Theo thống kê từ Bộ phận Nghiên cứu và phát triển của Hiệp hội Blockchain Việt Nam (VBA) dựa trên báo cáo của Chainalysis và Immunefi, thế giới ghi nhận 657 vụ hack sàn giao dịch tiền mã hóa, gây thiệt hại lên đến 12,8 tỷ USD từ năm 2020 đến ngày 25-2-2025, cảnh báo rủi ro an ninh mạng trên toàn cầu.

Các vụ tấn công đình đám

Năm 2022 được xem là “đỉnh điểm” khi có tới 219 vụ tấn công mạng, gây thất thoát khoảng 3,8 tỷ USD.

Trong 2 tháng đầu tiên của năm 2025, thị trường ghi nhận 20 vụ hack với số tiền gần 2,5 tỷ USD, trong đó, Bybit là cái tên mới nhất bị ảnh hưởng nặng nề với 1,5 tỷ USD bị đánh cắp. Vụ tấn công này do nhóm Lazarus từ Triều Tiên thực hiện, thông qua sử dụng phần mềm độc hại để đánh cắp tài sản.

Tiếp theo là vụ hack Ronin (năm 2022) với thiệt hại 615 triệu USD, ảnh hưởng đến mạng của trò chơi Axie Infinity, do khai thác lỗ hổng cầu nối chuỗi chéo.

Vụ hack lớn thứ ba trong 5 năm trở lại đây là Poly Network (năm 2021) với 610 triệu USD bị đánh cắp, song hacker đã trả lại phần lớn tài sản sau khi đàm phán.

Ngoài ra, cuộc tấn công nhắm vào DMM Bitcoin (năm 2024) cũng khiến 300 triệu USD từ sàn giao dịch bị rút ròng, vụ việc xuất phát từ hoạt động xâm phạm khóa riêng, dẫn đến DMM Bitcoin phải đóng cửa ngay sau đó.

Hay cuộc tấn công vào sàn Kucoin (năm 2020) cũng gây thiệt hại 281 triệu USD, chủ yếu nhắm vào Ethereum và Bitcoin, gây tâm lý hoảng loạn trong cộng đồng blockchain.

Các hình thức tấn công phổ biến

Theo thống kê của Bộ phận Nghiên cứu và Phát triển VBA, từ năm 2020 đến ngày 25-2-2025, có 3 hình thức tấn công chính trong lĩnh vực tiền mã hóa, gồm: Xâm phạm khóa riêng (private key compromise), tấn công cầu nối chuỗi chéo và khai thác hợp đồng thông minh (smart contract exploit).

Xâm phạm khóa riêng chiếm 36% tổng số vụ hack, với 235 vụ và gây tổn thất 5,6 tỷ USD (44% tổng thiệt hại). Các cuộc tấn công dạng này thường xảy ra tại nhóm sàn giao dịch tập trung (CEX) hoặc ví cá nhân, hacker đánh cắp khóa riêng để chiếm quyền kiểm soát tài sản. Năm 2024, tội phạm mạng đã đánh cắp 1,34 tỷ USD thông qua phương thức này.

Hình thức tấn công vào cầu nối chuỗi chéo cũng gây thiệt hại đáng kể, có 79 vụ (chiếm 12%) với số tiền ước tính 1,25 tỷ USD, gây ra những rủi ro lớn khi giao dịch giữa các mạng blockchain không được bảo mật chặt chẽ.

Trong khi đó, khai thác lỗ hổng hợp đồng thông minh là phương thức phổ biến nhất trong lĩnh vực blockchain, chiếm 58% tổng số vụ hack với thiệt hại lên tới 6,95 tỷ USD.

Các hacker đã tận dụng lỗ hổng trong mã hợp đồng thông minh để thực hiện các cuộc tấn công và chiếm đoạt tài sản từ giao thức tài chính phi tập trung.

