Ngày 23 tháng 12, CertiK, công ty an ninh Web3 lớn nhất toàn cầu, đã công bố "Báo cáo An ninh Web3 Skynet Hack3D 2025", hệ thống hóa các sự kiện an ninh chính và xu hướng rủi ro trong lĩnh vực Web3 năm qua. Báo cáo chỉ ra rằng ngành Web3 đang phát triển nhanh chóng trong bối cảnh thị trường phục hồi và kỳ vọng quản lý rõ ràng hơn, nhưng rủi ro an ninh không giảm theo, mà vẫn phải đối mặt với những thách thức an ninh có tính hệ thống.
Báo cáo cho thấy, năm 2025, lĩnh vực Web3 đã xảy ra tổng cộng 630 vụ việc an ninh, gây thiệt hại tổng cộng khoảng 3,35 tỷ USD, tăng 37% so với năm 2024; mặc dù số vụ việc giảm 137 vụ so với năm trước, nhưng thiệt hại trung bình mỗi lần tấn công lên tới 5,322 triệu USD, tăng mạnh 66,6%, cho thấy xu hướng kẻ tấn công tập trung vào các mục tiêu có giá trị cao.
Tấn công chuỗi cung ứng đẩy thiệt hại hàng năm lên cao
Xét theo loại hình tấn công, tấn công chuỗi cung ứng trở thành nguồn rủi ro gây thiệt hại lớn nhất trong năm 2025. Mặc dù cả năm chỉ ghi nhận hai sự kiện liên quan, nhưng tổng thiệt hại lên tới 1,45 tỷ USD, chiếm gần một nửa tổng thiệt hại cả năm. Trong đó, sự kiện xảy ra với Bybit vào tháng 2 chiếm phần lớn thiệt hại.
Theo báo cáo tiết lộ, sự kiện an ninh mà Bybit gặp phải vào tháng 2 năm 2025 đã gây thiệt hại khoảng 1,4 tỷ USD, được coi là một trong những sự kiện đánh cắp tài sản mã hóa có quy mô lớn nhất từ trước đến nay. Kẻ tấn công không trực tiếp đột phá hệ thống sàn giao dịch, mà thông qua việc xâm nhập môi trường nhà phát triển của nhà cung cấp dịch vụ ví đa ký (multi-sig) bên thứ ba, cài mã độc vào quy trình ký, từ đó bỏ qua cơ chế phê duyệt đa tầng.
CertiK chỉ ra trong báo cáo rằng những sự kiện tương tự phản ánh việc kẻ tấn công đang tập trung nguồn lực vào các nhà cung cấp dịch vụ then chốt và công cụ cơ sở, thay vì bản thân một giao thức đơn lẻ, an ninh chuỗi cung ứng đã trở thành rủi ro hệ thống không thể xem nhẹ.
Tấn công lừa đảo (phishing) xảy ra thường xuyên, AI trở thành "bộ khuếch đại"
Về tần suất tấn công, lừa đảo mạng (phishing) vẫn là mối đe dọa an ninh phổ biến nhất năm 2025. Báo cáo cho thấy, cả năm ghi nhận 248 vụ tấn công lừa đảo, gây thiệt hại khoảng 723 triệu USD, số lần xảy ra cao hơn một chút so với tấn công lỗ hổng mã (240 vụ).
Đáng chú ý, CertiK cho rằng con số này vẫn có thể bị đánh giá thấp. Một lượng lớn sự kiện lừa đảo và gian lận nhắm vào người dùng cá nhân không được tiết lộ chính thức, đặc biệt là các cuộc tấn công kỹ thuật xã hội (social engineering) có số tiền thiệt hại nhỏ hoặc xảy ra off-chain.
Báo cáo nhấn mạnh, việc phổ cập trí tuệ nhân tạo (AI) đang làm giảm đáng kể ngưỡng kỹ thuật cho các cuộc tấn công lừa đảo. Kẻ tấn công bắt đầu sử dụng AI để tạo ra các trang web lừa đảo, cửa sổ pop-up ví và thông tin lừa đảo đa ngôn ngữ có độ mô phỏng cao, đồng thời kết hợp với dữ liệu on-chain và nội dung mạng xã hội để "phân phối chính xác". Các phương pháp phòng thủ truyền thống dựa vào lỗi ngữ pháp hoặc đặc điểm mẫu để nhận biết đang dần mất tác dụng.
Quản lý ngày càng rõ ràng, An ninh đang chuyển từ "khoản chi phí" sang "cơ sở hạ tầng"
Trong khi rủi ro gia tăng, báo cáo cũng ghi nhận môi trường quản lý toàn cầu đang có những thay đổi tích cực. Những tiến triển về lập pháp xoay quanh stablecoin và tính minh bạch của tài sản số tại Mỹ đã mang lại tín hiệu chính sách rõ ràng hơn cho ngành; các khuôn khổ MiCA của EU, sandbox quản lý tại Singapore và Hong Kong (Trung Quốc) cũng đang thúc đẩy Web3 phát triển theo hướng quy chuẩn hơn.
CertiK chỉ ra trong báo cáo rằng, cùng với việc các tổ chức và nguồn vốn tuân thủ liên tục tham gia thị trường, năng lực an ninh đang chuyển từ "khắc phục sau sự cố" sang thành tố cơ sở hạ tầng trong thiết kế và vận hành dự án. Dù là đối với nhà dự án hay người dùng cá nhân, an ninh không còn là tùy chọn, mà là biến số then chốt ảnh hưởng đến khả năng tồn tại lâu dài.
Báo cáo cuối cùng nhìn nhận, trong năm tới, các cuộc tấn công giả mạo dựa trên AI, xâm nhập chuỗi cung ứng ngày càng phức tạp và các cuộc tấn công kỹ thuật xã hội nhắm vào người dùng cá nhân sẽ tiếp tục phát triển. Trong bối cảnh này, chỉ những dự án tích hợp an ninh vào thiết kế kiến trúc, quy trình phát triển và trải nghiệm người dùng mới có khả năng nổi bật trong cuộc cạnh tranh Web3 mới.
Toàn văn báo cáo: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a
