Mùa
Bảng xếp hạng
Tin tức
Tìm hiểu
Nghiên cứu
Xếp hạng
Hệ sinh thái
yellow banner logo
GIAO DỊCH
NỀN TẢNG ĐÃ HOẠT ĐỘNG
BẮT ĐẦU NGAY
yellow shooting stars
background stars

Khủng hoảng bảo mật Web3 năm 2026: Vì sao các vụ hack lớn nhất không còn chỉ là lỗi smart contract

profile-alexey-bondarev
Alexey Bondarev3 giờ trước
#Web3 #Tài chính phi tập trung (DeFi) #Tin tặc
Khủng hoảng bảo mật Web3 năm 2026: Vì sao các vụ hack lớn nhất không còn chỉ là lỗi smart contract

Ngành crypto đã mất kỷ lục 3,4 tỷ đô vì hack trong năm 2025, nhưng câu chuyện định hình không còn là về code Solidity lỗi. Đó là về laptop lập trình viên bị xâm nhập, thông tin đăng nhập đám mây bị đánh cắp, các chiến dịch social engineering kéo dài hàng tháng và multisig không có timelock.

TL;DR

  • Các lỗi hạ tầng và vận hành chiếm 76% tổng thiệt hại hack crypto năm 2025, trong khi khai thác smart contract chỉ chiếm 12%
  • Hacker được nhà nước Triều Tiên tài trợ đã đánh cắp 2,02 tỷ đô trong 2025, khoảng 60% tổng trộm cắp crypto toàn cầu, dùng chiến thuật gián điệp hơn là khai thác code
  • Audit, bug bounty và chất lượng code on-chain đang cải thiện, nhưng bề mặt tấn công đã mở rộng vượt xa phạm vi mà các công cụ này bao phủ

Các con số cho thấy vấn đề đang phình to, không thu hẹp lại

Nhiều công ty bảo mật đi đến cùng một kết luận: 2025 là năm tốn kém nhất trong lịch sử bảo mật crypto. Chainalysis báo cáo 3,4 tỷ đô bị đánh cắp, tăng 55% so với 2,2 tỷ đô năm 2024. CertiK ghi nhận 3,35 tỷ đô trên 630 sự cố. Số vụ tấn công ít hơn năm 2024, nhưng khoản ăn chia trung bình mỗi vụ tăng vọt 66,6% lên 5,32 triệu đô.

Mức độ tập trung dữ liệu là cực đoan. Ba vụ hack lớn nhất năm 2025 chiếm 69% toàn bộ thiệt hại ở cấp độ dịch vụ. Riêng vụ vi phạm Bybit đã cuỗm 1,46 tỷ đô ngày 21/2/2025, tương đương khoảng 43% tổng thất thoát cả năm.

Nếu loại Bybit ra, thiệt hại năm 2025 giảm còn khoảng 1,5 đến 1,9 tỷ đô. Vẫn cao, nhưng sát hơn với mức năm 2024.

Mẫu hình này cho thấy một ngành mà bảo mật hệ thống đã cải thiện với giao thức trung bình, trong khi rủi ro đuôi thảm họa từ việc hạ tầng bị xâm nhập lại xấu đi nhiều.

Quý 1/2025 là quý tồi tệ nhất trong lịch sử crypto. Immunefi theo dõi 1,64 tỷ đô thất thoát trên 40 sự cố, cao gấp 4,7 lần so với 348 triệu đô của Q1/2024. CeFi chiếm 94% thiệt hại Q1, chủ yếu do hai vụ: Bybit và Phemex (85 triệu đô).

Thiệt hại DeFi thực tế giảm 69% so với cùng kỳ trong Q1. Bảo mật code on-chain đã cải thiện thực sự trong khi bảo mật vận hành lại sụp đổ.

Dữ liệu đầu 2026 cho thấy xu hướng tiếp diễn. CertiK báo cáo 501 triệu đô thiệt hại trong Q1/2026 trên 145 sự kiện. Vụ hack Drift Protocol ngày 1/4/2026 rút 285 triệu đô trong 12 phút thông qua một chiến dịch social engineering kéo dài sáu tháng. Các cuộc tấn công tinh vi nhắm vào con người vẫn là vector đe dọa chủ đạo khi bước vào 2026.

