Báo cáo sự kiện an ninh trong giới tiền mã hóa 2025: thiệt hại 2.9 tỷ USD, AI giả mạo sâu trở thành vũ khí mới của hacker

Báo cáo hàng năm của Slow Mist Technologies cho thấy, các sự kiện an ninh chuỗi khối năm 2025 dù giảm từ 410 xuống còn 200 vụ, tổng thiệt hại lại tăng vọt 46% lên 2.935 tỷ USD. Các vụ tấn công CEX chiếm 1.46 tỷ USD đứng đầu, công nghệ AI Deepfake lừa đảo KYC trở thành mối đe dọa mới, nhóm Lazarus của Triều Tiên đã trộm 1.645 tỷ USD trong chín tháng đầu năm, tập đoàn Hong Kong Woori Group bị Mỹ trừng phạt vì giúp rửa tiền.

CÁC VỤ TẤN CÔNG ĐẦU TƯƠNG CỐNG CÁO CÁO 14.6 TỶ USD GHI DẤU LỊCH SỬ

Sự kiện an ninh gây chấn động nhất năm 2025 là vụ tấn công CEX, thiệt hại 14.6 tỷ USD đã lập kỷ lục mới. Hacker dường như đã lợi dụng quyền đa chữ ký của Safe Wallet để tấn công, phương thức tấn công chính xác nhằm vào cơ chế đa chữ ký này đã phơi bày lỗ hổng quản trị ngay cả tại các sàn giao dịch hàng đầu.

Chủ tịch Ben Zhou của CEX sau đó kể lại quá trình xử lý khủng hoảng, cho biết cuộc tấn công xảy ra vào sáng cuối tuần, nhóm đã thực hiện phản ứng khẩn cấp trong vài giờ, bao gồm phong tỏa các địa chỉ đáng ngờ, kích hoạt quỹ dự phòng và hợp tác với các công ty phân tích chuỗi để theo dõi dòng tiền. Tuy nhiên, quy mô thiệt hại 14.6 tỷ USD vượt xa khả năng chịu đựng của một doanh nghiệp đơn lẻ, sự kiện này đã gây ra một cuộc suy nghĩ lại toàn diện về an toàn của các sàn tập trung.

Các vụ thiệt hại lớn còn lại gồm Cetus Protocol thiệt hại 230 triệu USD do lỗ hổng hợp đồng, TVL của Sui Ecosystem giảm 83% sau đòn tấn công lớn này, Balancer V2 thiệt hại 121 triệu USD do lỗi tính toán đường dẫn hoán đổi Stable Pool, các hợp đồng DeFi lại một lần nữa lộ ra những điểm yếu về an ninh. Sàn Nobitex của Iran bị tấn công bởi nhóm hacker thân Israel, khoảng 100 triệu USD tài sản bị phá hủy, sự kiện này mở rộng xung đột địa chính trị vào lĩnh vực tiền mã hóa.

AI Deepfake và Tấn Công Xã Hội Hợp Nhất Chết Người

Thay đổi nổi bật nhất trong phương thức tấn công năm 2025 là sự thâm nhập sâu của công nghệ AI. Hacker sử dụng Deepfake để giả mạo giọng nói và hình ảnh của các lãnh đạo doanh nghiệp trong các cuộc họp video. Nhân viên của công ty xây dựng đa quốc gia Arup tại Hong Kong đã bị lừa, chuyển khoản lớn theo chỉ đạo của “CEO” qua video. Thậm chí đáng sợ hơn, hacker còn dùng danh tính giả do AI tạo ra để vượt qua xác minh KYC của các sàn giao dịch tiền mã hóa, khiến cho lớp phòng chống rửa tiền ban đầu trở nên vô nghĩa.

