*Báo cáo này được thực hiện chung bởi Beosin và Footprint Analytics
1. Tổng quan về tình hình bảo mật blockchain Web3 trong nửa đầu năm 2025
Theo giám sát và cảnh báo sớm của Beosin Alert, tổng thiệt hại của Web3 do các cuộc tấn công của tin tặc, lừa đảo lừa đảo và nhóm dự án Rug Pull trong nửa đầu năm 2025 là khoảng 2,138 tỷ đô la Mỹ. Trong số đó, có 90 cuộc tấn công lớn, với tổng thiệt hại khoảng 2,093 tỷ đô la Mỹ; tổng thiệt hại của Rug Pull là khoảng 3,2 triệu đô la Mỹ; tổng thiệt hại của các vụ lừa đảo lừa đảo là khoảng 41,38 triệu đô la Mỹ.
Xét về loại dự án bị tấn công, sàn giao dịch đã trở thành loại dự án có số tiền thua lỗ cao nhất. Sáu cuộc tấn công vào nền tảng giao dịch đã gây ra tổng thiệt hại hơn 1,591 tỷ đô la Mỹ, chiếm 74,4% tổng số thiệt hại do tấn công.
Xét về số lượng tổn thất trên mỗi chuỗi, Ethereum vẫn là chuỗi có số lượng tổn thất và số lần tấn công cao nhất. 81 cuộc tấn công vào Ethereum đã gây ra thiệt hại 1,739 tỷ đô la, chiếm 81,3% tổng số tổn thất. Sui đã mất khoảng 224 triệu đô la do sự cố Cetus Protocol, đứng thứ hai.
Về phương pháp tấn công, các cuộc tấn công thường xuyên nhất trong nửa đầu năm là các cuộc tấn công khai thác lỗ hổng hợp đồng, xảy ra tổng cộng 63 lần và gây ra thiệt hại 408 triệu đô la. Bybit đã bị đánh cắp 1,44 tỷ đô la do lỗi trong cơ sở hạ tầng ví của mình, chiếm 67,4% tổng số thiệt hại do tấn công, khiến nó trở thành loại tấn công có tỷ lệ thiệt hại cao nhất.
Xét về dòng vốn, chỉ một phần nhỏ (khoảng 238 triệu đô la Mỹ) trong số tiền bị đánh cắp đã bị đóng băng hoặc thu hồi trong nửa đầu năm và khoảng 71,2% số tiền bị đánh cắp vẫn đang lưu hành trong các ví trên chuỗi và chưa chảy vào các sàn giao dịch hoặc máy trộn.
2. Tổng quan về các cuộc tấn công trong nửa đầu năm 2025
90 cuộc tấn công lớn gây thiệt hại tổng cộng 2,093 tỷ đô la
Trong nửa đầu năm 2025, Beosin Alert đã theo dõi 90 cuộc tấn công lớn trong lĩnh vực Web3, với tổng thiệt hại là 2,093 tỷ đô la Mỹ. Trong số đó, có 2 sự cố bảo mật với thiệt hại vượt quá 100 triệu đô la Mỹ, 7 sự cố với thiệt hại từ 10 triệu đô la Mỹ đến 100 triệu đô la Mỹ và 18 sự cố với thiệt hại từ 1 triệu đô la Mỹ đến 10 triệu đô la Mỹ.
Các cuộc tấn công gây thiệt hại vượt quá 10 triệu USD (sắp xếp theo số tiền):
● Bybit - 1,44 tỷ đô la
Phương pháp tấn công: Giao diện ví an toàn đã bị can thiệp Nền tảng chuỗi: Ethereum
Vào ngày 21 tháng 2, sàn giao dịch tiền điện tử Bybit đã bị tấn công và khoảng 1,44 tỷ đô la tiền đã bị đánh cắp từ ví đa chữ ký Safe. Tin tặc đã cấy mã độc bằng cách hack vào máy chủ của Safe, thay thế các yêu cầu giao dịch thông thường, khiến người ký ký vào giao dịch bị giả mạo mà không biết.
● Giao thức Cetus – 224 triệu USD
Phương pháp tấn công: Lỗ hổng hợp đồng Nền tảng chuỗi: Sui
Vào ngày 22 tháng 5, Giao thức DEX Cetus trên hệ sinh thái Sui đã bị tấn công . Lỗ hổng này là do lỗi triển khai của thao tác dịch chuyển trái trong mã thư viện nguồn mở. Sau đó, với sự hợp tác của Sui Foundation và các dự án sinh thái khác, số tiền bị đánh cắp là 162 triệu đô la trên Sui đã được đóng băng thành công.