Đọc thêm: Why The U.S. Treasury Is Now Sharing Cyber Threat Data With Crypto Firms

Makina Finance loses millions in Ethereum flash loan oracle exploit (Image: Shutterstock)

Lỗi smart contract vẫn quan trọng, nhưng không còn là toàn bộ câu chuyện

Lỗ hổng smart contract vẫn chiếm đa số tính theo số vụ, khoảng 54,5% toàn bộ các exploit. Một số vụ hack ở tầng code đáng kể trong 2025 và 2026 chứng minh rủi ro on-chain truyền thống vẫn tồn tại và tiếp tục tiến hóa.

Vụ hack Cetus Protocol (223 triệu đô, 22/5/2025) là lỗi logic kinh điển. Một integer overflow trong thư viện toán học dùng chung tên "integer-mate" khiến kiểm tra tràn số âm thầm thất bại. Kẻ tấn công đã mint được các vị thế thanh khoản khổng lồ với chi phí gần như bằng 0.

Cetus đã được audit ba lần bởi MoveBit, OtterSecZellic. Báo cáo của Zellic không phát hiện vấn đề nào ngoài các mục thông tin. Lỗ hổng nằm trong dependency bên thứ ba chứ không phải code riêng của Cetus, cho thấy cách hệ sinh thái composable thừa hưởng rủi ro từ toàn bộ đồ thị phụ thuộc.

Các vụ khai thác smart contract đáng chú ý khác gồm:

  • Lỗi reentrancy của GMX v1 (42 triệu đô, 7/2025), chứng minh reentrancy vẫn tiếp tục gây nạn qua các biến thể cross-contract mới hơn
  • Lỗi làm tròn của Balancer (70–128 triệu đô, 11/2025), tích lũy sai số làm tròn nhỏ trên hàng trăm batch swap trong một lớp tấn công kinh tế mà các cuộc audit tiêu chuẩn hoàn toàn bỏ lỡ
  • Vi phạm invariant của Yearn Finance (9 triệu đô, 12/2025), trong đó lỗi tính toán share đã qua mặt cả công cụ phân tích tĩnh lẫn fuzzer

Điểm khác biệt quan trọng: khai thác smart contract thường gây thiệt hại nhỏ hơn mỗi vụ. TRM Labs tính toán mức trung bình 6,7 triệu đô cho mỗi exploit ở tầng code so với 48,5 triệu đô mỗi vụ tấn công hạ tầng. Ngành đã tiến bộ có ý nghĩa trong việc viết code on-chain an toàn hơn. Nhưng tiến bộ đó bị lu mờ bởi quy mô thảm họa của các thất bại vận hành.

Đọc thêm: Stablecoin Volume Could Hit $1.5 Quadrillion By 2035, Chainalysis Report Shows

Lớp con người: social engineering đã trở thành exploit hạng nhất trong crypto như thế nào

Hacker được nhà nước Triều Tiên tài trợ hiện là mối đe dọa đơn lẻ lớn nhất với ngành crypto. Chainalysis quy kết 2,02 tỷ đô trộm cắp crypto năm 2025 cho các tác nhân DPRK, tăng 51% so với 1,34 tỷ đô năm 2024 và tương đương khoảng 60% tổng trộm cắp crypto toàn cầu. Tổng lũy kế mọi thời điểm đạt 6,75 tỷ đô đến cuối 2025.

Điều khiến các chiến dịch này khác biệt là sự kiên nhẫn.

Vụ tấn công Drift Protocol bắt đầu từ những cuộc gặp gỡ tại hội nghị mùa thu 2025, tiến triển qua nhiều tháng xây dựng mối quan hệ, và bao gồm cả việc nạp hơn 1 triệu đô vốn tự có của kẻ tấn công để tạo độ tin cậy. Pha rút tiền cuối cùng chỉ mất 12 phút.

