Báo cáo An ninh Hàng năm của CertiK: Tổn thất Web3 năm 2025 tăng 37% so với cùng kỳ, Tấn công Lừa đảo và Sự kiện Chuỗi Cung ứng trở thành Mối đe dọa Chính

marsbitXuất bản vào 2025-12-25Cập nhật gần nhất vào 2025-12-25

Tóm tắt

Công ty an ninh mạng CertiK công bố Báo cáo An ninh Web3 năm 2025, cho thấy tổn thất trong lĩnh vực này đã tăng 37% so với năm 2024, lên 3,35 tỷ USD từ 630 sự kiện bảo mật. Dù số vụ giảm 137 vụ, thiệt hại trung bình mỗi vụ tăng 66,6%, lên 5,32 triệu USD, cho thấy xu hướng nhắm mục tiêu vào các giá trị cao. Tấn công chuỗi cung ứng trở thành mối đe dọa lớn nhất, chỉ với hai sự kiện nhưng chiếm gần một nửa tổng thiệt hại (1,45 tỷ USD), nổi bật là vụ Bybit (1,4 tỷ USD). Tin tặc nhắm vào các nhà cung cấp dịch vụ cốt lõi thay vì giao thức riêng lẻ. Tấn công phishing (lừa đảo) là phổ biến nhất với 248 vụ (723 triệu USD), nhưng con số thực tế có thể cao hơn. Trí tuệ nhân tạo (AI) làm gia tăng rủi ro, tạo trang web giả mạo và thông tin đa ngôn ngữ, vượt mặt biện pháp phòng thủ truyền thống. Bối cảnh pháp lý ngày càng rõ ràng (như EU, Mỹ, Singapore) thúc đẩy phát triển minh bạch. An ninh đang chuyển từ "chi phí" sang "cơ sở hạ tầng" quan trọng. Dự báo năm tới, các cuộc tấn công dựa trên AI, chuỗi cung ứng phức tạp và lừa đảo xã hội sẽ tiếp tục, đòi hỏi tích hợp bảo mật vào thiết kế và trải nghiệm người dùng.

Ngày 23 tháng 12, CertiK, công ty an ninh Web3 lớn nhất toàn cầu, đã công bố "Báo cáo An ninh Web3 Skynet Hack3D 2025", hệ thống hóa các sự kiện an ninh chính và xu hướng rủi ro trong lĩnh vực Web3 năm qua. Báo cáo chỉ ra rằng ngành Web3 đang phát triển nhanh chóng trong bối cảnh thị trường phục hồi và kỳ vọng quản lý rõ ràng hơn, nhưng rủi ro an ninh không giảm theo, mà vẫn phải đối mặt với những thách thức an ninh có tính hệ thống.

Báo cáo cho thấy, năm 2025, lĩnh vực Web3 đã xảy ra tổng cộng 630 vụ việc an ninh, gây thiệt hại tổng cộng khoảng 3,35 tỷ USD, tăng 37% so với năm 2024; mặc dù số vụ việc giảm 137 vụ so với năm trước, nhưng thiệt hại trung bình mỗi lần tấn công lên tới 5,322 triệu USD, tăng mạnh 66,6%, cho thấy xu hướng kẻ tấn công tập trung vào các mục tiêu có giá trị cao.

Tấn công chuỗi cung ứng đẩy thiệt hại hàng năm lên cao

Xét theo loại hình tấn công, tấn công chuỗi cung ứng trở thành nguồn rủi ro gây thiệt hại lớn nhất trong năm 2025. Mặc dù cả năm chỉ ghi nhận hai sự kiện liên quan, nhưng tổng thiệt hại lên tới 1,45 tỷ USD, chiếm gần một nửa tổng thiệt hại cả năm. Trong đó, sự kiện xảy ra với Bybit vào tháng 2 chiếm phần lớn thiệt hại.

