Theo thống kê từ Bộ phận Nghiên cứu và Phát triển của Hiệp hội Blockchain Việt Nam (VBA) dựa trên báo cáo của Chainalysis và Immunefi, thế giới đã ghi nhận 657 vụ hack sàn giao dịch tiền mã hóa, gây thiệt hại lên đến 12,8 tỷ USD trong khoảng thời gian từ năm 2020 đến ngày 25/2/2025, cảnh báo về rủi ro an ninh mạng trên toàn cầu.
Năm 2022 được xem là "đỉnh điểm" khi có tới 219 vụ tấn công mạng, gây thất thoát khoảng 3,8 tỷ USD. Dù năm 2025 mới chỉ trôi qua 2 tháng đầu tiên, thị trường đã ghi nhận 20 vụ hack với số tiền gần 2,5 tỷ USD.
Những vụ hack đình đám giai đoạn 2020 - đầu năm 2025
Đầu năm 2025, Bybit là cái tên mới nhất bị ảnh hưởng nặng nề với 1,5 tỷ USD bị đánh cắp. Tiếp theo là vụ hack Ronin (năm 2022) với thiệt hại 615 triệu USD, ảnh hưởng đến mạng của trò chơi Axie Infinity, do khai thác lỗ hổng cầu nối chuỗi chéo.
Vụ hack lớn thứ ba trong 5 năm trở lại đây là Poly Network (năm 2021) với 610 triệu USD bị đánh cắp, song hacker đã trả lại phần lớn tài sản sau khi đàm phán.
Cuộc tấn công nhắm vào DMM Bitcoin (năm 2024) khiến 300 triệu USD từ sàn giao dịch bị rút ròng. Vụ việc xuất phát từ hoạt động xâm phạm khóa riêng, dẫn đến việc DMM Bitcoin phải đóng cửa ngay sau đó.
Xếp thứ 5 là cuộc tấn công vào sàn Kucoin (năm 2020) với số tiền 281 triệu USD, với mục tiêu chủ yếu nhắm vào Ethereum và Bitcoin, gây ra tâm lý hoảng loạn trong cộng đồng blockchain.
Các hình thức tấn công phổ biến
Theo thống kê của Bộ phận Nghiên cứu và Phát triển VBA, trong khoảng thời gian từ năm 2020 đến ngày 25/2/2025, có 3 hình thức tấn công chính trong lĩnh vực tiền mã hóa bao gồm: xâm phạm khóa riêng (private key compromise), tấn công cầu nối chuỗi chéo và khai thác hợp đồng thông minh (smart contract exploit).
Xâm phạm khóa riêng chiếm 36% tổng số vụ hack, với 235 vụ và gây ra tổn thất 5,6 tỷ USD (44% tổng thiệt hại). Các cuộc tấn công dạng này thường xảy ra tại nhóm sàn giao dịch tập trung (CEX) hoặc ví cá nhân, nơi hacker đánh cắp khóa riêng để chiếm quyền kiểm soát tài sản. Năm 2024, tội phạm mạng đã đánh cắp 1,34 tỷ USD thông qua phương thức này.
Tấn công vào cầu nối chuỗi chéo cũng gây ra thiệt hại đáng kể. Có 79 vụ hack thuộc nhóm này, chiếm 12% tổng số vụ với số tiền ước tính khoảng 1,25 tỷ USD. Điều này đã làm nổi bật những rủi ro lớn khi giao dịch giữa các mạng blockchain không được bảo mật chặt chẽ.
Trong khi đó, khai thác lỗ hổng hợp đồng thông minh là phương thức phổ biến nhất trong lĩnh vực blockchain, chiếm 58% tổng số vụ hack với thiệt hại lên tới 6,95 tỷ USD. Các hacker đã tận dụng lỗ hổng trong mã hợp đồng thông minh để thực hiện các cuộc tấn công và chiếm đoạt tài sản từ giao thức tài chính phi tập trung. Trong năm 2022, tổng cộng 150 vụ hack theo hình thức này đã gây thất thoát 2,4 tỷ USD, chiếm 82,1% tổng số tiền bị chiếm đoạt.
