Báo cáo An ninh Hàng năm của CertiK: Tổn thất Web3 năm 2025 tăng 37% so với cùng kỳ, Tấn công Lừa đảo và Sự kiện Chuỗi Cung ứng trở thành Mối đe dọa Chính

marsbitXuất bản vào 2025-12-25Cập nhật gần nhất vào 2025-12-25

Tóm tắt

Công ty an ninh mạng CertiK công bố Báo cáo An ninh Web3 năm 2025, cho thấy tổn thất trong lĩnh vực này đã tăng 37% so với năm 2024, lên 3,35 tỷ USD từ 630 sự kiện bảo mật. Dù số vụ giảm 137 vụ, thiệt hại trung bình mỗi vụ tăng 66,6%, lên 5,32 triệu USD, cho thấy xu hướng nhắm mục tiêu vào các giá trị cao. Tấn công chuỗi cung ứng trở thành mối đe dọa lớn nhất, chỉ với hai sự kiện nhưng chiếm gần một nửa tổng thiệt hại (1,45 tỷ USD), nổi bật là vụ Bybit (1,4 tỷ USD). Tin tặc nhắm vào các nhà cung cấp dịch vụ cốt lõi thay vì giao thức riêng lẻ. Tấn công phishing (lừa đảo) là phổ biến nhất với 248 vụ (723 triệu USD), nhưng con số thực tế có thể cao hơn. Trí tuệ nhân tạo (AI) làm gia tăng rủi ro, tạo trang web giả mạo và thông tin đa ngôn ngữ, vượt mặt biện pháp phòng thủ truyền thống. Bối cảnh pháp lý ngày càng rõ ràng (như EU, Mỹ, Singapore) thúc đẩy phát triển minh bạch. An ninh đang chuyển từ "chi phí" sang "cơ sở hạ tầng" quan trọng. Dự báo năm tới, các cuộc tấn công dựa trên AI, chuỗi cung ứng phức tạp và lừa đảo xã hội sẽ tiếp tục, đòi hỏi tích hợp bảo mật vào thiết kế và trải nghiệm người dùng.

Ngày 23 tháng 12, CertiK, công ty an ninh Web3 lớn nhất toàn cầu, đã công bố "Báo cáo An ninh Web3 Skynet Hack3D 2025", hệ thống hóa các sự kiện an ninh chính và xu hướng rủi ro trong lĩnh vực Web3 năm qua. Báo cáo chỉ ra rằng ngành Web3 đang phát triển nhanh chóng trong bối cảnh thị trường phục hồi và kỳ vọng quản lý rõ ràng hơn, nhưng rủi ro an ninh không giảm theo, mà vẫn phải đối mặt với những thách thức an ninh có tính hệ thống.

Báo cáo cho thấy, năm 2025, lĩnh vực Web3 đã xảy ra tổng cộng 630 vụ việc an ninh, gây thiệt hại tổng cộng khoảng 3,35 tỷ USD, tăng 37% so với năm 2024; mặc dù số vụ việc giảm 137 vụ so với năm trước, nhưng thiệt hại trung bình mỗi lần tấn công lên tới 5,322 triệu USD, tăng mạnh 66,6%, cho thấy xu hướng kẻ tấn công tập trung vào các mục tiêu có giá trị cao.

Tấn công chuỗi cung ứng đẩy thiệt hại hàng năm lên cao

Xét theo loại hình tấn công, tấn công chuỗi cung ứng trở thành nguồn rủi ro gây thiệt hại lớn nhất trong năm 2025. Mặc dù cả năm chỉ ghi nhận hai sự kiện liên quan, nhưng tổng thiệt hại lên tới 1,45 tỷ USD, chiếm gần một nửa tổng thiệt hại cả năm. Trong đó, sự kiện xảy ra với Bybit vào tháng 2 chiếm phần lớn thiệt hại.

Theo báo cáo tiết lộ, sự kiện an ninh mà Bybit gặp phải vào tháng 2 năm 2025 đã gây thiệt hại khoảng 1,4 tỷ USD, được coi là một trong những sự kiện đánh cắp tài sản mã hóa có quy mô lớn nhất từ trước đến nay. Kẻ tấn công không trực tiếp đột phá hệ thống sàn giao dịch, mà thông qua việc xâm nhập môi trường nhà phát triển của nhà cung cấp dịch vụ ví đa ký (multi-sig) bên thứ ba, cài mã độc vào quy trình ký, từ đó bỏ qua cơ chế phê duyệt đa tầng.