Chiến thuật của DPRK đã đa dạng hóa vượt xa kiểu hack trực tiếp:

  • Chiến dịch "Contagious Interview" nhắm vào lập trình viên qua các offer việc làm giả trên LinkedIn và các job board crypto, phát tán bài test code trojan cài backdoor
  • Một công ty bịa đặt tên "Veltrix Capital" phát hành các gói npm độc hại, được thiết kế riêng để kiểm tra sự hiện diện của tiện ích MetaMask
  • Tháng 5/2025, đội bảo mật Kraken phát hiện một điệp viên Triều Tiên ứng tuyển vị trí kỹ sư với bút danh "Steven Smith", giọng nói thay đổi trong phỏng vấn cho thấy có người huấn luyện thời gian thực
  • Chương trình cài người vào bộ phận IT được ước tính tạo ra 250–600 triệu đô mỗi năm theo ước tính của LHQ, với việc ZachXBT phát hiện mạng lưới 390 tài khoản tạo khoảng 1 triệu đô mỗi tháng

Vụ vi phạm Coinbase (5/2025) cho thấy một kiểu social engineering khác. Các nhân viên hỗ trợ khách hàng ở nước ngoài bị mua chuộc đã trích xuất dữ liệu cá nhân của 69.000 người dùng, tạo tiền đề cho các chiến dịch phishing tiếp theo với thiệt hại ước tính 180–400 triệu đô. Các smart contract không hề bị đụng tới.

Đọc thêm: Cardano Defies Bearish Trend With Record Transactions And Surging Whale Interest

Khóa, multisig và đám mây: sự tập trung hóa ẩn bên trong Web3

Sự tập trung hóa ẩn trong Web3 có lẽ là rủi ro hệ thống bị đánh giá thấp nhất của ngành. Halborn phát hiện trong phân tích 100 vụ hack DeFi lớn nhất rằng chỉ 19% giao thức bị hack dùng ví multisig và chỉ 2,4% dùng lưu trữ lạnh. Các cuộc tấn công off-chain chiếm 80,5% tổng số tiền bị đánh cắp trong bộ dữ liệu của họ.

Trail of Bits công bố một framework trưởng thành hóa vào tháng 6/2025 mô tả bốn cấp độ kiểm soát truy cập smart contract. Cấp 1 dùng một externally owned account duy nhất, nghĩa là một private key bị lộ đồng nghĩa mất trắng. Cấp 2 dùng multisig tập trung nhưng vẫn duy trì một điểm kiểm soát duy nhất. Cấp 3 và 4 bổ sung timelock, phân tách vai trò và cuối cùng là tính bất biến triệt để.

Các vụ hack Bybit, WazirXRadiant Capital đều khai thác kiến trúc Cấp 2. Vụ Drift Protocol phơi bày một thất bại tập trung hóa khác: multisig 2-trên-5 không có timelock cho bất kỳ chức năng quản trị nào.

Hạ tầng đám mây tạo thêm một vector tập trung hóa nữa. Vụ hack Resolv Labs (25 triệu đô, 3/2026) liên quan đến việc AWS Key Management Service bị xâm phạm.

Kẻ tấn công truy cập được môi trường đám mây nơi lưu khóa ký có đặc quyền, rồi dùng nó để mint 80 triệu token stablecoin không có tài sản bảo chứng.

Resolv đã vượt qua 18 cuộc audit smart contract độc lập và duy trì bug bounty 500.000 đô trên Immunefi. Không bên nào đụng tới chính sách AWS IAM.

Nhiều giao thức "phi tập trung" lại phụ thuộc hoàn toàn vào nhà cung cấp hạ tầng tập trung cho giao diện người dùng. Frontend của Safe{Wallet} được host trên AWS S3/CloudFront mà không có Subresource Integrity để phát hiện sửa đổi code. Lỗ hổng đó đã tạo điều kiện cho vụ tấn công Bybit.

Đọc thêm: Bloomberg Strategist Predicts Tether Will } Overtake Both Bitcoin And Ethereum By Market Cap

Vấn đề frontend: khi người dùng bị hack trước khi blockchain bị đụng tới

Một nhóm tấn công ngày càng gia tăng đang nhắm vào các frontend web của các giao thức DeFi thay vì các hợp đồng on-chain của chúng. Trong mọi trường hợp đã được ghi nhận, các smart contract vẫn an toàn và hoạt động bình thường. Lỗ hổng hoàn toàn nằm ở lớp hạ tầng Web2 kết nối người dùng với các hợp đồng đó.

Curve Finance đã chịu một vụ chiếm quyền DNS vào ngày 12/05/2025 khi kẻ tấn công truy cập được vào nhà đăng ký tên miền iwantmyname và sửa đổi ủy quyền DNS để chuyển hướng lưu lượng truy cập tới một trang tĩnh mồi nhử độc hại.