TS Đỗ Văn Thuật, chuyên gia công nghệ, Hiệp hội Blockchain Việt Nam

TS Đỗ Văn Thuật, chuyên gia công nghệ, Hiệp hội Blockchain Việt Nam cho biết, hợp đồng thông minh là các quy tắc giao dịch được lập trình và triển khai cho các ứng dụng (Dapp) khác nhau trên một mạng lưới blockchain.

Mặc dù blockchain có độ an toàn cao, nhưng độ an toàn của các ứng dụng còn phụ thuộc vào bộ quy tắc vận hành được quy định trong hợp đồng. Nếu quy tắc sai sót hoặc có lỗ hổng dẫn đến kém an toàn và bị khai thác gây ra thiệt hại về tiền, tương tự như các giao kết hợp đồng dân sự, doanh nghiệp trong đời sống thực.

Theo TS Nguyễn Duy Lân, chuyên gia công nghệ, Hiệp hội Blockchain Việt Nam, các cuộc tấn công vào tiền mã hóa thường kết hợp khai thác các lỗ hổng và sử dụng kỹ thuật tấn công xã hội (social engineering), nhằm vào những điểm yếu khác nhau trong cả phần Web 3 và Web 2 của hệ thống.

Đối với phần Web 3, các lỗi logic trong hợp đồng thông minh (smart contracts) thường bị khai thác, như xử lý không an toàn những trường hợp đặc biệt, các lỗi trong phép toán cộng trừ tiền và các lỗ hổng trong mật mã. Phần Web 2 có thể bị tấn công đa dạng, thường tập trung vào các khóa bí mật của người dùng, quản trị viên hoặc các cầu nối (bridges).

Nếu những khóa này được bảo vệ bằng các thiết bị bảo mật phần cứng như hệ thống quản lý bảo mật phần cứng (HSM) hoặc ví lạnh, việc đánh cắp sẽ gần như không thể thực hiện được.

Giải pháp cho Việt Nam trong tương lai

Theo các chuyên gia, nguyên nhân chính nằm ở những người quản trị hợp đồng thông minh bị lừa, chứ không phải hợp đồng có lỗ hổng, phần lớn các hợp đồng vẫn an toàn, tiềm năng ứng dụng blockchain thông qua các hợp đồng thông minh vẫn rất rộng mở và đầy hứa hẹn.

Để giảm thiểu rủi ro, chuyên gia công nghệ của VBA cho rằng, các nhà phát triển hợp đồng, những người vận hành (nắm giữ khóa bí mật) phải đặt an toàn lên hàng đầu, tham vấn các đơn vị an toàn thông tin, bảo mật hệ thống để có thể phòng ngừa hackers, giảm thiểu rủi ro.

Ông Phan Đức Trung, Chủ tịch Hiệp hội Blockchain Việt Nam

Đầu tư vào công nghệ, con người và quy trình bảo mật là rất cần thiết, bao gồm phát triển công cụ bảo mật, tiến hành kiểm thử, kiểm toán và kiểm tra xâm nhập.

Thiết lập hệ thống giám sát hoạt động và ứng dụng trí tuệ nhân tạo (AI) để phát hiện bất thường. Bảo mật cần được tích hợp vào toàn bộ quá trình phát triển hệ thống tiền mã hóa, từ thiết kế đến triển khai, và có thể học hỏi từ các quy trình bảo mật của ngành công nghệ thông tin truyền thống.

Từ các vụ hack sàn giao dịch tài sản mã hóa vừa qua, ông Phan Đức Trung, Chủ tịch Hiệp hội Blockchain Việt Nam cho rằng, Việt Nam cần nhanh chóng thiết lập các tiêu chuẩn an toàn thông tin và quản lý tài sản mã hóa.

Khi thị trường tài sản số ngày càng phát triển, việc thiếu khung pháp lý rõ ràng không chỉ khiến nhà đầu tư dễ bị tổn thương mà còn hạn chế tiềm năng của ngành blockchain. Chỉ khi có luật pháp làm nền tảng, chúng ta mới xây dựng được hệ sinh thái tài sản mã hóa đáng tin cậy, vừa bảo vệ người dùng vừa thúc đẩy đổi mới.

BÙI TUẤN