Các vụ hack crypto trong năm 2025 và đầu 2026 exceeded mọi kỷ lục hàng năm trước đó tính theo giá trị đô la, với tổng thiệt hại lên tới 3,4 tỷ đô trên một bức tranh đầy lỗi smart contract, tấn công chuỗi cung ứng, thao túng oracle, đánh cắp khóa riêng và phá hoại mang động cơ chính trị – tất cả cùng phơi bày sự thật rằng các điểm tập trung niềm tin — không chỉ là mã kém — vẫn là lỗ hổng nguy hiểm nhất của ngành.
Tình hình các vụ hack crypto 2025–2026
Các con số rất khó tranh cãi, dù khác nhau theo phương pháp tính.
Chainalysis estimated tổng số tiền crypto bị đánh cắp trong năm 2025 là 3,4 tỷ đô, biến đây thành năm tệ nhất trong lịch sử. TRM Labs và TechCrunch riêng rẽ reported con số 2,7 tỷ đô. CertiK published thống kê 6 tháng đầu 2025 ở mức 2,47 tỷ đô trên 344 sự cố, đã vượt tổng thiệt hại ròng cả năm 2024 là 1,98 tỷ đô.
Để so sánh, TRM Labs từng calculated rằng 2,2 tỷ đô đã bị đánh cắp trong suốt năm 2024. Điều đó có nghĩa chỉ riêng 6 tháng đầu 2025 đã vượt cả năm trước.
Điều khiến giai đoạn này khác biệt không phải là số lượng sự cố. Đó là mức độ tập trung.
Immunefi reported rằng quý 1/2025 là quý tệ nhất trong lịch sử các vụ hack crypto, với 1,64 tỷ đô bị mất chỉ trong 40 sự kiện — cao gấp 4,7 lần so với quý 1/2024. Chỉ hai vụ, Bybit và Cetus, đã chiếm khoảng 1,78 tỷ đô, hay 72% tổng thiệt hại H1 của CertiK.
Các nhóm tấn công không thay đổi nhiều. Vẫn là khai thác smart contract, thao túng oracle, lộ khóa riêng, lỗi vận hành sàn, và tấn công mạng do quốc gia bảo trợ. Điều thay đổi là quy mô. Giá trị trung bình mỗi vụ hack đã tăng gấp đôi trong H1 2025 so với cùng kỳ năm trước, và thiệt hại bị dồn mạnh vào một số ít sự kiện mang tính hủy diệt.
Sợi chỉ đỏ nối các trường hợp tệ nhất dưới đây không phải là độ phức tạp. Đó là niềm tin — bị tập trung vào một khóa, một nhà cung cấp, một cấu trúc quản trị, hay một venue thanh khoản.
Đọc thêm: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: Cú Mint Không Bảo Chứng Biến Stablecoin Thành Khủng Hoảng Bảng Cân Đối
Ngày 22/03/2026, một kẻ tấn công compromised a privileged private key stored in Resolv's AWS Key Management Service, rồi dùng nó để ký hai giao dịch mint khổng lồ trên stablecoin USR của giao thức.
Lần đầu mint 50 triệu USR chỉ với khoảng 100.000 đô USDC (USDC) làm tài sản thế chấp. Lần thứ hai mint thêm 30 triệu nữa.
Tổng cộng, khoảng 80 triệu token không được bảo chứng đã entered vào lưu thông. Khóa mint là một externally owned account đơn lẻ — không phải multisig — và contract không có giới hạn mint tối đa, kiểm tra oracle hay validate số lượng.
Kẻ tấn công đã chuyển đổi USR vừa mint thông qua wstUSR và các stablecoin thành khoảng 11.400 Ether (ETH), trị giá xấp xỉ 24 đến 25 triệu đô. Giá USR crashed xuống chỉ còn 0,025 đô trên Curve Finance trong vòng 17 phút — giảm 97,5%.
Điều khiến các vụ tấn công stablecoin đặc biệt nguy hiểm là chúng lập tức phơi bày việc tài sản thế chấp có thực sự vững chắc hay mong manh.
Pool tài sản thế chấp ban đầu của giao thức, khoảng 95 triệu đô, về mặt kỹ thuật vẫn còn nguyên, nhưng với 80 triệu token mới không bảo chứng trong lưu thông, Resolv còn khoảng 95 triệu đô tài sản đối mặt với khoảng 173 triệu đô nghĩa vụ. Các giao thức DeFi gồm Aave, Morpho, Euler, Venus và Fluid đã có động thái phòng ngừa để cô lập rủi ro tiếp xúc.