 |
| TS. Đỗ Văn Thuật, Chuyên gia Công nghệ Hiệp hội Blockchain Việt Nam, Thành viên Hội đồng Khoa học Viện ABAII |
Lý giải nguyên nhân hợp đồng thông minh thường xuyên bị nhắm đến, TS. Đỗ Văn Thuật, Chuyên gia Công nghệ Hiệp hội Blockchain Việt Nam, Thành viên Hội đồng Khoa học Viện ABAII cho biết, hợp đồng thông minh là các quy tắc giao dịch được lập trình và triển khai cho các ứng dụng (dapp) khác nhau trên một mạng lưới blockchain. Mặc dù blockchain có độ an toàn cao, nhưng độ an toàn của các ứng dụng của nó (ví dụ tài chính phi tập trung DeFi) còn phụ thuộc vào bộ quy tắc vận hành được quy định trong hợp đồng. Nếu quy tắc sai sót hoặc có lỗ hổng, nó sẽ kém an toàn và bị khai thác, dẫn đến thiệt hại về tiền. Điều này tương tự như các giao kết hợp đồng dân sự, doanh nghiệp trong đời sống thực.
“Hợp đồng thông minh là nơi nắm giữ nhiều tài sản, xử lý nhiều tỷ USD giao dịch mỗi ngày, ai cũng có thể đọc và tương tác với hợp đồng, do đó dễ trở thành mục tiêu của các hackers. Trở lại với vụ tấn công Bybit, Ronin, Poly Network, điểm chung là các nền tảng này lưu ký tài sản ở các hợp đồng thông minh đa chữ ký, tức là cần chữ ký số chấp thuận đồng thời của nhiều người (đang quản trị hợp đồng) thì mới rút được tiền. Các hợp đồng đó nguồn mở, được kiểm toán kĩ lưỡng và được dùng khá phổ biến”, TS Thuật nhận định.
Diễn giải đơn giản về vụ hack Bybit, TS Thuật mô tả, trong hợp đồng dùng mã nguồn mở ví đa chữ kí Safe, hackers thực chất tấn công vào những người quản lý hợp đồng thông minh (mỗi người nắm một khóa bí mật được quyền ký lên hợp đồng). Bằng cách “tinh vi” nào đó, hackers đã tìm hiểu rõ những người quản lý, đánh lừa họ, khiến họ cho phép kẻ gian rút tiền. Hợp đồng thông minh như kho tài sản được khóa cẩn thận, kẻ trộm không phá được khóa nhưng lại đánh lừa được người giữ chìa khóa mở cửa cho trộm vào lấy tiền mang đi.
Bàn sâu hơn về kĩ thuật, giao diện người dùng (UX/UI) thường được quản lý, vận hành thông qua các hệ thống IT truyền thống (tức Web2) trên các nền tảng đám mây. Hackers đã khai thác lỗ hổng server của Safe trên AWS, từ đó đưa thông tin độc hại, ẩn giấu chúng, khiến cho người quản trị chủ quan, kí cấp phép cho hackers thay đổi luật hợp đồng, từ đó hackers có thể rút tiền.
“Lối tấn công này đã được phân tích bởi nhiều đơn vị bảo mật uy tín trên thế giới, và cả ở Việt Nam”, TS Thuật nói.
 |
| TS Nguyễn Trung Thành, Chủ nhiệm Ủy ban Web3, Hiệp hội Blockchain Việt Nam |
Cùng quan điểm với TS Thuật, TS Nguyễn Trung Thành, Chủ nhiệm Ủy ban Web3, Hiệp hội Blockchain Việt Nam cho rằng, việc thực hiện một cuộc tấn công không đơn giản và đòi hỏi nhiều điều kiện. Kẻ tấn công đã tiến hành theo dõi một cách cẩn trọng, kiên trì và tỉ mỉ để xác định các mắt xích yếu trong hệ thống, đặc biệt là các thành phần Web2 và yếu tố con người.
“Những điểm yếu này không phải lúc nào cũng tồn tại sẵn mà có thể chỉ xuất hiện khi xảy ra sơ suất trong các quy trình như golive (đưa sản phẩm lên môi trường thực), quản trị nhân sự, quản lý kho mã nguồn mở hoặc khi sử dụng sản phẩm từ bên thứ ba vốn được coi là "uy tín" nhưng lại bị tấn công. Một số lỗ hổng có thể đã tồn tại từ lâu nhưng không được phát hiện và khắc phục kịp thời. Khi hacker phát hiện ra những điểm yếu này, chúng sẽ trở thành mục tiêu khai thác để thực hiện hành vi xâm nhập”, TS Thành đánh giá.
TS Nguyễn Duy Lân, chuyên gia Công nghệ Hiệp hội Blockchain Việt Nam, Đồng sáng lập và Phó Chủ tịch Veramine Inc., Seattle, USA, phân tích, các cuộc tấn công vào tiền mã hóa thường kết hợp khai thác các lỗ hổng và sử dụng kỹ thuật tấn công xã hội (social engineering), nhằm vào những điểm yếu khác nhau trong cả phần Web 3 và Web 2 của hệ thống. Đối với phần Web 3, các lỗi logic trong hợp đồng thông minh (smart contracts) thường bị khai thác, như xử lý không an toàn những trường hợp đặc biệt (corner cases), các lỗi trong phép toán cộng trừ tiền, và các lỗ hổng trong mật mã.