Trong thời gian frontend bị tê liệt, các smart contract của Curve vẫn xử lý hơn 400 triệu đô la khối lượng on-chain, cho thấy các hợp đồng hoạt động hoàn hảo trong khi frontend bị vũ khí hóa.

Đây là vụ tấn công DNS thứ hai nhắm vào Curve thông qua cùng nhà đăng ký này. Sau đó Curve đã chuyển sang tên miền curve.finance và kêu gọi ngành áp dụng ENS.

AerodromeVelodrome (21/11/2025) mất khoảng 700.000 đô la khi việc chiếm quyền DNS chuyển hướng người dùng tới các trang phishing. MetaMaskCoinbase Wallet hiển thị cảnh báo trong vòng hai phút kể từ giao dịch độc hại đầu tiên, nhưng những người dùng tương tác trước khi cảnh báo xuất hiện đã bị mất tiền.

Các cuộc tấn công DNS bổ sung đã đánh vào Arrakis Finance (01/2025), OpenEden (02/2026) và Neutrl (03/2026).

Cuộc tấn công vào Neutrl được xác nhận là bắt nguồn từ một cuộc tấn công social engineering nhắm trực tiếp vào nhà cung cấp DNS.

Mô thức lặp lại một cách nhất quán: xâm phạm nhà đăng ký tên miền, sửa bản ghi DNS, chuyển hướng người dùng đến một bản sao phishing, thu thập các phê duyệt ví và rút sạch tài sản. Các nhà đăng ký tên miền hoạt động như những điểm tập trung lỗi đơn cho các giao thức vốn được cho là phi tập trung.

Đọc thêm: Cloudflare Follows Google, Sets 2029 Deadline To Go Quantum-Proof

Network reverses blockchain rollback decision following developer backlash over $3.9 million exploit (Image: Shutterstock)

Tại sao các cuộc audit không còn đủ nữa

Các cuộc audit smart contract tiêu chuẩn tập trung vào các lỗ hổng cấp độ mã nguồn: reentrancy, tràn số, lỗi kiểm soát truy cập và các mẫu lỗ hổng đã biết.

Chúng thường không bao trùm bảo mật frontend và UI, API và hạ tầng backend, quản lý khóa admin, các vector social engineering, tấn công chuỗi cung ứng vào dependencies, bảo mật DNS và tên miền, hay tính đúng đắn của mô hình kinh tế.

Trail of Bits đã phát biểu rõ ràng vào tháng 06/2025 rằng tấn công khóa riêng là một vector mới nổi mà các cuộc audit smart contract phạm vi hẹp và các cuộc thi audit thường xuyên bỏ sót. Công ty này lưu ý rằng các đơn vị audit thuần blockchain hiếm khi đánh dấu các vấn đề kiểm soát truy cập ở cấp kiến trúc như những phát hiện chính thức.

Bằng chứng là rất nhiều:

  • Cetus Protocol vượt qua ba cuộc audit từ các đơn vị uy tín trước khi mất 223 triệu đô la vì một lỗi trong thư viện toán học bên thứ ba
  • Resolv Labs vượt qua 18 cuộc audit độc lập trước khi mất 25 triệu đô la do hạ tầng AWS bị xâm phạm
  • Nhà cung cấp ví của Bybit là Safe{Wallet} đã được audit kỹ lưỡng, nhưng lỗ hổng lại là một chiếc laptop của nhà phát triển bị xâm nhập
  • Lỗi làm tròn của Balancer tích lũy các sai số làm tròn ở mức dưới wei qua các chuỗi batch swap mang tính đối kháng, một lớp tấn công mà kiểm thử theo từng thao tác tiêu chuẩn không thể phát hiện

Audit vẫn có giá trị. Các giao thức chưa được audit đối mặt với khả năng khoảng 70% bị khai thác trong năm đầu tiên, so với 15–20% đối với các giao thức đã được audit. Nhưng việc ngành dựa vào nhãn “audited by X” như một chứng chỉ bảo mật đã mô tả sai cơ bản những gì audit thực sự xác nhận. Chúng là những ảnh chụp tại một thời điểm về tính đúng đắn của mã, chứ không phải những đánh giá bảo mật toàn diện.

