Các cuộc tấn công Web3 xảy ra vào $4B năm 2025: Những gì NFT, DeFi và Crypto cần học | Tin tức NFT hôm nay

Web3 hacks in 2025 reached an uncomfortable milestone. Almost $4 billion was lost across crypto, NFTs, and DeFi due to security failures, scams, and plain human error. The figure comes from the 2025 Yearly Security Report published by Hacken, and it paints a picture the industry can’t ignore.

This wasn’t a year defined by obscure bugs hiding in experimental code. Most of the damage came from weak access controls, stolen credentials, and social engineering. In other words, the same problems security teams have warned about for years—now playing out at a much larger scale.

Nếu bạn sở hữu NFT, giao dịch trên các sàn tập trung, hoặc xây dựng trong Web3, bài học từ 2025 quan trọng hơn bao giờ hết.

Một $4 Tỷ USD Thực tế cho Web3

Báo cáo của Hacken ước tính tổng thiệt hại trong năm 2025 là $4 tỷ USD. Con số này bao gồm các vụ vi phạm sàn giao dịch, lừa đảo phishing, ví bị xâm phạm, rug pull, và khai thác giao thức.

Các công ty khác, bao gồm CertiK và Chainalysis, ước tính thấp hơn—khoảng từ 2,5 tỷ đến 3,2 tỷ USD—tùy thuộc vào mô hình phân loại của họ. Tuy nhiên, tất cả các nguồn chính đều đồng ý rằng năm 2025 chứng kiến sự gia tăng về quy mô và độ tinh vi của các cuộc tấn công.

Điều nổi bật không chỉ là quy mô thiệt hại. Mà là địa điểm chúng xảy ra.

Các chu kỳ crypto trước đây bị chi phối bởi các lỗi hợp đồng thông minh. Trong năm 2025, cân bằng đã thay đổi. Các thất bại vận hành và các cuộc tấn công xã hội gây thiệt hại nhiều hơn so với mã lỗi. Khi dòng vốn đổ vào Web3 ngày càng nhiều, kẻ tấn công theo dòng tiền—và tập trung vào những con đường dễ nhất.

Đối với người dùng NFT, sự thay đổi này hoàn toàn thay đổi hồ sơ rủi ro. Một hợp đồng hoàn hảo không giúp ích nếu một yêu cầu phê duyệt ví hoặc ký kết bị lợi dụng.

Quá trình năm diễn ra như thế nào

Q1 Thay Đổi Mọi Thứ

Năm bắt đầu không tốt. Đến cuối quý 1, đã mất hơn $2 tỷ USD. Điều này khiến quý 1 trở thành quý tồi tệ nhất về an ninh Web3 trong lịch sử.

Nguyên nhân lớn nhất là vụ vi phạm của Bybit. Kẻ tấn công không khai thác hợp đồng thông minh. Họ xâm phạm chuỗi cung ứng và can thiệp vào hạ tầng giao diện người dùng. Đây là lời nhắc nhở rằng an ninh blockchain không dừng lại ở chuỗi.

Sau vụ việc đó, giả định về an ninh đã thay đổi nhanh chóng.

Tốc độ Giảm, Nhưng Mối đe dọa Không Ngừng

Thiệt hại giảm trong suốt phần còn lại của năm. Đến quý 4, tổng thiệt hại của quý khoảng $350 triệu USD. Sự giảm này phản ánh nhận thức tốt hơn và phản ứng nhanh hơn.

Tuy nhiên, thiệt hại ban đầu không thể hoàn toàn khắc phục. Kẻ tấn công điều chỉnh chiến lược thay vì rút lui. Ít cuộc tấn công hơn. Tác động lớn hơn.

Nơi Tiền Bị Mất

Quản lý truy cập là thất bại lớn nhất

Hơn một nửa tổng thiệt hại trong năm 2025 đến từ các vấn đề về quản lý truy cập. Chìa khóa riêng bị xâm phạm. Ví multisig cấu hình sai. Thông tin đăng nhập nội bộ bị lạm dụng hoặc rò rỉ.

Không cần khai thác đột phá mới nhất. Trong hầu hết các trường hợp, kẻ tấn công chỉ đơn giản là có được quyền truy cập mà họ không nên có.

Dữ liệu của Hacken cho thấy 2,12 tỷ USD—hoặc 53% tổng thiệt hại—bắt nguồn từ các lỗi quản lý truy cập, khiến nó trở thành nguyên nhân hàng đầu của trộm cắp crypto trong năm 2025.

Một điểm quan trọng: ví multisig trở nên dễ tổn thương khi các người ký sử dụng thiết bị hàng ngày. Lỗ hổng UXLINK đã khiến các người ký bị xâm phạm, tạo ra hàng nghìn tỷ token, rút tài sản và bán tháo chúng trên thị trường.