CertiK chỉ ra trong báo cáo rằng những sự kiện tương tự phản ánh việc kẻ tấn công đang tập trung nguồn lực vào các nhà cung cấp dịch vụ then chốt và công cụ cơ sở, thay vì bản thân một giao thức đơn lẻ, an ninh chuỗi cung ứng đã trở thành rủi ro hệ thống không thể xem nhẹ.

Tấn công lừa đảo (phishing) xảy ra thường xuyên, AI trở thành "bộ khuếch đại"

Về tần suất tấn công, lừa đảo mạng (phishing) vẫn là mối đe dọa an ninh phổ biến nhất năm 2025. Báo cáo cho thấy, cả năm ghi nhận 248 vụ tấn công lừa đảo, gây thiệt hại khoảng 723 triệu USD, số lần xảy ra cao hơn một chút so với tấn công lỗ hổng mã (240 vụ).

Đáng chú ý, CertiK cho rằng con số này vẫn có thể bị đánh giá thấp. Một lượng lớn sự kiện lừa đảo và gian lận nhắm vào người dùng cá nhân không được tiết lộ chính thức, đặc biệt là các cuộc tấn công kỹ thuật xã hội (social engineering) có số tiền thiệt hại nhỏ hoặc xảy ra off-chain.

Báo cáo nhấn mạnh, việc phổ cập trí tuệ nhân tạo (AI) đang làm giảm đáng kể ngưỡng kỹ thuật cho các cuộc tấn công lừa đảo. Kẻ tấn công bắt đầu sử dụng AI để tạo ra các trang web lừa đảo, cửa sổ pop-up ví và thông tin lừa đảo đa ngôn ngữ có độ mô phỏng cao, đồng thời kết hợp với dữ liệu on-chain và nội dung mạng xã hội để "phân phối chính xác". Các phương pháp phòng thủ truyền thống dựa vào lỗi ngữ pháp hoặc đặc điểm mẫu để nhận biết đang dần mất tác dụng.

Quản lý ngày càng rõ ràng, An ninh đang chuyển từ "khoản chi phí" sang "cơ sở hạ tầng"

Trong khi rủi ro gia tăng, báo cáo cũng ghi nhận môi trường quản lý toàn cầu đang có những thay đổi tích cực. Những tiến triển về lập pháp xoay quanh stablecoin và tính minh bạch của tài sản số tại Mỹ đã mang lại tín hiệu chính sách rõ ràng hơn cho ngành; các khuôn khổ MiCA của EU, sandbox quản lý tại Singapore và Hong Kong (Trung Quốc) cũng đang thúc đẩy Web3 phát triển theo hướng quy chuẩn hơn.

CertiK chỉ ra trong báo cáo rằng, cùng với việc các tổ chức và nguồn vốn tuân thủ liên tục tham gia thị trường, năng lực an ninh đang chuyển từ "khắc phục sau sự cố" sang thành tố cơ sở hạ tầng trong thiết kế và vận hành dự án. Dù là đối với nhà dự án hay người dùng cá nhân, an ninh không còn là tùy chọn, mà là biến số then chốt ảnh hưởng đến khả năng tồn tại lâu dài.

Báo cáo cuối cùng nhìn nhận, trong năm tới, các cuộc tấn công giả mạo dựa trên AI, xâm nhập chuỗi cung ứng ngày càng phức tạp và các cuộc tấn công kỹ thuật xã hội nhắm vào người dùng cá nhân sẽ tiếp tục phát triển. Trong bối cảnh này, chỉ những dự án tích hợp an ninh vào thiết kế kiến trúc, quy trình phát triển và trải nghiệm người dùng mới có khả năng nổi bật trong cuộc cạnh tranh Web3 mới.

Toàn văn báo cáo: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a

Câu hỏi Liên quan

QBáo cáo an ninh mạng của CertiK năm 2025 chỉ ra tổng thiệt hại tài chính trong lĩnh vực Web3 là bao nhiêu?

ABáo cáo cho thấy tổng thiệt hại năm 2025 là khoảng 3,35 tỷ USD, tăng 37% so với năm 2024.

QLoại hình tấn công nào gây ra thiệt hại lớn nhất về mặt tài chính trong năm 2025 theo báo cáo?