Đọc thêm: Bitcoin Can Be Made Quantum-Safe Without An Upgrade, But There's A Catch

Thiết kế an toàn hơn trông như thế nào sau làn sóng hack 2026

Vyper, ngôn ngữ smart contract mang phong cách Python được tạo ra bởi Vitalik Buterin vào năm 2017, thể hiện triết lý bảo mật-thông-qua-đơn-giản, trái ngược hẳn với sự phong phú tính năng của Solidity. Vyper cố ý loại bỏ kế thừa, modifiers, nạp chồng toán tử và inline assembly.

Nó cung cấp kiểm tra tràn số tự động, decorator chống reentrancy tích hợp, mảng được kiểm tra giới hạn và kiểu dữ liệu nghiêm ngặt.

Hiện có hơn 7.959 hợp đồng Vyper đang bảo vệ hơn 2,3 tỷ đô la tổng giá trị khóa (TVL).

Ngôn ngữ này từng đối mặt với khủng hoảng bảo mật của riêng nó vào tháng 07/2023 khi một lỗ hổng trong cơ chế chống reentrancy ở các phiên bản compiler cũ đã cho phép vụ khai thác Curve Finance. Phản ứng sau đó mang tính hệ thống: 12 cuộc audit với các đơn vị gồm ChainSecurity và OtterSec, hai chuyên gia bảo mật được thuê toàn thời gian, hai chương trình bug bounty và một hệ thống giám sát hợp đồng lập chỉ mục 30.000 hợp đồng trên 23 chain.

Quá trình phát triển đã duy trì tích cực trong suốt 2025 và 2026. Phiên bản 0.4.2 “Lernaean Hydra” (05/2025) đặc biệt cấm việc gọi các hàm nonreentrant từ bên trong các hàm nonreentrant khác, loại bỏ cả một lớp lỗ hổng tiềm ẩn.

Các đơn vị triển khai lớn bao gồm Curve Finance, Yearn Finance V3 và Velodrome/Aerodrome.

Triết lý thiết kế của Vyper — rằng những tính năng bạn loại bỏ quan trọng hơn những tính năng bạn thêm vào — phù hợp với đồng thuận bảo mật đang nổi lên. Khi các vector tấn công chủ đạo mang tính con người và vận hành hơn là cấp độ mã, một ngôn ngữ tạo ra mã dễ đọc và dễ audit hơn mang lại lợi thế cấu trúc thực sự.

Đọc thêm: Only 10% Of New CEX Tokens Survive Their First Year, CoinGecko Data Reveals

Văn hóa bảo mật vs diễn kịch bảo mật trong Web3

Bug bounty đã nổi lên như một trong những biện pháp phòng vệ hiệu quả về chi phí nhất. Immunefi đã trả hơn 112 triệu đô la tiền thưởng tổng cộng cho hơn 3.000 báo cáo lỗi đã được xác thực. Các báo cáo mức độ nghiêm trọng “critical” chiếm 87,8% tổng số tiền thưởng được chi trả. Nền tảng này cho biết đã bảo vệ hơn 190 tỷ đô la tiền của người dùng.

Khía cạnh kinh tế cho thấy một luận điểm rất thuyết phục. Tổng số tiền thưởng từng được trả (112 triệu đô la) chỉ tương đương khoảng 3,3% riêng số thiệt hại do hack trong năm 2025. Chỉ cần một vụ khai thác được ngăn chặn đã có thể tạo ra ROI khổng lồ. Các chương trình bounty đang hoạt động giờ đã đạt quy mô đáng kể, với Usual treo mức thưởng tối đa 16 triệu đô la trên SherlockUniswap v4 treo 15,5 triệu đô la trên Immunefi.

Các nền tảng audit cạnh tranh đã phát triển song song với bounty truyền thống. Code4rena tổ chức các cuộc thi với 16.600 nhà nghiên cứu đã đăng ký và khoảng 100 người tham gia mỗi cuộc audit.

Sherlock vận hành một mô hình vòng đời đầy đủ kết hợp các cuộc thi audit, bug bounty và bảo hiểm, đã bảo vệ hơn 100 tỷ đô la tổng giá trị khóa.