Chuỗi phản ứng — bị hack, bán tháo bắt buộc, mất neo, hụt vốn bảo chứng, hoảng loạn — diễn ra chưa đầy một ngày.
Đọc thêm: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: Vụ Vi Phạm 1,5 Tỷ Đô Định Hình Cả Năm
Không một sự kiện đơn lẻ nào trong lịch sử trộm cắp tiền mã hóa có thể so sánh về giá trị đô la với những gì happened với Bybit ngày 21/02/2025.
Nhà điều tra on-chain ZachXBT là người đầu tiên phát hiện dòng tiền khả nghi hơn 1,46 tỷ đô bị rút khỏi ví lạnh Ethereum (ETH) của sàn. FBI sau đó attributed vụ trộm cho cụm TraderTraitor của Triều Tiên, thuộc Lazarus Group, và ước tính con số khoảng 1,5 tỷ đô.
Khoảng 401.347 ETH đã bị đánh cắp. Con số này vượt tổng cộng hai vụ hack Ronin Network và Poly Network, vốn từng là hai vụ lớn nhất lịch sử crypto.
Vụ vi phạm không phải do lỗi mã của Bybit. Điều tra forensics bởi Sygnia và Verichains traced nguyên nhân gốc rễ tới việc xâm nhập chuỗi cung ứng của Safe{Wallet}, một nền tảng multisig bên thứ ba. Kẻ tấn công đã xâm nhập máy macOS của một developer Safe từ ngày 04/02, đánh cắp token phiên AWS, và ngày 19/02 injected mã JavaScript độc vào giao diện web của Safe.
Đoạn mã chỉ kích hoạt khi ví lạnh Ethereum cụ thể của Bybit khởi tạo giao dịch. Ba trên sáu người ký multisig đã phê duyệt giao dịch mà không phát hiện thao túng.
CEO Bybit, Ben Zhou, confirmed sàn vẫn thanh khoản, được bảo chứng bởi dự trữ trước khi bị hack hơn 16 tỷ đô. Trong vòng 72 giờ, Bybit replenished dự trữ ETH thông qua các khoản vay khẩn cấp từ Galaxy Digital, FalconX, Wintermute và Bitget. Nhưng đến 20/03, khoảng 86% số ETH bị đánh cắp đã được chuyển đổi sang Bitcoin (BTC) trên gần 7.000 ví.
Bài học rất rõ ràng. Một venue, một lần bị xâm nhập, một sự kiện — và toàn bộ bức tranh thiệt hại cả năm của ngành thay đổi hoàn toàn. Một số cú sập tồi tệ nhất xảy ra chính tại nơi người dùng mặc định cho rằng “to là an toàn”.
Đọc thêm: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus trên Sui: Vụ Exploit 223 Triệu Đô Đóng Băng Một DEX Đầu Tàu
Tháng 5/2025, Cetus, sàn DEX lớn nhất trên mạng Sui (SUI), đã bị hit bởi một exploit rút khoảng 223 triệu đô khỏi các pool thanh khoản. Nguyên nhân gốc là lỗi tràn số nguyên trong thư viện tính toán thanh khoản tập trung của giao thức.
Một hàm đã compared các giá trị với một ngưỡng bị lệch một bit, cho phép kẻ tấn công nạp một token duy nhất nhưng nhận vị thế thanh khoản trị giá hàng triệu.
Các validator Sui đã took bước đi chưa từng có là đóng băng khoảng 162 triệu đô fund bị đánh cắp ngay trên chain, một động thái được thông qua bằng bỏ phiếu governance với 90,9% ủng hộ. Khoảng 60 triệu đô đã được bridge sang Ethereum trước khi bị đóng băng.
Cetus resumed hoạt động sau 17 ngày ngừng, bơm lại pool bằng số tiền thu hồi được, 7 triệu đô từ quỹ dự phòng của chính mình, và khoản vay 30 triệu USDC từ Sui Foundation.
Khi một venue thanh khoản đầu tàu bị “gãy”, uy tín của cả chain bị tổn hại. Giá token, danh tiếng chain, niềm tin người dùng và nhu cầu can thiệp khẩn cấp của các bên trong hệ sinh thái — vùng ảnh hưởng vươn xa hơn nhiều so với bản thân giao thức.
Đọc thêm: Brazil Freezes Crypto Tax Rules
GMX: Vì Sao Một Sàn Perpetuals Hàng Đầu Vẫn Mất Hơn 42 Triệu Đô
Tháng 7/2025, GMX bị exploited hơn 42 triệu đô qua một lỗ hổng reentrancy xuyên contract trong triển khai V1 trên Arbitrum. Hàm chịu trách nhiệm thực thi lệnh giảm vị thế đã chấp nhận một địa chỉ smart contract làm tham số, thay vì buộc phải là ví tiêu chuẩn.