● Nobitex – 90 triệu đô la
Phương pháp tấn công: chưa rõ Nền tảng chuỗi: đa chuỗi
Vào ngày 18 tháng 6, sàn giao dịch tiền điện tử lớn nhất Iran Nobitex thông báo rằng họ đã bị tin tặc tấn công , với thiệt hại lên tới hơn 90 triệu đô la, liên quan đến nhiều loại tiền điện tử như BTC, ETH, Doge, XRP, SOL, TRX và TON. Một tổ chức ủng hộ Israel có tên Gonjeshke Darande đã nhận trách nhiệm về vụ tấn công và mô tả đây là một cuộc tấn công vào cơ sở hạ tầng tiền điện tử của Iran.
● Phemex – 70 triệu đô la
Phương pháp tấn công: rò rỉ khóa riêng Nền tảng chuỗi: đa chuỗi
Vào ngày 23 tháng 1, khoảng 70 triệu đô la tài sản tiền điện tử đã bị đánh cắp từ ví nóng của Phemex, một sàn giao dịch tiền điện tử có trụ sở tại Singapore, liên quan đến nhiều loại tài sản tiền điện tử như ETH, SOL, BTC, BNB, USDT, v.v.
● UPCX – 70 triệu đô la
Phương pháp tấn công: Lỗ hổng kiểm soát truy cập Nền tảng chuỗi: Ethereum
Vào ngày 1 tháng 4, UPCX đã mất khoảng 70 triệu đô la tiền mã thông báo do truy cập trái phép. Tin tặc đã nâng cấp hợp đồng ProxyAdmin của UPCX và sau đó thực hiện một chức năng cho phép quản trị viên rút tiền, dẫn đến việc tiền được chuyển từ ba tài khoản quản trị khác nhau.
● Infini - 49,5 triệu đô la
Phương pháp tấn công: Lỗ hổng quản lý quyền Nền tảng chuỗi: Ethereum
Vào ngày 24 tháng 2, Infini đã bị đánh cắp 49,5 triệu đô la vì một nhà phát triển nội bộ đã bí mật giữ lại quyền quản lý hợp đồng bằng cách lừa dối nhóm và đánh cắp tiền bằng cách nâng cấp hợp đồng.
● Tài chính Abracadabra – 13 triệu USD
Phương pháp tấn công: Lỗ hổng hợp đồng Nền tảng chuỗi: Ethereum
Vào ngày 25 tháng 3, giao thức cho vay phi tập trung Abracadabra Finance đã bị đánh cắp khoảng 6.262 ETH do lỗ hổng hợp đồng, gây thiệt hại khoảng 13 triệu đô la Mỹ.
● Cork Protocol – 12 triệu đô la
Phương pháp tấn công: Lỗ hổng hợp đồng Nền tảng chuỗi: Ethereum
Vào ngày 28 tháng 5, Cork Protocol, một giao thức tài sản neo trên chuỗi Ethereum, đã bị tấn công . Kẻ tấn công đã kiếm được lợi nhuận 12 triệu đô la thông qua lỗ hổng logic trong hợp đồng dự án (các thông số chính không được xác minh).
● BitoPro – 11,5 triệu đô la
Phương pháp tấn công: rò rỉ khóa riêng Nền tảng chuỗi: đa chuỗi
Vào ngày 2 tháng 6, sàn giao dịch tiền điện tử BitoPro đã đưa ra thông báo xác nhận rằng họ đã bị tấn công , nêu rằng trong quá trình nâng cấp hệ thống ví và chuyển tiền điện tử gần đây, ví nóng của họ đã bị tin tặc tấn công và khoảng 11,5 triệu đô la Mỹ đã chảy ra bất thường từ nhiều ví nóng trên chuỗi.
3. Các loại dự án bị tấn công
CEX là loại dự án có số tiền thua lỗ cao nhất
Loại dự án có mức lỗ cao nhất trong nửa đầu năm là các sàn giao dịch tập trung. Sáu cuộc tấn công vào các sàn giao dịch tập trung đã gây ra tổng thiệt hại hơn 1,591 tỷ đô la. Sàn giao dịch có mức lỗ lớn nhất là Bybit, mất khoảng 1,44 tỷ đô la. Các sàn giao dịch khác có mức lỗ lớn bao gồm Nobitex (mất khoảng 90 triệu đô la) và Phemex (mất khoảng 70 triệu đô la). Noones, BitoPro và Coinbase cũng bị tấn công.