“Trong khi đó, phần Web 2 có thể bị tấn công đa dạng, thường tập trung vào các khóa bí mật của người dùng, quản trị viên hoặc các cầu nối (bridges). Nếu những khóa này được bảo vệ bằng các thiết bị bảo mật phần cứng như Hệ thống quản lý bảo mật phần cứng (HSM) hoặc ví lạnh, việc đánh cắp sẽ gần như không thể thực hiện được, mặc dù vẫn cần phải đề phòng những lỗi mã hóa có thể tạo ra khóa có thể dự đoán được. Khi đó, các cuộc tấn công chủ yếu nhằm chiếm quyền sử dụng hoặc vượt qua các chức năng bảo vệ của khoá này, bằng cách xâm nhập vào hệ thống phần mềm quản lý các khóa, cài đặt mã độc để đánh lừa hệ thống và quản trị viên”, TS Lân đánh giá.
Giải pháp nào cho Việt Nam trong tương lai?
Các vụ tấn công ngày càng tinh vi của hackers gây ra tác động lớn đối với thị trường và ảnh hưởng tâm lý các nhà đầu tư. Dù vậy, TS Thuật khẳng định, nguyên nhân chính nằm ở những người quản trị hợp đồng thông minh bị lừa, chứ không phải hợp đồng có lỗ hổng. Phần lớn các hợp đồng vẫn là an toàn, tiềm năng ứng dụng blockchain thông qua các hợp đồng thông minh vẫn rất rộng mở và đầy hứa hẹn.
Để giảm thiểu rủi ro bị hack, chuyên gia công nghệ của VBA cho rằng, các nhà phát triển hợp đồng và những người vận hành (nắm giữ khóa bí mật) luôn phải đặt an toàn lên hàng đầu, tham vấn các đơn vị an toàn thông tin, bảo mật hệ thống để có thể phòng ngừa hackers, giảm thiểu rủi ro.
“Đầu tư vào công nghệ, con người và quy trình bảo mật là rất cần thiết, bao gồm phát triển công cụ bảo mật, tiến hành kiểm thử, kiểm toán, và kiểm tra xâm nhập. Cũng cần thiết lập hệ thống giám sát hoạt động và ứng dụng trí tuệ nhân tạo (AI) để phát hiện bất thường. Bảo mật cần được tích hợp vào toàn bộ quá trình phát triển hệ thống tiền mã hóa, từ thiết kế đến triển khai, và có thể học hỏi từ các quy trình bảo mật của ngành công nghệ thông tin truyền thống”, TS Nguyễn Duy Lân nhận định.
TS Nguyễn Trung Thành đưa ra quan điểm, việc đảm bảo an toàn tuyệt đối trong lĩnh vực bảo mật thông tin là điều không thể, chỉ có thể giảm thiểu rủi ro và dự phòng trước các tình huống có thể xảy ra.
“Không nên xem nhẹ các khoản đầu tư công nghệ. Mặc dù có thể tiết kiệm chi phí trong ngắn hạn, nhưng việc thiếu chú trọng vào bảo mật sẽ dẫn đến hậu quả nghiêm trọng về lâu dài. Các thành viên uy tín của Hiệp hội Blockchain Việt Nam luôn sẵn sàng đồng hành và hỗ trợ các tập đoàn lớn trong việc đảm bảo an toàn cho tài sản số”, TS Thành cho biết.
Từ các vụ hack sàn giao dịch tài sản mã hoá vừa qua, ông Phan Đức Trung, Chủ tịch Hiệp hội Blockchain Việt Nam kêu gọi, Việt Nam cần nhanh chóng thiết lập các tiêu chuẩn an toàn thông tin và quản lý tài sản mã hóa. “Khi thị trường tài sản số ngày càng phát triển, việc thiếu khung pháp lý rõ ràng không chỉ khiến nhà đầu tư dễ bị tổn thương mà còn hạn chế tiềm năng của ngành blockchain. Chỉ khi có luật pháp làm nền tảng, chúng ta mới xây dựng được hệ sinh thái tài sản mã hóa đáng tin cậy, vừa bảo vệ người dùng vừa thúc đẩy đổi mới”, ông Trung nhấn mạnh.
Bình Nguyên