Trong bước hoàn trả ETH, luồng thực thi được chuyển sang contract độc hại của kẻ tấn công, cho phép reentrancy để thao túng dữ liệu giá nội bộ xuống khoảng 1/57 so với giá thị trường thực.
GMX đã offered khoản bounty white-hat 10%, trị giá khoảng 5 triệu đô, với thời hạn 48 giờ và mối đe dọa khởi kiện. Kẻ tấn công đã trả lại khoảng 37,5 triệu đến 40,5 triệu đô theo từng đợt, giữ lại khoản tiền thưởng. GMX sau đó đã hoàn tất kế hoạch bồi thường 44 triệu đô cho các holder GLP bị ảnh hưởng.
Việc tiền được trả lại không có nghĩa là hệ thống đã hoạt động đúng. Cách đóng khung theo hướng “mũ trắng”, đề nghị tiền thưởng và khôi phục một phần có thể làm dịu phản ứng của thị trường mà không loại bỏ được lỗi bảo mật cốt lõi.
Lỗ hổng này trớ trêu thay lại được đưa vào trong quá trình khắc phục một bug trước đó vào năm 2022. GMX V2 không bị ảnh hưởng.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: Khi Một Vụ Hack Crypto Trở Thành Chiến Tranh Địa Chính Trị
Tháng 6/2025, Nobitex, sàn giao dịch tiền mã hóa lớn nhất Iran, đã bị tấn công, thiệt hại khoảng 90 triệu đô trên nhiều blockchain, bao gồm Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) và TON (TON).
Nhóm hacker thân Israel Gonjeshke Darande, còn được biết đến với tên Predatory Sparrow, đã nhận trách nhiệm.
Cuộc tấn công diễn ra trong bối cảnh xung đột quân sự Israel–Iran đang diễn ra.
Đây không phải một vụ trộm mang động cơ tài chính. Số tiền bị đánh cắp đã được gửi tới các địa chỉ “burner” vanity chứa thông điệp chống IRGC và không có private key nào có thể khôi phục được — về bản chất là đốt cháy 90 triệu đô như một tuyên bố chính trị.
Ngày hôm sau, kẻ tấn công công khai phát tán toàn bộ mã nguồn, tài liệu hạ tầng và các nghiên cứu nội bộ về quyền riêng tư của Nobitex.
Một số vụ hack crypto không phải là các cuộc tấn công tối đa hóa lợi nhuận. Chúng là phá hoại, phát tín hiệu hoặc chiến tranh mạng. Điều đó khiến chúng khác với các vụ exploit giao thức trên hầu như mọi phương diện: động cơ, phương thức, hậu quả và tính bất khả khôi phục. Nobitex báo cáo đã khôi phục một phần hoạt động sau đó, nhưng khối lượng giao dịch vào sàn đã giảm hơn 70% so với cùng kỳ năm trước vào đầu tháng 7.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: Vụ Exploit Đánh Vào Thị Trường Cho Vay DeFi Thông Qua Các Cauldron Liên Kết GMX
Ngày 25/3/2025, một kẻ tấn công đã rút cạn khoảng 6.260 ETH — trị giá khoảng 13 triệu đô — khỏi các thị trường cho vay của Abracadabra Finance, được gọi là cauldron. Các cauldron bị nhắm mục tiêu sử dụng token pool thanh khoản GMX V2 làm tài sản thế chấp; vụ exploit dựa vào kỹ thuật tự thanh lý hỗ trợ flash-loan, lợi dụng lỗi theo dõi trạng thái bên trong các hợp đồng gmCauldron.
Tiền bị đánh cắp được bridge từ Arbitrum sang Ethereum. PeckShield là một trong những đơn vị bảo mật đầu tiên phát hiện vụ việc. GMX xác nhận các hợp đồng của họ không bị ảnh hưởng.
Abracadabra đã đề nghị bug bounty 20%. Đây là vụ hack lớn thứ hai của giao thức; một exploit trị giá 6,49 triệu đô đã đánh vào Abracadabra hồi tháng 1/2024.
Sự kiện này cho thấy rủi ro từ tính “composable”. Một giao thức có thể trông an toàn nếu đứng một mình nhưng trở nên dễ tổn thương khi tích hợp và phụ thuộc vào hệ thống khác.
