Tin tặc tiền điện tử đánh cắp 127 triệu đô la vào tháng 9 khi xảy ra 20 vụ khai thác lớn

2 giờ trước
Tin tặc tiền điện tử đánh cắp 127 triệu đô la vào tháng 9 khi xảy ra 20 vụ khai thác lớn

Các nền tảng tiền điện tử mất 127 triệu USD vào tin tặc trong tháng 9/2025, đánh dấu mức giảm 22% so với tháng trước nhưng vẫn tiếp tục những gì các nhà nghiên cứu bảo mật mô tả là một trong những năm tồi tệ nhất của ngành đối với hành vi trộm cắp kỹ thuật số.


Những điều cần biết:

  • Tháng 9 chứng kiến khoảng 20 vụ khai thác tiền điện tử lớn với tổng cộng 127 triệu USD, giảm so với 163 triệu USD vào tháng 8 nhưng vẫn thể hiện những lỗ hổng đáng kể của ngành.
  • Vụ vi phạm lớn nhất liên quan đến UXLINK, mất 44 triệu đô la thông qua các cuộc tấn công thao tác ví và đúc tiền mã hóa trên Arbitrum.
  • Hơn 3,1 tỷ USD tiền điện tử đã bị đánh cắp trong nửa đầu năm 2025, vượt qua toàn bộ tổn thất của năm 2024 và làm nổi bật những thất bại bảo mật kéo dài.

Vi phạm lớn ảnh hưởng đến nhiều nền tảng

PeckShield, một công ty bảo mật chuỗi khối, đã xác định được khoảng 20 vụ khai thác tiền điện tử quan trọng vào tháng trước. Việc giảm từ con số của tháng 8 mang lại ít sự an ủi cho các phân tích viên theo dõi những tổn thất ngày càng tăng của ngành.

UXLINK phải chịu mức vi phạm lớn nhất trong tháng với 44 triệu USD. Những kẻ tấn công đầu tiên tấn công dự án Web3 xã hội vào ngày 22 tháng 9, nhắm vào ví đa chữ ký của nó để loại bỏ các quyền kiểm soát hành chính và rút 11,3 triệu USD. Cuộc tấn công tiếp tục khi tin tặc đúc hàng tỷ mã thông báo UXLINK mới trên mạng Arbitrum, gần như gấp đôi nguồn cung lưu hành. Giá của mã thông báo sụp đổ hơn 70%. Các sàn giao dịch như Upbit đã đóng băng một số tài sản, nhưng hầu hết số tiền bị đánh cắp vẫn nằm trong ví do kẻ tấn công kiểm soát.

SwissBorg, một nền tảng quản lý tài sản của Thụy Sĩ, đã ghi nhận mức lỗ khoảng 41,5 triệu USD thông qua sự thỏa hiệp trong chuỗi cung ứng. Các tin tặc đã khai thác Kiln, một nhà cung cấp dịch vụ bên thứ ba quản lý các hoạt động đặt cược Solana.

Vụ vi phạm này đã cho phép những kẻ tấn công kiểm soát gần 193.000 SOL bằng cách giấu mã độc trong các giao dịch huỷ đặt cược mà bề ngoài có vẻ bình thường.

Một chiến dịch lừa đảo đã nhằm vào nền tảng cho vay Venus vào ngày 2 tháng 9, dẫn đến khoản lỗ khoảng 13 triệu USD. Nạn nhân đã tham gia một cuộc họp Zoom mà họ tin là hợp pháp, điều này cho phép kẻ tấn công xâm phạm thiết bị của họ và thay đổi thông tin đăng nhập ví. Venus đã tạm đình chỉ hoạt động và thanh lý vị trí của kẻ tấn công để thu hồi các tài sản bị đánh cắp.

Các sự cố khác trong tháng 9 bao gồm vụ khai thác 7,6 triệu đô la của giao thức stablecoin Yala và vụ vi phạm 3 triệu đô la tại GriffAI.