Điều này khó chấp nhận, nhưng cũng rất hữu ích. Đây là những vấn đề mà các nhóm có thể khắc phục bằng quy trình tốt hơn.

Lừa đảo qua email trở nên khó phát hiện hơn

Các cuộc tấn công phishing và xã hội chiếm gần $1 tỷ USD trong thiệt hại. Nhiễm độc ví, tin nhắn hỗ trợ giả mạo, và lừa đảo mạo danh liên tục phát triển.

AI khiến các cuộc tấn công này trở nên thuyết phục hơn. Phỏng vấn giả mạo. Cuộc gọi video deepfake. Tin nhắn trông giống hệt như những gì một dự án thực sự gửi đi.

Một người dùng mất $50 triệu USD trong một giao dịch do nhiễm độc địa chỉ—nhầm ví của kẻ lừa đảo với ví quen thuộc. Người khác mất $330 triệu USD Bitcoin sau một cuộc tấn công xã hội dài hơi.

Các nhà giao dịch NFT thường là mục tiêu, đặc biệt là những người hoạt động trong cộng đồng Discord và Telegram.

Các khai thác hợp đồng thông minh không biến mất

Lỗi hợp đồng vẫn gây thiệt hại, tổng cộng khoảng $512 triệu USD. Các giao thức DeFi chịu phần lớn thiệt hại đó, với các dự án dựa trên Ethereum chiếm tỷ lệ cao nhất.

Các khai thác đáng chú ý gồm: Balancer v2 ($128M qua lỗi làm tròn), GMX v1 ($42M qua lỗi reentrancy), và Yearn yETH ($9M qua việc mint vô hạn).

Các cuộc kiểm toán giúp giảm tần suất, nhưng các trường hợp ngoại lệ và tích hợp vẫn tiếp tục tạo ra rủi ro. An ninh mã đã được cải thiện. Nhưng điều đó chưa đủ một mình.

Sàn Giao Dịch vs DeFi: Các Điểm Yếu Khác Nhau

Các nền tảng tập trung chịu thiệt hại lớn nhất

Các sàn tập trung chiếm hơn một nửa tổng thiệt hại. Trường hợp nổi bật nhất là Bybit, nơi kẻ tấn công khai thác lỗ hổng giao diện người dùng thay vì logic chuỗi.

Việc quản lý tài sản tập trung rủi ro. Các công cụ nội bộ, nhà cung cấp bên thứ ba, và quyền truy cập của nhân viên đều mở rộng bề mặt tấn công. Khi có sự cố, các con số tăng nhanh.

Cơ sở hạ tầng DeFi và NFT vẫn dễ bị tổn thương

Các khai thác DeFi vượt qua $500 triệu USD qua hàng chục vụ. Rút thanh khoản, thất bại cầu nối, và lỗi toán học xuất hiện lặp đi lặp lại.

Ethereum là chuỗi bị nhắm mục tiêu nhiều nhất, phần lớn vì hoạt động diễn ra nhiều ở đó. Các nền tảng NFT thường chia sẻ ví, quyền truy cập, hoặc dịch vụ phía sau với các giao thức DeFi, khiến rủi ro dễ lan rộng hơn.

Vai trò của Bắc Triều Tiên tăng rõ rệt

Một trong những mô hình rõ ràng nhất trong năm 2025 là các nhóm tấn công liên kết nhà nước. Các nhóm liên kết với Bắc Triều Tiên chịu trách nhiệm khoảng 52% tổng thiệt hại, trộm hơn $2 tỷ USD trong năm.

Thực tế, 9 trong 10 cuộc tấn công quản lý truy cập bắt nguồn từ các nhóm DPRK, sử dụng các chiến thuật như hồ sơ tuyển dụng giả, kho GitHub chứa malware, và phỏng vấn deepfake.

Các nhà điều tra liên kết phần lớn hoạt động này với các diễn viên liên quan đến Lazarus Group và nhóm TraderTraitor. Phương thức của họ tập trung vào phishing, mạo danh, và truy cập nội bộ thay vì khai thác kỹ thuật.

So với năm 2024, giá trị bị trộm bởi các nhóm này tăng hơn 50%. Quy mô và sự phối hợp nổi bật.

Tại sao các chủ sở hữu NFT cảm nhận được tác động

NFT không tạo ra số tiền lớn nhất, nhưng các nhà sưu tập bị nhắm mục tiêu nặng nề. Liên kết mint giả. Phê duyệt độc hại. Tài khoản Discord bị xâm phạm mạo danh quản trị viên dự án.

Khi ví bị xâm phạm, NFT chuyển ngay lập tức. Không có khả năng hoàn lại. Quyền truy cập marketplace thường vẫn còn hoạt động lâu sau khi người dùng quên đi.

Về an ninh NFT, thói quen ví quan trọng không kém gì các biện pháp bảo vệ nền tảng.