Với người dùng DeFi, những gì nằm “dưới nắp capo” — loại tài sản thế chấp mà giao thức chấp nhận, các hợp đồng bên ngoài mà nó gọi tới — quan trọng hơn cái tên thương hiệu ở lớp trên mà họ gửi tiền vào.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid và JELLY: Drama Cấu Trúc Thị Trường và Câu Hỏi Về Tập Trung Hóa
Ngày 26/3/2025, một kẻ tấn công đã mở một vị thế short 4,1 triệu đô trên memecoin JELLY kém thanh khoản trên Hyperliquid, đồng thời mở hai vị thế long bù trừ, rồi bơm giá spot của token này tăng hơn 400%.
Khi vị thế short bị thanh lý, vault HLP tự động của Hyperliquid thừa hưởng vị thế âm, và khoản lỗ chưa ghi nhận của vault lên tới khoảng 13,5 triệu đô.
Các validator của Hyperliquid sau đó đã cưỡng chế đóng toàn bộ vị thế JELLY, thanh toán tại mức giá vào lệnh short ban đầu của kẻ tấn công là 0,0095 đô, thay vì mức 0,50 đô mà các oracle bên ngoài đang ghi nhận.
Động thái này được thực hiện trong vòng hai phút và cho thấy giao thức chỉ dựa vào bốn validator cho mỗi bộ.
Vấn đề gây tranh cãi ở đây không chỉ là khoản lỗ.
CEO Bitget, Gracy Chen, đã công khai gọi Hyperliquid là “FTX 2.0”. Tổng giá trị khóa (TVL) của giao thức sụt từ 540 triệu đô xuống 150 triệu đô trong tháng tiếp theo, và token HYPE giảm 20%. Hyperliquid sau đó đã nâng cấp sang cơ chế bỏ phiếu validator on-chain cho các quyết định hủy niêm yết tài sản.
Điều gì xảy ra khi một nền tảng được cho là phi tập trung lại hành xử tập trung trong khủng hoảng? Câu hỏi này hữu ích cho mọi nhóm nghiên cứu ngay cả khi thiệt hại tính bằng đô không nằm trong nhóm lớn nhất. Nó phơi bày một đường ranh về uy tín.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: Rủi Ro “Infinite Mint” và Lý Do Thanh Khoản Thấp Có Thể Che Giấu Bug Lớn Hơn
Tháng 6/2025, Meta Pool đã chịu một vụ exploit hợp đồng thông minh cho phép kẻ tấn công mint 9.705 mpETH — trị giá khoảng 27 triệu đô — mà không cần nạp bất kỳ tài sản thế chấp ETH nào.
Lỗ hổng nằm trong hàm mint của chuẩn ERC-4626. Kẻ tấn công đã vượt qua thời gian chờ (cooldown) thông thường nhờ chức năng unstake nhanh của giao thức.
Nhưng tổn thất thực tế chỉ vào khoảng 132.000 đô. Thanh khoản mỏng trong các pool swap Uniswap liên quan khiến kẻ tấn công chỉ rút được 52,5 ETH.
Một bot MEV đã front-run một phần cuộc tấn công, rút khoảng 90 ETH thanh khoản, sau đó số này được trả lại cho giao thức. 913 ETH ban đầu do người dùng stake vẫn an toàn với các nhà vận hành SSV Network.
Đôi khi bug nghiêm trọng hơn nhiều so với thiệt hại thực tế. Đường khai thác trong trường hợp này hàm ý mức độ tổn thất lý thuyết mang tính thảm họa, nhưng thanh khoản kém đã giới hạn số tiền có thể bị rút. Sự khác biệt đó rất quan trọng với bất kỳ ai đang đánh giá rủi ro DeFi, và nó làm cho case này có ý nghĩa sâu hơn so với cách xếp hạng đơn thuần theo số tiền thiệt hại.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: Được a16z Hậu Thuẫn Nhưng Vẫn Bị Exploit
Ngày 28/5/2025, Cork Protocol đã bị exploit khoảng 12 triệu đô. Kẻ tấn công rút được 3.761 wstETH bằng cách khai thác lỗi trong logic beforeSwap của Cork Hook và thiếu kiểm soát truy cập.
Nguyên nhân gốc rễ là thiếu xác thực đầu vào kết hợp với việc cho phép tạo thị trường permissionless mà không có “guard rail”, cho phép kẻ tấn công tạo ra một thị trường giả sử dụng một token DS hợp lệ làm tài sản mua lại.
Cork đã nhận đầu tư từ a16z crypto và OrangeDAO vào tháng 9/2024.