Theo báo cáo tiết lộ, sự kiện an ninh mà Bybit gặp phải vào tháng 2 năm 2025 đã gây thiệt hại khoảng 1,4 tỷ USD, được coi là một trong những sự kiện đánh cắp tài sản mã hóa có quy mô lớn nhất từ trước đến nay. Kẻ tấn công không trực tiếp đột phá hệ thống sàn giao dịch, mà thông qua việc xâm nhập môi trường nhà phát triển của nhà cung cấp dịch vụ ví đa ký (multi-sig) bên thứ ba, cài mã độc vào quy trình ký, từ đó bỏ qua cơ chế phê duyệt đa tầng.

CertiK chỉ ra trong báo cáo rằng những sự kiện tương tự phản ánh việc kẻ tấn công đang tập trung nguồn lực vào các nhà cung cấp dịch vụ then chốt và công cụ cơ sở, thay vì bản thân một giao thức đơn lẻ, an ninh chuỗi cung ứng đã trở thành rủi ro hệ thống không thể xem nhẹ.

Tấn công lừa đảo (phishing) xảy ra thường xuyên, AI trở thành "bộ khuếch đại"

Về tần suất tấn công, lừa đảo mạng (phishing) vẫn là mối đe dọa an ninh phổ biến nhất năm 2025. Báo cáo cho thấy, cả năm ghi nhận 248 vụ tấn công lừa đảo, gây thiệt hại khoảng 723 triệu USD, số lần xảy ra cao hơn một chút so với tấn công lỗ hổng mã (240 vụ).

Đáng chú ý, CertiK cho rằng con số này vẫn có thể bị đánh giá thấp. Một lượng lớn sự kiện lừa đảo và gian lận nhắm vào người dùng cá nhân không được tiết lộ chính thức, đặc biệt là các cuộc tấn công kỹ thuật xã hội (social engineering) có số tiền thiệt hại nhỏ hoặc xảy ra off-chain.

Báo cáo nhấn mạnh, việc phổ cập trí tuệ nhân tạo (AI) đang làm giảm đáng kể ngưỡng kỹ thuật cho các cuộc tấn công lừa đảo. Kẻ tấn công bắt đầu sử dụng AI để tạo ra các trang web lừa đảo, cửa sổ pop-up ví và thông tin lừa đảo đa ngôn ngữ có độ mô phỏng cao, đồng thời kết hợp với dữ liệu on-chain và nội dung mạng xã hội để "phân phối chính xác". Các phương pháp phòng thủ truyền thống dựa vào lỗi ngữ pháp hoặc đặc điểm mẫu để nhận biết đang dần mất tác dụng.

Quản lý ngày càng rõ ràng, An ninh đang chuyển từ "khoản chi phí" sang "cơ sở hạ tầng"

Trong khi rủi ro gia tăng, báo cáo cũng ghi nhận môi trường quản lý toàn cầu đang có những thay đổi tích cực. Những tiến triển về lập pháp xoay quanh stablecoin và tính minh bạch của tài sản số tại Mỹ đã mang lại tín hiệu chính sách rõ ràng hơn cho ngành; các khuôn khổ MiCA của EU, sandbox quản lý tại Singapore và Hong Kong (Trung Quốc) cũng đang thúc đẩy Web3 phát triển theo hướng quy chuẩn hơn.

CertiK chỉ ra trong báo cáo rằng, cùng với việc các tổ chức và nguồn vốn tuân thủ liên tục tham gia thị trường, năng lực an ninh đang chuyển từ "khắc phục sau sự cố" sang thành tố cơ sở hạ tầng trong thiết kế và vận hành dự án. Dù là đối với nhà dự án hay người dùng cá nhân, an ninh không còn là tùy chọn, mà là biến số then chốt ảnh hưởng đến khả năng tồn tại lâu dài.