ATấn công chuỗi cung ứng (Supply Chain Attack) là nguồn rủi ro gây thiệt hại lớn nhất, với tổng số tiền lên tới 1,45 tỷ USD, chiếm gần một nửa tổng thiệt hại cả năm.

QSự kiện bảo mật nào được coi là một trong những vụ trộm cắp tài sản mã hóa lớn nhất từ trước đến nay được đề cập trong báo cáo?

AĐó là sự kiện xảy ra với Bybit vào tháng 2 năm 2025, gây thiệt hại ước tính khoảng 1,4 tỷ USD.

QLoại hình tấn công nào là phổ biến nhất về số lượng sự cố trong năm?

ATấn công lừa đảo (Phishing) là mối đe dọa phổ biến nhất với 248 sự cố được ghi nhận.

QBáo cáo nhận định vai trò của Trí tuệ nhân tạo (AI) như thế nào trong các cuộc tấn công?

ABáo cáo nhấn mạnh rằng AI đang làm giảm đáng kể rào cản kỹ thuật cho các cuộc tấn công lừa đảo, được sử dụng để tạo ra các trang web lừa đảo giả mạo có độ chân thực cao và thông tin lừa đảo đa ngôn ngữ, hoạt động như một 'bộ khuếch đại' mối đe dọa.

Nội dung Liên quan

Từ Trở Lại Đến Từ Chức: 437 Ngày Của Trần Hàng Tại DingTalk

**Tóm tắt: Hành trình 437 ngày của Trần Hàng từ khi trở lại tới khi rời ghế CEO Đinh Đinh** Ngày 31/3/2025, Trần Hàng (biệt danh "Vô Chiêu"), người sáng lập Đinh Đinh, trở lại nắm quyền CEO sau 4 năm, với sứ mệnh dẫn dắt nền tảng này bước vào kỷ nguyên AI dưới chiến lược AI toàn diện của Alibaba. Trong 437 ngày, ông đã thực hiện loạt biện pháp quản lý mạnh mẽ và gây tranh cãi: tăng cường kiểm soát giờ giấc, cắt giảm chi phí, yêu cầu nhân viên "xuống đất" làm dịch vụ khách hàng để phát hiện vấn đề thực tế. Ông nhanh chóng ra mắt AI Đinh Đinh 1.0 vào tháng 8/2025, với sản phẩm chủ lực là Đinh Đinh ONE, một cổng tương tác AI mới. Tuy nhiên, ONE sau đó gặp vấn đề về tỷ lệ giữ chân người dùng và bị thu hẹp. Đến tháng 3/2026, Trần Hàng công bố AI Đinh Đinh 2.0 - nền tảng làm việc nguyên sinh AI cấp doanh nghiệp toàn cầu đầu tiên mang tên "Ngộ Không". Ông tuyên bố "đập vỡ" Đinh Đinh cũ để xây dựng lại bằng AI, biến Đinh Đinh thành nền tảng mang "Ngộ Không". Điều này đánh dấu sự chuyển đổi chiến lược: "Ngộ Không" trở thành lối vào chính cho AI toB của Alibaba, còn Đinh Đinh trở thành vật mang. Tháng 6/2026, hai bài viết dài gây bão nội bộ ("Đặt mình trong Đinh" và "Đặt mình ngoài Đinh") phơi bày những vấn đề về văn hóa làm việc căng thẳng, quản lý độc đoán. Ủy ban Đối tác Alibaba đã lên tiếng chỉ trích hiếm hoi về phong cách quản lý này. Ngày 11/6, Alibaba thông báo Trần Hàng rời ghế CEO. Người kế nhiệm là Trần Vũ Sâm (sinh năm 1992), một cực khách kỹ thuật trẻ tuổi, người sáng lập MuleRun. Hành trình 437 ngày của Trần Hàng để lại một nền tảng kỹ thuật vững chắc ("Ngộ Không", CLI hóa) cho lối vào AI toB của Alibaba, nhưng cũng đi kèm cái giá lớn về tổ chức và văn hóa. Tương lai của Đinh Đinh giờ đây nằm trong tay thế hệ lãnh đạo mới, với kỳ vọng tìm lại tinh thần khởi nghiệp trong kỷ nguyên AI.