Loại bị tấn công nhiều thứ hai là DeFi. Trong số đó, Cetus Protocol đã bị đánh cắp khoảng 224 triệu đô la Mỹ, chiếm 69,1% số tiền bị đánh cắp trong DeFi. Các dự án DeFi khác bị tổn thất lớn bao gồm Abracadabra Finance (13 triệu đô la Mỹ), Cork Protocol (khoảng 12 triệu đô la Mỹ), Resupply (khoảng 9,6 triệu đô la Mỹ), zkLend (khoảng 9,5 triệu đô la Mỹ), Ionic (khoảng 8,8 triệu đô la Mỹ) và Alex Protocol (khoảng 8,37 triệu đô la Mỹ).
Ngoài ra, hai sự cố bảo mật đã xảy ra trong lĩnh vực thanh toán được mã hóa, với thiệt hại khoảng 120 triệu đô la, đứng thứ ba trong số tất cả các loại dự án. Các loại dự án bị tấn công khác bao gồm: trình duyệt, hợp đồng mã thông báo, cầu nối chuỗi chéo, bệ phóng Memecoin, v.v.
4. Số lượng tổn thất trong mỗi chuỗi
Ethereum là chuỗi có số lượng tổn thất và bị tấn công nhiều nhất
Giống như những năm trước, Ethereum vẫn là chuỗi công khai có mức tổn thất cao nhất. 81 cuộc tấn công vào Ethereum đã gây ra thiệt hại 1,739 tỷ đô la, chiếm 81,3% tổng số tổn thất.
Chuỗi công khai bị tấn công nhiều thứ hai là BNB Chain, với 33 cuộc tấn công gây ra tổng thiệt hại khoảng 42,53 triệu đô la. BNB Chain có số lượng lớn các cuộc tấn công trên chuỗi, nhưng số lượng tổn thất tương đối nhỏ. Tuy nhiên, so với cùng kỳ năm ngoái, số lượng các cuộc tấn công và số lượng tổn thất đã tăng đáng kể, với số lượng tổn thất tăng 357%.
Arbitrum và Base đứng thứ ba và thứ tư, với mức lỗ lần lượt là 21,2 triệu đô la và 13,05 triệu đô la. So với cùng kỳ năm ngoái, số lượng các cuộc tấn công vào chuỗi Arbitrum tăng lên, nhưng số lượng tổn thất giảm đáng kể 71,8%; số lượng các cuộc tấn công và số lượng tổn thất vào chuỗi Base tăng lên đáng kể, với số lượng tổn thất tăng 294%.
5. Phân tích các phương pháp tấn công
70% các cuộc tấn công xuất phát từ lỗ hổng hợp đồng
Trong nửa đầu năm, có 63 cuộc tấn công nhắm vào lỗ hổng hợp đồng, gây thiệt hại 408 triệu đô la, đây là loại hình tấn công lớn nhất ngoại trừ vụ trộm Bybit do lỗi trong cơ sở hạ tầng ví. Các khoản lỗ do rò rỉ khóa riêng tư trong nửa đầu năm nay đã giảm đáng kể so với cùng kỳ năm ngoái, nhưng tổng số tiền thiệt hại vẫn vượt quá 102 triệu đô la.
Theo phân tích về lỗ hổng hợp đồng, ba lỗ hổng gây ra tổn thất hàng đầu là: lỗ hổng logic kinh doanh (356 triệu đô la Mỹ), lỗi thuật toán (21,37 triệu đô la Mỹ) và lỗ hổng xác minh (12,7 triệu đô la Mỹ). Ba lỗ hổng hợp đồng hàng đầu về tần suất là lỗ hổng logic kinh doanh (45 lần), lỗ hổng kiểm soát truy cập (7 lần) và lỗi thuật toán (5 lần).
6. Phân tích dòng tiền bị đánh cắp
Chỉ có 11,1% tài sản bị đánh cắp được đóng băng và thu hồi
Theo phân tích của nền tảng chống rửa tiền Beosin KYT, trong số các khoản tiền bị đánh cắp trong nửa đầu năm 2025, khoảng 238 triệu đô la Mỹ đã bị đóng băng hoặc thu hồi, chiếm khoảng 11,1%.