Báo cáo cuối cùng nhìn nhận, trong năm tới, các cuộc tấn công giả mạo dựa trên AI, xâm nhập chuỗi cung ứng ngày càng phức tạp và các cuộc tấn công kỹ thuật xã hội nhắm vào người dùng cá nhân sẽ tiếp tục phát triển. Trong bối cảnh này, chỉ những dự án tích hợp an ninh vào thiết kế kiến trúc, quy trình phát triển và trải nghiệm người dùng mới có khả năng nổi bật trong cuộc cạnh tranh Web3 mới.

Toàn văn báo cáo: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a

Câu hỏi Liên quan

QBáo cáo an ninh mạng của CertiK năm 2025 chỉ ra tổng thiệt hại tài chính trong lĩnh vực Web3 là bao nhiêu?

ABáo cáo cho thấy tổng thiệt hại năm 2025 là khoảng 3,35 tỷ USD, tăng 37% so với năm 2024.

QLoại hình tấn công nào gây ra thiệt hại lớn nhất về mặt tài chính trong năm 2025 theo báo cáo?

ATấn công chuỗi cung ứng (Supply Chain Attack) là nguồn rủi ro gây thiệt hại lớn nhất, với tổng số tiền lên tới 1,45 tỷ USD, chiếm gần một nửa tổng thiệt hại cả năm.

QSự kiện bảo mật nào được coi là một trong những vụ trộm cắp tài sản mã hóa lớn nhất từ trước đến nay được đề cập trong báo cáo?

AĐó là sự kiện xảy ra với Bybit vào tháng 2 năm 2025, gây thiệt hại ước tính khoảng 1,4 tỷ USD.

QLoại hình tấn công nào là phổ biến nhất về số lượng sự cố trong năm?

ATấn công lừa đảo (Phishing) là mối đe dọa phổ biến nhất với 248 sự cố được ghi nhận.

QBáo cáo nhận định vai trò của Trí tuệ nhân tạo (AI) như thế nào trong các cuộc tấn công?

ABáo cáo nhấn mạnh rằng AI đang làm giảm đáng kể rào cản kỹ thuật cho các cuộc tấn công lừa đảo, được sử dụng để tạo ra các trang web lừa đảo giả mạo có độ chân thực cao và thông tin lừa đảo đa ngôn ngữ, hoạt động như một 'bộ khuếch đại' mối đe dọa.

Nội dung Liên quan

Mô hình AI tiên tiến nhất bắt đầu được kiểm soát xuất khẩu như uranium làm giàu

Tuần trước, lệnh cấm xuất khẩu của Bộ Thương mại Mỹ đã khiến hai mô hình AI mạnh nhất thế giới là Fable 5 và Mythos 5 của Anthropic ngừng hoạt động toàn cầu. Đây là lần đầu tiên một thực thể thông minh tồn tại dưới dạng bit bị đưa vào khung kiểm soát xuất khẩu tương tự như uranium làm giàu. Lịch sử kiểm soát uranium làm giàu đang được tái hiện. Trước đây, kiểm soát xuất khẩu chỉ áp dụng cho phần cứng và công thức có tính khan hiếm vật lý. Nhưng Fable 5 là một tập hợp tham số có thể sao chép vô hạn. Đối tượng bị kiểm soát thực sự là "mật độ năng lực" được tích hợp trong nó, như khả năng tạo mã, lập luận và tri thức đa lĩnh vực. Khi các khả năng riêng lẻ được "làm giàu" vào một điểm gọi duy nhất, nó vượt qua ngưỡng và bị đóng lại, giống như uranium khi đạt đến độ tinh khiết nhất định. Tương lai mười năm tới có thể chứng kiến ba điều. Thứ nhất, việc đánh giá năng lực mô hình sẽ trở thành chế độ hóa, với các ngưỡng kích hoạt kiểm soát dựa trên "độ giàu" của mô hình. Thứ hai, ranh giới pháp lý sẽ mờ đi, khi lệnh của Mỹ có thể áp dụng cho mọi công dân nước ngoài bất kể vị trí, buộc các doanh nghiệp toàn cầu phải xem xét lại chuỗi cung ứng AI. Thứ ba, con đường công nghệ sẽ phân liệt thành hai hướng: mô hình tiên phong độc quyền của Mỹ (dễ bị ngắt) và mô hình nguồn mở/triển khai cục bộ (kém tiên tiến hơn nhưng đáng tin cậy hơn). Vết nứt sâu nhất nằm ở chế độ sở hữu. Các doanh nghiệp có thể phụ thuộc sâu vào một mô hình như tư liệu sản xuất, nhưng về mặt pháp lý, họ chỉ mua dịch vụ có thể bị thu hồi bất cứ lúc nào mà không được bồi thường thỏa đáng. Hệ thống pháp luật hiện tại về tài sản chưa thể giải quyết hình thức tước đoạt mới này: tước quyền sử dụng mà không tước quyền sở hữu. Trong một thế giới số bị chia cắt, mô hình khôn ngoan nhất có thể không phải là mô hình dùng được. Mô hình dùng được sẽ là mô hình có quyền sở hữu rõ ràng nhất. Ở một số thời điểm, không bị tước đoạt quan trọng hơn việc dẫn trước tạm thời.