marsbit5 phút trước

Từ Trở Lại Đến Từ Chức: 437 Ngày Của Trần Hàng Tại DingTalk

marsbit5 phút trước

『Nữ hoàng khai thác tiền ảo』 Lữ Vĩnh Song: Từng nắm giữ 9% sức mạnh tính toán Bitcoin toàn cầu, nhưng bị 'Phò mã Trung Đông' lừa mất 60 triệu đô tại Mỹ

Bài báo kể về lãnh đạo doanh nghiệp tiền điện tử Trung Quốc Lã Vịnh Song (Fiona Lyu), từng được mệnh danh là "Nữ hoàng khai thác coin". Công ty của bà, Valarhash, điều hành các hồ khai thác 1THash và Bytepool, từng nắm giữ khoảng 9% tổng sức mạnh tính toán (hashrate) của mạng lưới Bitcoin toàn cầu vào thời kỳ đỉnh cao năm 2020. Năm 2021, sau lệnh cấm khai thác tiền điện tử ở Trung Quốc, bà chuyển hướng hoạt động sang Hoa Kỳ. Tại Ohio, bà trở thành nạn nhân của một vụ lừa đảo tinh vi do hai anh em Zubair thực hiện. Họ giả danh thành viên hoàng gia Trung Đông và một quản lý quỹ phòng hộ, thông qua việc hối lộ một trợ lý thị trưởng để tạo vỏ bọc hợp pháp, thuyết phục Lã Vịnh Song ký hợp đồng phát triển trang trại khai thác. Tổng cộng bà bị lừa hơn 9,4 triệu USD (khoảng 6.000 triệu NDT), bao gồm tiền hợp đồng và 1.067 máy đào bị bán sang Canada. Năm 2026, tòa án Mỹ kết án hai anh em Zubair lần lượt 24 và 23 năm tù. Cùng thời gian này, tại Trung Quốc, công ty của bà cũng thua kiện và phải hoàn trả gần 20 triệu NDT cho một công ty con của ST Zhongchang do hợp đồng khai thác Bitcoin bị tuyên bố vô hiệu.

marsbit13 phút trước

『Nữ hoàng khai thác tiền ảo』 Lữ Vĩnh Song: Từng nắm giữ 9% sức mạnh tính toán Bitcoin toàn cầu, nhưng bị 'Phò mã Trung Đông' lừa mất 60 triệu đô tại Mỹ

marsbit13 phút trước

Gieo Xúc Xắc, Thắng BTC! WEEX Ra Mắt 'World Cup x Monopoly' Đang Phát Triển Triệu USDT

Mùa hè 2026 chứng kiến FIFA World Cup mở rộng lịch sử với 48 đội và 104 trận đấu tại ba quốc gia Bắc Mỹ. Đón đầu sự kiện, sàn giao dịch tiền mã hóa WEEX, đối tác chính thức của LALIGA tại Đài Loan và Hồng Kông, đã ra mắt chương trình khuyến mãi lớn "World Cup x Monopoly: Tham gia để giành triệu USDT". Sự kiện diễn ra từ 11/6 đến 20/7, kết hợp trò chơi cờ Monopoly với các tương tác World Cup. Người dùng có thể nhận xúc xắc bằng cách: đăng ký tham gia, nạp tiền, giao dịch hợp đồng/spot WXT, tiêu xúc xắc hoặc mời bạn bè. Sử dụng xúc xắc để di chuyển trên bàn cờ 3D và nhận thưởng trực tiếp như BTC, ETH, USDT, tiền thưởng hoặc điểm tích lũy. Điểm số kiếm được từ di chuyển cờ và hoàn thành nhiệm vụ hàng tuần sẽ mở khóa phần thưởng mốc quan trọng, lên tới 1,000 USDT. Ngoài ra, người chơi có thể dùng điểm để tham gia dự đoán kết quả trận đấu World Cup, với tỷ lệ cược động cho cơ hội nhân điểm. Bảng xếp hạng điểm được công bố minh bạch trên trang web WEEX.

marsbit17 phút trước

Gieo Xúc Xắc, Thắng BTC! WEEX Ra Mắt 'World Cup x Monopoly' Đang Phát Triển Triệu USDT

marsbit17 phút trước

Tân quý tộc AI, bạn trò chuyện giá 5.000 USD mỗi giờ: Thung lũng Silicon 2026 và Night City 2077