Thông điệp rút ra rất đơn giản. Nhà đầu tư tổ chức, vốn VC hàng đầu và thương hiệu được trau chuốt không loại bỏ được rủi ro kỹ thuật. Người đọc không nên nhầm lẫn chất lượng gọi vốn với mức độ an toàn của giao thức, và audit — dù kỹ lưỡng đến đâu — cũng không phải là bảo chứng tuyệt đối. Tất cả các hợp đồng đã được tạm dừng ngay sau khi phát hiện, nhưng số tiền thì đã mất.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: Thao Túng Oracle Như Một Điểm Yếu Lặp Lại Của DeFi
Tháng 4/2025, KiloEx đã mất khoảng 7 đến 7,5 triệu đô trên Base, opBNB và BNB Smart Chain sau khi một kẻ tấn công khai thác lỗ hổng kiểm soát truy cập trong hợp đồng MinimalForwarder của nền tảng. Lỗi này cho phép bất kỳ ai gọi các hàm thiết lập giá.
Kẻ tấn công đã thao túng oracle để ghi nhận mức giá ETH cực thấp — 100 đô — khi mở vị thế đòn bẩy, rồi đóng ở mức 10.000 đô.
KiloEx đã đề nghị khoản bounty “mũ trắng” 10% trị giá 750.000 đô. Bốn ngày sau, kẻ tấn công trả lại toàn bộ số tiền bị đánh cắp, và KiloEx thông báo sẽ không theo đuổi hành động pháp lý.
Nền tảng hoạt động trở lại sau 10 ngày tạm dừng và công bố kế hoạch bồi thường cho người dùng có lệnh giao dịch còn mở trong thời gian ngừng hoạt động.
Đây là case rõ ràng nhất để giải thích rủi ro oracle. Dữ liệu giá sai có thể cho phép kẻ tấn công mở và đóng vị thế tại các giá trị giả. Nhiều exploit được quảng bá là tinh vi nhưng vẫn dựa trên những nguyên thủy cũ — nguồn giá tệ, giả định dễ đoán, xác thực kém. Thao túng oracle vẫn là một trong những điểm yếu dai dẳng nhất của DeFi.
Also Read: Gold's WorstWeek Since 1983
Mô hình này cho thấy điều gì
10 trường hợp ở trên khác nhau về cơ chế, quy mô và động cơ. Nhưng chúng chia sẻ một mô hình cấu trúc giống nhau.
Những sự cố gây thiệt hại tài chính nặng nề nhất — Bybit và Resolv — hoàn toàn không bắt nguồn từ lỗi on-chain. Chúng là các thất bại ở tầng hạ tầng: một máy nhà phát triển bị xâm nhập trong một trường hợp, một khóa mint duy nhất không được bảo vệ được lưu trong hạ tầng cloud ở trường hợp còn lại. Thiệt hại trong cả hai vụ việc trở nên mang tính hủy diệt chính vì tồn tại các điểm tập trung niềm tin (centralized trust points) tại những nơi mà người dùng tưởng rằng không có.
Các vụ tấn công ở cấp độ giao thức như Cetus và GMX thì có liên quan đến lỗi code, nhưng “bán kính vụ nổ” lại được quyết định bởi cách ứng xử của bộ máy quản trị — liệu validator có thể đóng băng tài sản không, liệu đàm phán bounty có thành công không, và liệu các tác nhân trong hệ sinh thái có can thiệp bằng các gói tài chính khẩn cấp hay không.
Nobitex không phải là một vụ khai thác giao thức theo bất kỳ nghĩa thực chất nào; đó là một hành vi phá hoại địa chính trị.
Bức tranh tổng thể không mấy khả quan. Ít vụ việc hơn không đồng nghĩa với ít thiệt hại hơn. Mức độ nghiêm trọng trung bình đang tăng lên. Riêng Triều Tiên đã chiếm hơn 2 tỷ đô la giá trị tài sản bị đánh cắp trong năm 2025, tăng 51% so với cùng kỳ năm trước.
Vành đai bảo mật quan trọng nhất trong crypto đã dịch chuyển từ logic on-chain sang hạ tầng off-chain, quản lý khóa và bảo mật vận hành ở cấp con người.
Đối với người dùng nhỏ lẻ, nhà đầu tư token và cả các đội ngũ phát triển giao thức, dữ liệu đều gợi ý cùng một kết luận. Câu hỏi không còn là liệu smart contract của một giao thức đã được audit hay chưa. Câu hỏi là niềm tin tập trung đang nằm ở đâu — và điều gì sẽ xảy ra khi nó bị phá vỡ.
Đọc tiếp: Bitcoin Mining Difficulty Falls 7.76%