marsbit12 phút trước

Mô hình AI tiên tiến nhất bắt đầu được kiểm soát xuất khẩu như uranium làm giàu

marsbit12 phút trước

ETF Bitcoin Ghi Nhận Dòng Vốn Thoát Liên Tục 4.4 Tỷ USD, Lần Đầu Tiên Sau 3 Tuần Dòng Tiền Quay Trở Lại

**Tóm tắt: Bitcoin ETF ghi nhận dòng tiền rút kỷ lục** Các quỹ ETF Bitcoin trực tiếp tại Mỹ vừa trải qua đợt rút vốn tồi tệ nhất kể từ khi ra mắt. Trong 13 phiên liên tiếp từ 15/5 đến 3/6, các quỹ này đã chứng kiến dòng tiền ròng rút ra lên tới 44 tỷ USD, gấp đôi kỷ lục cũ thiết lập vào tháng 2/2025. Đáng chú ý, quỹ IBIT của BlackRock chiếm tới 3/4 tổng lượng rút tiền này. Dòng tiền rút mạnh kết hợp với việc giá Bitcoin giảm khoảng 21% (từ trên 80.000 USD xuống khoảng 63.000 USD) đã khiến tổng tài sản quản lý (AUM) của toàn bộ các ETF Bitcoin Mỹ giảm mạnh 215 tỷ USD, từ 1.042,9 tỷ USD xuống còn 828,3 tỷ USD chỉ trong ba tuần. Tuy nhiên, một tín hiệu tích cực đã xuất hiện. Ngày 12/6, dòng tiền đã quay trở lại với mức ròng dương 85,84 triệu USD. Đặc biệt, đây là ngày không có quỹ ETF nào ghi nhận dòng tiền rút ra ròng. Geoff Kendrick, Giám đốc nghiên cứu tài sản số tại Ngân hàng Standard Chartered, coi đây là một trong những dấu hiệu cho thấy Bitcoin đã chạm đáy của chu kỳ này, và nhận định: "Mùa đông đã kết thúc, chào mừng trở lại với mùa xuân của tiền mã hóa." Mặc dù một ngày tích cực chưa đảo ngược được đợt rút tiền 44 tỷ USD, nhưng nó được xem như điểm khởi đầu cho thấy áp lực bán có thể đã giảm bớt. Tổng dòng tiền ròng tích lũy của các ETF Bitcoin kể từ khi ra mắt vẫn ở mức trên 550 tỷ USD.

marsbit26 phút trước

ETF Bitcoin Ghi Nhận Dòng Vốn Thoát Liên Tục 4.4 Tỷ USD, Lần Đầu Tiên Sau 3 Tuần Dòng Tiền Quay Trở Lại

marsbit26 phút trước

CEO Microsoft viết bài dài: Trong tương lai sẽ có hai loại vốn, Vốn Nhân lực + Vốn Token

