Các vụ hack tiền mã hóa đạt 3.4 tỷ USD vào năm 2025, các cuộc tấn công vào ví cá nhân gia tăng: Chainalysis

Tổng số tiền bị đánh cắp từ tiền điện tử đã vượt quá 3,41 tỷ USD từ tháng 1 đến đầu tháng 12, theo công ty phân tích blockchain Chainalysis. Con số này đánh dấu sự gia tăng so với 3,38 tỷ USD của năm ngoái.

Chỉ một vụ việc — vụ hack sàn Bybit trị giá 1,5 tỷ USD — đã chiếm khoảng 44% tổng số thiệt hại hàng năm. Ba vụ hack lớn nhất chiếm 69% tổng số tổn thất từ các dịch vụ, cho thấy mức độ nghiêm trọng ngày càng tăng của các vụ vi phạm lớn. 

Chainalysis cho biết đã có sự gia tăng đáng kể các cuộc tấn công vào ví tiền điện tử cá nhân và khóa riêng trên các dịch vụ tiền điện tử tập trung trong năm nay. "Các vụ xâm phạm ví cá nhân đã tăng mạnh, từ chỉ 7,3% tổng giá trị bị đánh cắp vào năm 2022 lên 44% vào năm 2024," Chainalysis cho biết. 

Các vụ xâm phạm ví cá nhân đã đạt tới 158.000 trường hợp liên quan đến ít nhất 80.000 nạn nhân duy nhất. Tổng giá trị bị đánh cắp từ cá nhân đã giảm xuống còn 713 triệu USD, giảm từ 1,5 tỷ USD của năm trước, cho thấy những kẻ tấn công nhắm vào số tiền nhỏ hơn trên nhiều người dùng hơn. Ethereum và Tron có tỷ lệ nạn nhân trên 100.000 ví cao hơn so với các mạng như Base và Solana.

Các dịch vụ tập trung vẫn dễ bị tấn công mặc dù có các biện pháp bảo mật chuyên nghiệp do dễ bị xâm phạm khóa riêng. Những cuộc tấn công như vậy chiếm 88% số tiền bị đánh cắp trong quý 1 năm 2025.

Bảo mật DeFi được cải thiện

Tổn thất do hack DeFi vẫn được kiềm chế ngay cả khi tổng giá trị khóa (TVL) phục hồi. Đây là một điểm khác biệt quan trọng so với các chu kỳ trước, khi TVL tăng thường đồng nghĩa với nhiều cuộc tấn công thành công hơn. Chainalysis cho biết điều này có thể cho thấy tiến bộ đáng kể trong bảo mật của lĩnh vực này.

"Sự cố Venus Protocol vào tháng 9 năm 2025 là ví dụ điển hình cho việc các biện pháp bảo mật được cải thiện đang tạo ra sự khác biệt rõ rệt," công ty nhận định. Venus, cùng với nền tảng giám sát bảo mật Hexagate, đã phát hiện hoạt động đáng ngờ 18 giờ trước cuộc tấn công và nhanh chóng tạm dừng hoạt động cũng như thu hồi tài sản trong vòng vài giờ.

Sau vụ tấn công, Venus đã thông qua một giao thức quản trị để đóng băng 3 triệu USD nằm trong quyền kiểm soát của kẻ tấn công, khiến thủ phạm thực tế bị thua lỗ.

"Sự kết hợp giữa giám sát chủ động, khả năng phản ứng nhanh và các cơ chế quản trị có thể hành động quyết đoán đã khiến hệ sinh thái trở nên linh hoạt và bền bỉ hơn," Chainalysis cho biết. "Mặc dù các cuộc tấn công vẫn xảy ra, khả năng phát hiện, phản ứng và thậm chí đảo ngược chúng đại diện cho một sự thay đổi căn bản so với thời kỳ đầu của DeFi khi các vụ hack thành công thường đồng nghĩa với mất mát vĩnh viễn."

Năm kỷ lục của DPRK

Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) tiếp tục là mối đe dọa lớn nhất đối với an ninh tiền điện tử, đạt mức kỷ lục về số tiền điện tử bị đánh cắp trị giá ít nhất 2,02 tỷ USD vào năm 2025. Con số này cao hơn 681 triệu USD so với số tiền mà Triều Tiên đã đánh cắp vào năm 2024.

Với số liệu năm 2025, các tác nhân mạng được nhà nước DPRK hậu thuẫn đã đánh cắp tổng cộng 6,75 tỷ USD, trong đó một phần lớn được cho là dùng để tài trợ cho chương trình phát triển vũ khí hạt nhân của chế độ này.

Chainalysis cho biết chiến thuật chính của Triều Tiên là cài cắm các nhân viên IT lừa đảo vào các dịch vụ tiền điện tử để có quyền truy cập đặc quyền vào thông tin hoặc tài sản. Số tiền bị đánh cắp kỷ lục có thể phản ánh sự phụ thuộc ngày càng lớn vào chiến lược xâm nhập này, công ty cho biết.

Phương pháp rửa tiền của DPRK được đặc trưng bởi việc đưa các khoản tiền bị đánh cắp vào các dịch vụ sử dụng tiếng Trung, các cầu nối, mixer và các dịch vụ chuyên dụng như Huione. Cách tiếp cận này khác biệt so với hầu hết các hacker khác, những người thường thích sử dụng các giao thức cho vay, sàn giao dịch không KYC và nền tảng P2P, theo Chainalysis.

Việc di chuyển tài sản của họ cũng thể hiện các giai đoạn có cấu trúc thường kéo dài 45 ngày — năm ngày đầu tiên được sử dụng để tách ngay lập tức tài sản khỏi nguồn gốc vụ trộm thông qua các giao thức DeFi và mixer. Tuần thứ hai tập trung vào việc tích hợp tài sản vào hệ sinh thái rộng lớn hơn thông qua các sàn giao dịch không KYC và cầu nối, đồng thời bắt đầu chuyển tài sản ra khỏi hệ thống. 

Từ ngày 20 đến 45, các hacker Triều Tiên sử dụng các nền tảng tiếng Trung ít được quản lý hơn, như Huione, và các sàn giao dịch tập trung khác để hoàn tất việc chuyển đổi sang tiền pháp định hoặc các tài sản khác.

"Khi Triều Tiên tiếp tục sử dụng việc đánh cắp tiền điện tử để tài trợ cho các ưu tiên của nhà nước và né tránh các lệnh trừng phạt quốc tế, ngành công nghiệp phải nhận ra rằng tác nhân đe dọa này hoạt động theo những quy tắc khác với tội phạm mạng thông thường," Chainalysis cho biết. "Thách thức cho năm 2026 sẽ là phát hiện và ngăn chặn những hoạt động có tác động lớn này trước khi các tác nhân DPRK gây ra một vụ việc quy mô như Bybit nữa."