảo hiểm đã tăng đáng kể để đáp ứng tần suất khiếu nại ngày càng tăng. Đến tháng 5 năm 2025, khoảng 500 triệu đô la tài sản DeFi có một hình thức bảo hiểm khai thác nào đó - vẫn chỉ dưới 1% tổng TVL trên toàn DeFi.
### Leo Thang Tiền Thưởng Sửa Lỗi
Immunefi báo cáo rằng tiền thưởng sửa lỗi đã tăng trung bình 64% năm này qua năm khác, với các khoản thanh toán tối đa cho các điểm yếu nghiêm trọng hiện nay thường xuyên vượt quá 1 triệu đô la. Vào tháng 3 năm 2025, một hacker mũ trắng đã nhận được 2,5 triệu đô la cho việc phát hiện một điểm yếu nghiêm trọng trong Uniswap V4 - khoản tiền thưởng sửa lỗi lớn nhất trong lịch sử tiền điện tử.
### Sự Chú Ý Của Cơ Quan Quản Lý
Các cơ quan quản lý trên toàn thế giới đã lưu ý đến cuộc khủng hoảng bảo mật này. Khung thị trường tài sản kỹ thuật số (MiCA) của Liên minh châu Âu, được thực hiện hoàn toàn vào đầu năm 2025, hiện yêu cầu các giao thức DeFi hoạt động trong quyền tài phán của châu Âu phải đáp ứng tiêu chuẩn bảo mật tối thiểu.
Tại Hoa Kỳ, SEC đã sử dụng các vụ vi phạm bảo mật như một lý do bổ sung cho các hành động thực thi chống lại các giao thức bị coi là cung cấp chứng khoán chưa đăng ký. Chủ tịch SEC Gary Gensler gần đây nhận xét, "Tần suất của các vụ hack này cho thấy chính xác tại sao các biện pháp bảo vệ nhà đầu tư cần phải mở rộng đến các sản phẩm tài chính mới này."
## Phòng Ngừa Kỹ Thuật: Con Đường Đi Tới
Các chuyên gia bảo mật đồng tình về một số cải tiến công nghệ cần thiết để giải quyết nguyên nhân cốt lõi của các điểm yếu trong DeFi:
### Xác Minh Chính Thức
Các kỹ thuật xác minh chính thức, đảm bảo đúng đắn của mã dựa trên các thông số kỹ thuật một cách toán học, ngày càng được xem là thiết yếu cho các thành phần cốt lõi của giao thức. Mặc dù tốn kém tài nguyên, xác minh chính thức có thể loại bỏ cả các loại điểm yếu.
"Công nghiệp cần chuyển từ mô hình kiểm toán và tung ra sản phẩm sang đảm bảo bảo mật được chứng minh toán học," Manuel Araoz, người sáng lập Zeppelin Solutions, lập luận. "Đối với những giao thức xử lý hàng tỷ đô la quỹ người dùng, không gì kém hơn là xác minh chính thức nên được chấp nhận."
### Giám Sát An Ninh Phi Tập Trung
Các hệ thống giám sát thời gian chạy có thể phát hiện các mẫu giao dịch bất thường đang ngày càng thu hút sự chú ý. Các giao thức như Forta Network cung cấp giám sát phi tập trung có thể cảnh báo các hoạt động đáng ngờ trên nhiều chuỗi, có khả năng giúp phản ứng khẩn cấp nhanh hơn.
### Khóa Thời Gian và Công Tắc Ngắt Mạch
Thực hiện các khoảng thời gian trì hoãn bắt buộc cho các chuyển động lớn của quỹ và tạm dừng tự động các giao thức trong các điều kiện bất thường có thể giảm thiểu ảnh hưởng của các khai thác trong tương lai.
### Khung Bảo Mật Tiêu Chuẩn
Một số nhóm công nghiệp đang phát triển các khung bảo mật tiêu chuẩn đặc biệt cho DeFi, bao gồm Open Zeppelin's DeFi Security Alliance và Ethereum Foundation's Smart Contract Security Consortium.
## Cân Bằng Giữa Đổi Mới và An Ninh
Các số liệu về khai thác tháng 4 năm 2025 đưa ra một lời nhắc nhở mạnh mẽ rằng các thách thức bảo mật của tiền điện tử vẫn rất cấp bách. Với các tổn thất từ đầu năm đến nay lên tới 1,74 tỷ đô la đã vượt qua toàn bộ năm 2024, ngành công nghiệp đang đối mặt với một điểm uốn quan trọng.
"Thách thức cơ bản mà DeFi đối mặt không phải là kỹ thuật - mà là văn hoá," Dr. Narula kết luận. "Ngành công nghiệp ưu tiên tốc độ đổi mới hơn sự bảo mật, và cho đến khi sự cân bằng đó thay đổi, chúng ta sẽ tiếp tục thấy các tiêu đề này."
Để DeFi đạt được sự chấp nhận từ thị trường chính thống và sự tham gia của các tổ chức, các thực hành bảo mật phải trưởng thành để phù hợp với trách nhiệm tài chính to lớn mà các giao thức này đã đảm nhận. Sự đổi mới không cấp phép đã thúc đẩy sự phát triển nhanh chóng của tiền điện tử phải được cân bằng với các thực hành bảo mật nghiêm ngặt phù hợp cho hạ tầng tài chính xử lý hàng tỷ đô la quỹ người dùng.
Khi ngành công nghiệp bước vào một phần ba thứ hai của năm 2025, tất cả các ánh mắt sẽ dồn vào xem liệu các giao thức có thể triển khai các biện pháp bảo mật mạnh mẽ hơn mà không hy sinh sự mở cửa và tính kết hợp làm cho DeFi cách mạng hay không. Kết quả của thách thức kỹ thuật và văn hoá này có khả năng xác định liệu tài chính phi tập trung có trở thành một hệ thống tài chính toàn cầu thay đổi thế giới hay không hoặc sẽ luôn bị khai thác.