Tối qua, CEO Microsoft Satya Nadella đã đăng một bài luận dài trên X với tiêu đề "Một biên giới không có hệ sinh thái thì không ổn định", thu hút hơn 28 triệu lượt xem. Trong bài viết, ông thảo luận về tương lai của doanh nghiệp trong kỷ nguyên AI, đồng thời đề xuất hai khái niệm: "Vốn nhân lực" và "Vốn Token". Theo Nadella, AI đang thay đổi logic cạnh tranh cơ bản của doanh nghiệp. Trước đây, công cụ kỹ thuật số được sử dụng để nâng cao hiệu quả con người; nhưng ngày nay, bản thân mô hình AI có khả năng hấp thụ kiến thức chuyên môn và "hàng hóa hóa" nó. Điều này có thể dẫn đến viễn cảnh một vài mô hình AI mạnh mẽ "nuốt chửng" giá trị của toàn ngành, mà ông cảnh báo: "Chúng ta không thể để một vài hệ thống AI chiếm đoạt tất cả lợi nhuận kinh tế." Để phát triển bền vững, mỗi doanh nghiệp cần xây dựng cả "Vốn nhân lực" (kiến thức, phán đoán, sáng tạo của nhân viên) và "Vốn Token" (khả năng AI do doanh nghiệp sở hữu). Ông nhấn mạnh giá trị của vốn nhân lực không giảm mà còn tăng lên cùng với vốn Token, và chính sự chủ động của con người sẽ thúc đẩy sự phát triển của vốn Token. Chìa khóa thành công là thiết lập một "vòng lặp học tập" tích hợp giữa con người và AI, cho phép cả hai nguồn vốn tạo ra hiệu ứng lãi kép. Doanh nghiệp cần chuyển đổi quy trình làm việc, kiến thức và khả năng phán đoán thành hệ thống AI có thể tự cải thiện. Vòng lặp này sẽ trở thành tài sản trí tuệ mới và là lợi thế cạnh tranh khó sao chép. Cuối cùng, Nadella kêu gọi xây dựng một "hệ sinh thái biên giới" lành mạnh, nơi giá trị được phân phối rộng rãi giữa mọi công ty, ngành và quốc gia, thay vì bị tập trung vào một số ít mô hình. Đây là cách để đảm bảo sự ổn định và thịnh vượng chung trong kỷ nguyên AI.

marsbit40 phút trước

CEO Microsoft viết bài dài: Trong tương lai sẽ có hai loại vốn, Vốn Nhân lực + Vốn Token

marsbit40 phút trước

Từ định giá 3 tỷ USD đến 'bán rẻ' chỉ còn vài chục triệu, Messari đã trải qua những gì?