Bài viết mô tả sự biến đổi của San Francisco vào tháng 6/2026 dưới tác động của cơn sốt AI. Làn sóng IPO của các gã khổng lồ AI như OpenAI và Anthropic đã tạo ra một tầng lớp triệu phú công nghệ trẻ, chủ yếu sống ở các khu như SoMa. Sự thịnh vượng này hồi sinh thành phố, đẩy giá thuê văn phòng và nhà ở tăng vọt, nhưng cũng làm sâu sắc thêm khoảng cách giàu nghèo. Giữa bối cảnh đó, một dịch vụ "trò chuyện cao cấp" đắt đỏ nở rộ, đáp ứng nhu cầu đặc biệt của giới tinh hoa AI: được lắng nghe. Các khách hàng trẻ tuổi, giàu có nhưng cô đơn, sẵn sàng trả 3.000-6.000 USD/giờ để có những cuộc trò chuyện về AI, GPU, chủ nghĩa trường thọ với những người phụ nữ vừa thông minh, xinh đẹp vừa am hiểu chuyên môn. Họ không tìm kiếm sự xa hoa truyền thống mà là sự kết nối trí tuệ và cảm xúc, một thứ xa xỉ trong thời đại mới. Bài viết vẽ nên một xã hội nơi công nghệ tiên tiến tồn tại song song với sự cô lập cá nhân và bất bình đẳng ngày càng tăng, gợi nhớ đến hình ảnh "thành phố không ngủ" (Night City) trong thế giới cyberpunk - nơi mức sống và trải nghiệm của con người bị phân hóa sâu sắc bởi địa vị và công nghệ.

marsbit24 phút trước

Tân quý tộc AI, bạn trò chuyện giá 5.000 USD mỗi giờ: Thung lũng Silicon 2026 và Night City 2077

marsbit24 phút trước

Bản đồ toàn cảnh AI phi tập trung năm 2026: Tại sao blockchain là 'liều thuốc giải' không thể bỏ qua của AI?

**AI phi tập trung năm 2026: Tại sao blockchain là 'liều thuốc giải' không thể thiếu?** AI tập trung đối mặt nhiều hạn chế cấu trúc: tài nguyên tính toán khan hiếm, kiểm soát tập trung quá mức, đầu ra không thể xác minh, và khó khăn trong thu thập dữ liệu huấn luyện. Blockchain có thể giải quyết những vấn đề này bằng cách làm cho trí tuệ nhân tạo trở nên mở, có thể kiểm chứng và dễ tiếp cận về mặt kinh tế. Bản đồ hệ sinh thái AI phi tập trung gồm ba tầng: 1. **Tầng Ứng dụng & Dịch vụ:** Tập trung vào Tài chính Tác tử (ví dụ: giao dịch tự động, tối ưu hóa yield farming) và Thanh toán Tác tử (máy thanh toán cho máy), với các giao thức như x402 xử lý hàng trăm triệu giao dịch. 2. **Tầng Middleware (Phần mềm trung gian):** Giải quyết việc phối hợp, danh tính và danh tiếng của các tác tử AI. Các dự án như Bittensor (mạng lưới các subnet chuyên biệt), NEAR, và Virtuals đang xây dựng nền tảng cho nền kinh tế tác tử. 3. **Tầng Cơ sở hạ tầng:** Cung cấp nền tảng tính toán, suy luận, huấn luyện, dữ liệu và lưu trữ phi tập trung. Các mạng như Akash, Render cung cấp điện toán giá rẻ; Filecoin, Grass cung cấp lưu trữ và dữ liệu; trong khi Nillion, Phala Network tập trung vào lớp riêng tư và xác minh. Xu hướng 2026-2027: Nhu cầu AI tăng nhanh hơn cơ sở hạ tầng. Điện toán đang trở thành một loại tài sản, và thị trường on-chain là lớp tài chính của nó. Kinh tế token là lợi thế cấu trúc để phối hợp vốn, tính toán và dữ liệu. Kết luận: AI phi tập trung đang phát triển mạnh mẽ, chuyển từ giai đoạn đầu tư mạo hiểm sang một mô hình phối hợp mới cho tính toán, dữ liệu và vốn, mặc dù việc áp dụng vẫn chưa đồng đều và việc nắm bắt giá trị cần được thiết kế đúng đắn.

Foresight News26 phút trước

Bản đồ toàn cảnh AI phi tập trung năm 2026: Tại sao blockchain là 'liều thuốc giải' không thể bỏ qua của AI?