Khoảng 97,89 triệu đô la tiền bị đánh cắp đã được chuyển đến nhiều sàn giao dịch khác nhau, chiếm khoảng 4,6%. Tổng cộng 278 triệu đô la (13,0%) đã được chuyển đến các máy trộn: khoảng 19,46 triệu đô la đã được chuyển đến Tornado Cash; 259 triệu đô la đã được chuyển đến các máy trộn khác. So với năm ngoái, số tiền bị đánh cắp được làm sạch thông qua việc trộn trong nửa đầu năm 2025 đã tăng đáng kể.
7. Tóm tắt tình hình bảo mật blockchain Web3 trong nửa đầu năm 2025
So với nửa đầu năm 2024, tổng thiệt hại do tin tặc tấn công, lừa đảo phishing và Rug Pulls của bên dự án trong nửa đầu năm nay đã tăng đáng kể, đạt 2,138 tỷ đô la Mỹ. Số lượng các cuộc tấn công và số tiền thiệt hại trên các sàn giao dịch và hệ sinh thái chuỗi công khai chính thống đang tăng lên nhìn chung và tình hình trong lĩnh vực bảo mật Web3 vẫn rất nghiêm trọng.
Cuộc tấn công gây thiệt hại lớn nhất trong nửa đầu năm là vụ trộm Bybit, chiếm khoảng 67,4% tổn thất. Theo quan điểm của các loại dự án, các cuộc tấn công xảy ra ở mọi lĩnh vực của Web3: sàn giao dịch, DeFi, ví cá nhân, cơ sở hạ tầng, hợp đồng mã thông báo, nền tảng thanh toán, trình duyệt, nền tảng ra mắt Memecoin, v.v. Tất cả chủ sở hữu dự án Web3/người dùng cá nhân cần phải cảnh giác, lưu trữ khóa riêng ngoại tuyến, sử dụng nhiều chữ ký, sử dụng các dịch vụ của bên thứ ba một cách thận trọng và tiến hành cập nhật quyền thường xuyên và đào tạo bảo mật cho các nhân viên có đặc quyền.
Chỉ có một phần nhỏ tài sản bị đóng băng hoặc thu hồi trong nửa đầu năm, cho thấy nỗ lực giám sát toàn cầu và chống rửa tiền vẫn cần được tăng cường. Tỷ lệ tiền bị tin tặc chuyển đến các sàn giao dịch trong nửa đầu năm đã giảm đáng kể, điều này liên quan đến việc các sàn giao dịch tăng cường chống rửa tiền, kịp thời phát hiện hành vi của tin tặc và hợp tác tích cực với các cơ quan thực thi pháp luật và các bên tham gia dự án để đóng băng tiền và tiến hành thu thập bằng chứng. Hiện tại, sự hợp tác giữa các sàn giao dịch và các cơ quan thực thi pháp luật, các bên tham gia dự án và các nhóm bảo mật đã đạt được kết quả tương đối rõ ràng, vì vậy tin tặc có nhiều khả năng sẽ cố gắng lựa chọn nhiều loại máy trộn để làm sạch tiền.
Trong số 90 cuộc tấn công trong nửa đầu năm, 63 cuộc vẫn là do khai thác lỗ hổng hợp đồng. Chủ dự án được khuyến nghị nên tìm kiếm sự kiểm toán từ các công ty bảo mật chuyên nghiệp trước khi đưa lên mạng. Là một trong những công ty bảo mật blockchain đầu tiên trên thế giới tham gia vào quá trình xác minh chính thức, Beosin tập trung vào hoạt động kinh doanh sinh thái toàn diện bảo mật + tuân thủ và đã thành lập các chi nhánh tại hơn 10 quốc gia và khu vực trên toàn thế giới. Hoạt động kinh doanh của công ty bao gồm kiểm toán bảo mật mã trước khi ra mắt dự án, giám sát và chặn rủi ro bảo mật trong quá trình vận hành dự án, khôi phục dữ liệu bị đánh cắp, chống rửa tiền (AML) tài sản ảo và đánh giá tuân thủ đáp ứng các yêu cầu theo quy định của địa phương, cùng các sản phẩm tuân thủ blockchain một cửa khác + dịch vụ bảo mật.