Tuy nhiên, bug bounty cũng có một giới hạn căn bản tương tự audit. Dữ liệu của Immunefi cho thấy 77,5% tiền thưởng được chi trả cho việc phát hiện lỗi smart contract. Những vector tấn công gây thiệt hại nghiêm trọng nhất năm 2025, bao gồm tấn công chuỗi cung ứng, social engineering và xâm phạm hạ tầng, phần lớn nằm ngoài phạm vi mà các nhà nghiên cứu bounty có thể kiểm thử.

Ngành cần những cấu trúc khuyến khích tương đương cho việc đánh giá bảo mật vận hành. Chỉ review mã thôi giờ đã không còn tương xứng với nơi các tổn thất thực sự phát sinh.

Đọc thêm: Gemini Survey Reveals 51% Of Gen Z Adults Worldwide Own Crypto

Người dùng, nhà xây dựng và nhà đầu tư nên làm gì khác đi trong năm 2026

Dữ liệu năm 2025 và 2026 cho thấy rõ rằng bảo mật phải vượt xa khỏi phạm vi audit smart contract để bao trùm toàn bộ stack vận hành.

Đối với các nhà xây dựng giao thức, tư thế bảo mật khả thi tối thiểu hiện nay bao gồm:

  • Ví multisig với timelock trên mọi chức năng quản trị
  • Kiểm soát truy cập dựa trên vai trò với nguyên tắc phân quyền tối thiểu
  • Ký bằng hardware wallet cho mọi thao tác đặc quyền
  • Giám sát liên tục các thay đổi quyền hạn, nâng cấp và giao dịch giá trị cao
  • Hash Subresource Integrity cho toàn bộ mã frontend, cộng thêm DNSSEC và cân nhắc các lựa chọn thay thế được host trên ENS thay cho các nhà đăng ký tên miền tập trung

Bảo mật chuỗi cung ứng đòi hỏi cố định phiên bản dependencies, hạn chế sự phình to của package, khóa pipeline CI/CD với thông tin xác thực sống ngắn và xác minh các artefact phát hành. Kế hoạch ứng phó sự cố cần được kiểm tra bằng diễn tập, không phải viết ra rồi cất vào ngăn kéo.

Đối với người dùng, các biện pháp phòng thủ thực tế khá đơn giản. Hardware wallet vẫn là điều thiết yếu cho mọi khoản nắm giữ đáng kể. Các công cụ mô phỏng giao dịch như Pocket Universe cho biết có 180.000 người dùng và đã bảo vệ hơn 1 tỷ đô la tài sản.

Việc thường xuyên thu hồi các phê duyệt token không giới hạn, đánh dấu trang (bookmark) URL đáng tin cậy thay vì bấm theo link, và duy trì các ví tách biệt đều giúp giảm bán kính thiệt hại của một chữ ký bị xâm phạm.

Bài học về ký mù trong vụ hack Bybit cũng áp dụng cho từng cá nhân. Luôn xác minh chi tiết giao dịch trên chính thiết bị ký, chứ không chỉ trên giao diện yêu cầu chữ ký.

Đối với nhà đầu tư khi đánh giá các giao thức, nhãn “audited by X” là cần nhưng cực kỳ chưa đủ. Các chỉ báo bảo mật có ý nghĩa bao gồm nhiều cuộc audit từ các đơn vị đa dạng, chương trình bug bounty đang hoạt động với mức thưởng đáng kể, cấu hình multisig minh bạch với phân bổ địa lý, timelock trên việc nâng cấp.các chức năng hiển thị trên chuỗi, và năng lực ứng phó sự cố đã được chứng minh.

Việc thiếu vắng những chỉ báo này nên được xem như các dấu hiệu cảnh báo rõ ràng, bất kể lịch sử kiểm toán ra sao.

Also Read: From Joke To ETF? PEPE's Wall Street Moment Raises Big Questions

Kết luận

Bức tranh an ninh tiền mã hóa năm 2025 và 2026 bộc lộ một nghịch lý. Công nghệ thì ngày càng an toàn hơn trong khi toàn ngành lại mất nhiều tiền hơn bao giờ hết.

Thiệt hại do khai thác hợp đồng thông minh đã giảm khi chất lượng mã on-chain được cải thiện nhờ công cụ tốt hơn, nhiều cuộc kiểm toán hơn, các nền tảng đánh giá cạnh tranh và thiết kế ngôn ngữ chú trọng bảo mật như Vyper. Nhưng tiến bộ này đã bị lấn át bởi làn sóng leo thang nhanh chóng của các cuộc tấn công vào hạ tầng và vận hành.