AI thay đổi phương trình an ninh

AI đã đóng vai trò cả hai phía trong năm 2025.

Kẻ tấn công sử dụng tự động hóa, deepfake media, và tin nhắn thích nghi để mở rộng các vụ lừa đảo nhanh hơn trước. Các nhà phòng thủ phản ứng bằng cách giám sát tốt hơn, phát hiện bất thường, và xử lý sự cố nhanh hơn.

Các nền tảng bug bounty như Immunefi giúp phát hiện sớm các vấn đề, cho thấy rằng các động lực vẫn còn quan trọng.

Khoảng cách giữa tấn công và phòng thủ không thu hẹp. Nó chỉ dịch chuyển.

Quy định bắt đầu bắt kịp

Các tiêu chuẩn an ninh ngày càng chặt chẽ hơn ở các khu vực pháp lý chính.

Tại Mỹ, các khung pháp lý cấp phép ngày càng yêu cầu kiểm tra xâm nhập và quản lý chìa khóa an toàn phần cứng. Ở châu Âu, MiCA nhấn mạnh phân chia quyền quản lý và các cuộc kiểm toán độc lập.

Những quy tắc này không loại bỏ hoàn toàn các vi phạm. Nhưng chúng nâng mức chuẩn và khiến việc làm đường tắt trở nên khó hơn.

Những gì thực sự giúp ích trong tương lai

Dành cho người dùng:
Ví phần cứng giảm thiểu rủi ro. Thiết bị chuyên dụng còn giúp nhiều hơn nữa. Sổ địa chỉ và xem trước giao dịch ngăn chặn các sai lầm phổ biến.

Dành cho nhóm NFT và Web3:
Một lần kiểm toán không đủ. Các đánh giá lớp nhiều phát hiện nhiều vấn đề hơn. Thiết lập multisig và MPC giảm điểm thất bại đơn lẻ. Giám sát cần tiếp tục sau khi ra mắt.

Dành cho ngành:
Tiêu chuẩn rõ ràng xây dựng niềm tin. Mức độ an ninh hiện tại ảnh hưởng đến việc chấp nhận và dòng vốn.

Một năm đắt đỏ, nhưng là tín hiệu rõ ràng

$4 tỷ USD bị mất do các vụ hack Web3 trong năm 2025 phản ánh sự phát triển dưới áp lực. Kẻ tấn công tinh chỉnh chiến thuật của họ. Người phòng thủ học hỏi công khai. Sự minh bạch phơi bày điểm yếu, nhưng cũng thúc đẩy cải thiện.

An ninh đã trở thành uy tín. Đối với NFT, DeFi, và toàn bộ thị trường crypto, giai đoạn tiếp theo phụ thuộc ít hơn vào tốc độ và nhiều hơn vào kỷ luật.

Các câu hỏi thường gặp

Dưới đây là một số câu hỏi thường gặp về chủ đề này:

1. Năm 2025, đã mất bao nhiêu tiền do các vụ hack Web3?

Hacken báo cáo tổng thiệt hại là 4,004 tỷ USD. Các công ty khác như CertiK và Chainalysis ước tính từ 2,5 tỷ đến 3,2 tỷ USD, tùy theo phương pháp luận.

2. Các nguồn gây thiệt hại lớn nhất trong crypto năm 2025 là gì?

Phần lớn bắt nguồn từ các lỗi quản lý truy cập (53%), tiếp theo là phishing (24%) và lỗ hổng hợp đồng thông minh (13%).

3. Bắc Triều Tiên có thực sự chịu trách nhiệm cho phần lớn các vụ hack Web3 không?

Có. Các nhóm liên kết với Bắc Triều Tiên chịu trách nhiệm khoảng 52% thiệt hại trong năm 2025, thường sử dụng phishing và các chiến thuật xã hội.

4. Các cuộc kiểm toán hợp đồng thông minh vẫn còn hiệu quả không?

Các cuộc kiểm toán giúp giảm rủi ro nhưng không phải là không thể sai sót. Nhiều khai thác trong năm 2025 xảy ra ở các giao thức đã được kiểm toán hoặc đã qua thử thách do bỏ sót các trường hợp ngoại lệ.

5. AI ảnh hưởng như thế nào đến an ninh Web3 trong năm 2025?

AI được sử dụng cả hai phía—phòng thủ (để giám sát) và tấn công (deepfakes, tự động hóa lừa đảo), tạo ra các rủi ro mới như tấn công chèn prompt.

6. Người dùng có thể làm gì để bảo vệ tài sản của mình?

Sử dụng ví phần cứng, tránh ký các giao dịch không rõ, xác minh địa chỉ, và thực hành vệ sinh kỹ thuật số nghiêm ngặt, đặc biệt trên các nền tảng xã hội.