Ngày 12/6, nền tảng dẫn đầu về dữ liệu và thị trường vốn Blockworks đã thông báo mua lại đối thủ lâu năm Messari với giá hơn 10 triệu USD. Đây là mức giảm giá đáng kể so với định giá 300 triệu USD mà Messari đạt được vào năm 2022, phản ánh áp lực sinh tồn của các startup định giá cao trong thị trường crypto bear market và làn sóng hợp nhất trong lĩnh vực cơ sở hạ tầng dữ liệu. Theo Blockworks, API và nền tảng dữ liệu cốt lõi của Messari sẽ được tích hợp, kết hợp điểm mạnh về phạm vi dữ liệu của Messari với thế mạnh của Blockworks trong tiết lộ thông tin, quan hệ nhà đầu tư và quy trình tuân thủ, nhằm xây dựng một "hệ thống ghi chép duy nhất" cho thị trường on-chain. Blockworks, thành lập năm 2018, đã chuyển đổi từ một công ty truyền thông sang nền tảng tình báo thị trường vốn on-chain. Messari, cũng thành lập năm 2018, từng là nền tảng nghiên cứu và dữ liệu crypto uy tín. Tuy nhiên, sau đợt gọi vốn Series B năm 2022 và sự suy giảm của thị trường, công ty đã đối mặt với thách thức. Việc sáng lập viên kiêm cựu CEO Ryan Selkis rời đi năm 2024 và tinh giảm nhân sự cho thấy áp lực ngày càng lớn. Giao dịch này nằm trong bối cảnh ngành công nghiệp crypto đang chứng kiến sự hợp nhất mạnh mẽ, với 144 thương vụ M&A trong năm 2026 tính đến nay. Các công ty cần dữ liệu chất lượng, có cấu trúc cao để đáp ứng nhu cầu ngày càng tăng từ các tổ chức và làm nền tảng cho các AI agent on-chain. Việc hợp nhất giữa Blockworks và Messari được kỳ vọng sẽ tạo ra một cơ sở hạ tầng dữ liệu toàn diện, mô phỏng theo mô hình của các gã khổng lồ như Bloomberg trong thị trường tài chính truyền thống, nhằm xây dựng lợi thế cạnh tranh lâu dài trong một thị trường đầy biến động.

marsbit41 phút trước

Từ định giá 3 tỷ USD đến 'bán rẻ' chỉ còn vài chục triệu, Messari đã trải qua những gì?

marsbit41 phút trước

Nếu bong bóng AI đã vỡ, ai sẽ thực sự ở lại?

Bong bóng AI rõ ràng đang tồn tại, nhưng như lịch sử bong bóng dot-com những năm 2000 cho thấy, nó không chỉ là sự hủy diệt. Bong bóng xảy ra khi đầu tư vốn quá mức chạy trước sự phát triển của cơ sở hạ tầng thực tế và doanh thu ứng dụng. Tuy nhiên, chính những khoản đầu tư "thừa" này lại xây dựng nền tảng vật chất (như cáp quang, trung tâm dữ liệu) cho kỷ nguyên tiếp theo. Hiện tại, ngành AI đang trong tình trạng tương tự: các gã khổng lồ công nghệ đổ hàng nghìn tỷ USD vào cơ sở hạ tầng (GPU, điện, làm mát), trong khi doanh thu từ các công ty AI thuần túy còn thấp. Sự chênh lệch này là bong bóng. Nhưng đồng thời, chi phí triển khai AI (giá token) đã giảm hơn 99.7% trong hai năm, giống như "Nghịch lý Jevons": chi phí giảm không làm giảm chi tiêu, mà mở ra lượng nhu cầu mới khổng lồ, khiến tổng chi tiêu của doanh nghiệp cho AI tăng vọt. AI không còn là công cụ trò chuyện. Với chi phí cực thấp, nó đang xâm nhập vào quy trình làm việc thực tế: viết mã, nghiên cứu y sinh, phân tích pháp lý, giao dịch tài chính và sản xuất. Thị trường đang tự thanh lọc, loại bỏ các công ty "bọc vỏ" (wrap-around) chỉ dựa trên API. Giá trị đang chuyển dần từ lớp cơ sở hạ tầng (CapEx - như NVIDIA) sang lớp ứng dụng (OpEx) - những công ty AI bản địa thực sự giải quyết vấn đề cho ngành dọc. Tóm lại, bong bóng có thể vỡ, các công ty đầu cơ sẽ biến mất, nhưng xu hướng AI+ là không thể đảo ngược. Giống như internet sau năm 2000, năng lực sản xuất cốt lõi do AI mang lại là có thật và sẽ định hình lại mọi ngành công nghiệp. Bong bóng ồn ào, nhưng động năng của lực lượng sản xuất mới ở bên dưới không hề có nước.

marsbit1 giờ trước

Nếu bong bóng AI đã vỡ, ai sẽ thực sự ở lại?