Các mô hình bảo mật chỉ xoay quanh rà soát mã hiện nay chỉ xử lý được khoảng 12% rủi ro thiệt hại thực tế. 88% còn lại nằm ở laptop của nhà phát triển, thông tin xác thực AWS, nhà đăng ký tên miền, thiết bị của các bên ký multisig, quy trình tuyển dụng nhân sự và pipeline triển khai frontend. Đây là các vấn đề Web2 đòi hỏi biện pháp phòng thủ Web2 được áp dụng cho các tổ chức Web3 vốn thường thiếu văn hóa an ninh mang tính tổ chức để triển khai chúng.

Những giao thức sống sót qua làn sóng tấn công do nhà nước bảo trợ tiếp theo sẽ là những giao thức bảo vệ không chỉ mã nguồn, mà cả con người, hạ tầng và các giả định về niềm tin của họ như một hệ thống thống nhất. Bất cứ điều gì kém hơn chỉ là “màn kịch an ninh” khoác lên lớp vỏ thương hiệu phi tập trung.

Read Next: The U.S. Is Redefining Stablecoins — Here's What The New Rules Do

Tuyên bố miễn trừ trách nhiệm và cảnh báo rủi ro: Thông tin được cung cấp trong bài viết này chỉ dành cho mục đích giáo dục và thông tin, dựa trên ý kiến của tác giả. Nó không cấu thành lời khuyên tài chính, đầu tư, pháp lý hoặc thuế. Tài sản tiền mã hóa có tính biến động cao và chịu rủi ro cao, bao gồm rủi ro mất tất cả hoặc một phần lớn khoản đầu tư của bạn. Giao dịch hoặc nắm giữ tài sản crypto có thể không phù hợp với tất cả nhà đầu tư. Những quan điểm được bày tỏ trong bài viết này hoàn toàn là của (các) tác giả và không đại diện cho chính sách chính thức hoặc lập trường của Yellow, những người sáng lập hoặc giám đốc điều hành. Luôn tiến hành nghiên cứu kỹ lưỡng của riêng bạn (D.Y.O.R.) và tham khảo ý kiến chuyên gia tài chính được cấp phép trước khi đưa ra bất kỳ quyết định đầu tư nào.
Bài viết nghiên cứu liên quan
Những Vụ Tấn Công Crypto Lớn Nhất 2025–2026: Thực Sự Đã Sai Ở Đâu
Phân tích 10 vụ hack crypto lớn nhất 2025–đầu 2026, số tiền thiệt hại kỷ lục và điểm yếu chung về tập trung niềm tin, không chỉ là lỗi mã.
Giao dịch Off-Chain vs. On-Chain: Điều gì đang dịch chuyển tiền mã hóa từ CEX sang DEX?
Thị phần DEX tăng vọt nhờ hạ tầng on-chain trưởng thành, phí Layer 2 giảm mạnh và rủi ro lưu ký, bảo mật ngày càng lộ rõ ở các sàn CEX.
Vì sao các vụ khai thác DEX gây thiệt hại 3,1 tỷ đô năm 2025: Phân tích 12 vụ hack lớn
Oct 27, 2025
Phân tích 12 vụ tấn công DEX năm 2025, thiệt hại hơn 3,1 tỷ đô. Giải thích vì sao giao thức đã audit vẫn bị hack và xu hướng an ninh DeFi sắp tới.
Bạn Nên Sử Dụng Ví EVM Nào Vào Năm 2025? 13 Tùy Chọn Bảo Mật, Đa Chuỗi, và Thân Thiện Với Người Mới Tốt Nhất
Không có.
Bản đồ nhiệt quy định tiền mã hóa: Khi cuộc cách mạng bị đưa vào khuôn khổ
May 31, 2025
Quy định, chính trị và vốn tổ chức đang tái định hình tiền mã hóa, kéo nó khỏi tinh thần nổi loạn ban đầu và đưa vào tay các tổ chức lớn.
Khủng hoảng bảo mật Web3 năm 2026: Vì sao các vụ hack lớn nhất không còn chỉ là lỗi smart contract | Yellow.com