Sáu phương thức tấn công mới nổi bật năm 2025

1. Tạo mã độc động AI

· Sử dụng mô hình AI để tạo ra các biến thể mã độc ngay lập tức

· Tránh bị phát hiện bởi phần mềm bảo mật truyền thống dựa trên đặc trưng mã

· Mỗi lần tấn công, mã độc có dấu vân tay khác nhau

2. Lừa đảo tuyển dụng

· Giả danh công ty Web3 tuyển dụng kỹ sư

· Dẫn dụ tải xuống kho mã chứa backdoor hoặc dự án thử nghiệm

· Trộm khóa riêng và thông tin nhạy cảm trong máy của nhà phát triển

3. Tấn công lừa đảo Clickfix

· Dẫn dụ người dùng thực thi lệnh độc hại trên hệ thống

· Giả danh hỗ trợ kỹ thuật hoặc cập nhật hệ thống

· Vượt qua cảnh báo bảo mật trình duyệt để thực thi lệnh trực tiếp

4. Thay đổi quyền hạn Solana

· Thay đổi quyền Owner của tài khoản thành địa chỉ hacker

· Ngay cả khi có khóa riêng, cũng không thể kiểm soát tài sản

· Tận dụng thiết kế đặc biệt của mô hình tài khoản Solana

5. Lợi dụng quyền EIP-7702

· Tận dụng tính năng trừu tượng tài khoản Ethereum mới

· Tấn công hàng loạt tài sản trong ví đã cấp phép EIP-7702

· Ví của nhà đầu tư WLFI từng bị xóa sạch do đó

6. Tấn công đầu độc chuỗi cung ứng

· Gắn backdoor vào các công cụ mã nguồn mở phổ biến trên GitHub

· Nhắm vào các dự án có lượng truy cập cao như robot giao dịch Solana

· Thông qua cập nhật gói NPM để tự động nhiễm môi trường phát triển

Thành công của các cuộc tấn công xã hội vượt xa việc khai thác lỗ hổng kỹ thuật. Nhiều nạn nhân không phải do hợp đồng thông minh có lỗ hổng hoặc khóa riêng bị phá vỡ bằng brute-force, mà do bị lừa qua các câu chuyện được thiết kế tinh vi và danh tính giả mạo. Khi hacker có thể dùng AI mô phỏng giọng nói của bất kỳ ai, tạo ra các cảnh video giả, thì “nhìn thấy là tin” truyền thống đã trở nên vô hiệu.

Tấn công chuỗi cung ứng còn tinh vi hơn. Hacker không tấn công trực tiếp mục tiêu, mà đầu độc các công cụ và thư viện mà nhà phát triển phụ thuộc. Khi hàng nghìn nhà phát triển cập nhật gói NPM hoặc clone kho GitHub, mã độc sẽ tự động xâm nhập vào môi trường phát triển của họ. Cách tấn công này đáng sợ ở chỗ nạn nhân thậm chí không biết mình đã bị xâm nhập cho đến khi tài sản bị đánh cắp, lúc đó đã muộn.

Nhóm hacker Triều Tiên và mạng lưới rửa tiền xuyên quốc gia

Nhóm hacker Lazarus của Triều Tiên vẫn là mối đe dọa an ninh lớn nhất toàn cầu năm 2025, chỉ trong chín tháng đầu đã trộm khoảng 1.645 tỷ USD. Con số này vượt qua GDP của nhiều quốc gia nhỏ trung bình, thể hiện sức mạnh đáng sợ của nguồn lực hacker cấp quốc gia. Quá trình rửa tiền của Lazarus đã trở nên công nghiệp hóa, qua các cầu nối chuỗi để chuyển tiền bất hợp pháp giữa các blockchain khác nhau, dùng Tornado Cash và các công cụ pha trộn để làm mờ nguồn gốc dòng tiền, đồng thời trộn lẫn các khoản tiền từ nhiều vụ việc để tăng độ khó truy vết.

Tập đoàn Huione của Campuchia bị Mỹ trừng phạt vì bị cáo buộc giúp đỡ dòng tiền lừa đảo lớn, qua Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC). Điều này đánh dấu bước tiến của quy định chống rửa tiền trong hợp tác pháp luật xuyên quốc gia. Trước đây, Đông Nam Á bị xem là vùng xám về quản lý tiền mã hóa, nhiều điểm rửa tiền nằm tại đây. Nhưng quyền hạn của Mỹ đã khiến các tổ chức này mất khả năng tiếp cận hệ thống tài chính quốc tế, làm giảm nghiêm trọng khả năng vận hành của chúng.

Slow Mist tổng kết, xu hướng năm 2025 là hệ thống tấn công ngày càng chuyên nghiệp, các mạng lưới tội phạm ngày càng tinh vi, quy định pháp luật ngày càng mạnh mẽ. An ninh và tuân thủ không còn chỉ là khả năng phòng vệ, mà đã trở thành rào cản sinh tồn trong kinh doanh. Tương lai của ngành Web3 sẽ phụ thuộc vào khả năng xây dựng các kiểm soát an toàn nội bộ mạnh mẽ hơn và mô hình quản trị vốn minh bạch hơn.