Báo cáo an ninh thường niên của CertiK: Thiệt hại do tấn công mạng Web3 dự kiến tăng 37% so với năm trước vào năm 2025, các cuộc tấn công lừa đảo và sự cố chuỗi cung ứng trở thành mối đe dọa lớn.

Ngày 23 tháng 12, CertiK, công ty bảo mật Web3 lớn nhất thế giới, đã phát hành "Báo cáo bảo mật Web3 Skynet Hack3D năm 2025", trong đó đánh giá một cách có hệ thống các sự cố bảo mật lớn và xu hướng rủi ro trong lĩnh vực Web3 trong năm qua. Báo cáo chỉ ra rằng ngành công nghiệp Web3 đang tăng tốc phát triển trong bối cảnh thị trường phục hồi và kỳ vọng pháp lý rõ ràng hơn, nhưng rủi ro bảo mật vẫn chưa được giảm thiểu tương ứng và vẫn phải đối mặt với những thách thức bảo mật mang tính hệ thống.

Báo cáo cho thấy 630 sự cố bảo mật đã xảy ra trong lĩnh vực Web3 vào năm 2025, dẫn đến tổng thiệt hại khoảng 3,35 tỷ đô la Mỹ, tăng 37% so với năm 2024. Mặc dù số lượng sự cố giảm 137 so với năm trước, nhưng thiệt hại trung bình mỗi cuộc tấn công đạt 5,322 triệu đô la Mỹ, tăng 66,6% so với năm trước, cho thấy xu hướng tin tặc tập trung vào các mục tiêu có giá trị cao.

Các vụ tấn công chuỗi cung ứng làm tăng thiệt hại hàng năm.

Xét về loại hình tấn công, các cuộc tấn công chuỗi cung ứng nổi lên là nguồn gây thiệt hại lớn nhất trong năm 2025. Mặc dù chỉ có hai sự cố liên quan được ghi nhận trong suốt năm, nhưng tổng thiệt hại tích lũy đã lên tới 1,45 tỷ đô la, chiếm gần một nửa tổng thiệt hại của năm. Sự cố Bybit vào tháng Hai chiếm phần lớn trong số những thiệt hại này.

Theo các báo cáo, Bybit đã gặp sự cố bảo mật vào tháng 2 năm 2025, dẫn đến thiệt hại khoảng 1,4 tỷ đô la, được coi là một trong những vụ đánh cắp tài sản tiền điện tử lớn nhất cho đến nay. Những kẻ tấn công không trực tiếp xâm nhập hệ thống của sàn giao dịch; thay vào đó, chúng đã xâm nhập vào môi trường phát triển của một nhà cung cấp dịch vụ ví đa chữ ký bên thứ ba, cài đặt mã độc vào quy trình ký để vượt qua nhiều cơ chế phê duyệt.

Trong báo cáo của mình, CertiK chỉ ra rằng các sự cố tương tự phản ánh việc tin tặc đang tập trung nguồn lực vào các nhà cung cấp dịch vụ quan trọng và các công cụ nền tảng, thay vì chỉ tập trung vào một giao thức duy nhất, và rằng an ninh chuỗi cung ứng đã trở thành một rủi ro mang tính hệ thống không thể bỏ qua.

Các cuộc tấn công lừa đảo đang hoành hành, và trí tuệ nhân tạo (AI) đang đóng vai trò như một "công cụ khuếch đại".

Về tần suất tấn công, tấn công lừa đảo (phishing) vẫn là mối đe dọa an ninh phổ biến nhất trong năm 2025. Báo cáo cho thấy tổng cộng 248 vụ tấn công lừa đảo đã được ghi nhận trong suốt năm, gây thiệt hại khoảng 723 triệu đô la, nhiều hơn một chút so với số vụ tấn công lỗ hổng mã nguồn (240 vụ).

Điều đáng chú ý là CertiK tin rằng con số này vẫn có thể bị đánh giá thấp. Một lượng lớn các vụ lừa đảo nhắm vào người dùng cá nhân không được báo cáo, đặc biệt là các cuộc tấn công kỹ thuật xã hội với thiệt hại nhỏ hoặc những vụ xảy ra ngoài chuỗi khối.

Báo cáo nhấn mạnh rằng việc ứng dụng rộng rãi trí tuệ nhân tạo đang làm giảm đáng kể rào cản kỹ thuật đối với các cuộc tấn công lừa đảo. Kẻ tấn công đang bắt đầu tận dụng AI để tạo ra các trang web lừa đảo, cửa sổ bật lên ví điện tử và các tin nhắn lừa đảo đa ngôn ngữ trông rất chân thực, kết hợp chúng với dữ liệu trên chuỗi khối và nội dung mạng xã hội để "nhắm mục tiêu chính xác". Các biện pháp phòng thủ truyền thống dựa vào lỗi ngữ pháp hoặc các đặc điểm mẫu để nhận dạng đang dần trở nên kém hiệu quả.

Với các quy định rõ ràng hơn, an toàn đang chuyển từ "khoản chi phí" sang trọng tâm "cơ sở hạ tầng".

Mặc dù rủi ro đang gia tăng, báo cáo cũng ghi nhận những thay đổi tích cực trong môi trường pháp lý toàn cầu. Tiến trình lập pháp tại Hoa Kỳ liên quan đến tính minh bạch của stablecoin và tài sản kỹ thuật số đang gửi tín hiệu chính sách rõ ràng hơn đến ngành công nghiệp; khuôn khổ MiCA của EU, và các môi trường thử nghiệm pháp lý tại Singapore và Hồng Kông, cũng đang thúc đẩy Web3 tiến tới giai đoạn phát triển tiêu chuẩn hóa hơn.

Báo cáo của CertiK chỉ ra rằng khi nguồn vốn từ các tổ chức và các đơn vị tuân thủ quy định tiếp tục đổ vào thị trường, năng lực bảo mật đang chuyển từ "khắc phục sự cố sau khi xảy ra" sang trở thành một yếu tố cơ sở hạ tầng trong thiết kế và vận hành dự án. Đối với cả chủ đầu tư dự án và người dùng cá nhân, bảo mật không còn là một lựa chọn mà là một yếu tố quan trọng ảnh hưởng đến khả năng tồn tại lâu dài.

Báo cáo kết luận bằng cách lưu ý rằng các cuộc tấn công giả mạo dựa trên trí tuệ nhân tạo, các vụ xâm nhập chuỗi cung ứng ngày càng tinh vi và các cuộc tấn công kỹ thuật xã hội nhắm vào người dùng cá nhân sẽ tiếp tục phát triển trong năm tới. Trong bối cảnh đó, các dự án tích hợp bảo mật vào kiến trúc, quy trình phát triển và trải nghiệm người dùng sẽ là những dự án thành công trong vòng cạnh tranh Web3 tiếp theo.

Báo cáo đầy đủ: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a