Hiểu về các lỗ hổng bảo mật tiền điện tử

Ví đa chữ ký yêu cầu nhiều khóa cá nhân để ủy quyền giao dịch, về mặt lý thuyết phân phối trách nhiệm bảo mật giữa nhiều bên. Khi những kẻ tấn công xâm nhập các hệ thống này, chúng thường giành được quyền kiểm soát thông qua kỹ thuật xã hội hoặc bằng cách khai thác các lỗ hổng trong cách cấu trúc quyền truy cập hành chính.

Tấn công chuỗi cung ứng nhắm vào các nhà cung cấp dịch vụ bên thứ ba đáng tin cậy hơn là nền tảng chính. Những vụ vi phạm này đặc biệt nguy hiểm vì người dùng cho rằng tiền của họ vẫn an toàn khi làm việc với các trung gian đã được thiết lập. Các kế hoạch lừa đảo dựa vào việc lừa dối người dùng tiết lộ thông tin đăng nhập hoặc cấp quyền truy cập thông qua các liên lạc giả mạo bắt chước các tương tác kinh doanh hợp pháp.

Tấn công đúc mã thông báo khai thác các lỗ hổng trong mã hợp đồng thông minh để tạo ra các mã thông báo mới không được ủy quyền, làm loãng các khoản nắm giữ hiện có và làm sụp đổ giá thị trường. Kỹ thuật này đã trở nên ngày càng phổ biến khi những kẻ tấn công xác định các nền tảng có quy trình xem xét mã không đầy đủ.

Năm cho thấy hoạt động gián điệp kỷ lục

Sự sụt giảm trong tháng 9 đã mang lại sự giảm nhẹ tối thiểu trong một năm mà các nhà nghiên cứu bảo mật đã xếp vào loại tồi tệ nhất trong ngành. Hacken, một công ty bảo mật chuỗi khối khác, báo cáo rằng những kẻ trộm đã đánh cắp hơn 3,1 tỷ đô la tiền điện tử trong sáu tháng đầu năm 2025. Con số đó đã vượt qua tổng số điểm năm 2024 là 2,85 tỷ USD. Vi phạm của sàn giao dịch Bybit trong quý đầu tiên đã dẫn đến khoản lỗ 1,5 tỷ đô la thông qua những gì các nhà phân tích đánh giá là thất bại lớn trong kiểm soát truy cập.

Các chuyên gia bảo mật xác định hai vấn đề dai dẳng dẫn đến mất mát. Những kẻ tấn công tiếp tục khai thác các điểm truy cập và lối vào đặc quyền mà đội ngũ phát triển bỏ qua trong quá trình xem xét bảo mật. Người dùng vẫn dễ bị ảnh hưởng trước các chiến thuật kỹ thuật xã hội, hoàn toàn vượt qua các biện pháp bảo vệ kỹ thuật. Các nhà phân tích ngành cảnh báo rằng nếu không có sự đầu tư đáng kể vào các hệ thống kiểm soát truy cập, kiểm toán bảo mật độc lập và các chương trình giáo dục người dùng, sự giảm tạm thời trong trộm cắp tháng 9 có thể trở nên vô nghĩa. Xu hướng trong năm cho thấy hoạt động tội phạm nhắm vào các nền tảng tiền điện tử sẽ tiếp tục phá kỷ lục.

Suy nghĩ cuối cùng

Ngành công nghiệp tiền điện tử đang phải đối mặt với những thách thức an ninh ngày càng gia tăng mặc dù mức giảm nhẹ trong tháng 9 về trộm cắp. Các lỗ hổng liên tục trong kiểm soát truy cập và sự thành công tiếp tục của các cuộc tấn công kỹ thuật xã hội chỉ ra các vấn đề hệ thống mà những cải tiến tạm thời không thể che giấu.

Tuyên bố miễn trừ trách nhiệm: Thông tin được cung cấp trong bài viết này chỉ nhằm mục đích giáo dục và không được coi là lời khuyên tài chính hoặc pháp lý. Luôn tự nghiên cứu hoặc tham khảo ý kiến chuyên gia khi giao dịch với tài sản tiền điện tử.
Tin tức mới nhất
Xem tất cả tin tức
Tin Tức Liên Quan
Bài viết nghiên cứu liên quan
Bài viết học tập liên quan