Tổng thiệt hại do hack và khai thác lỗ hổng an ninh mạng trong lĩnh vực tiền điện tử đã giảm còn khoảng 76 triệu USD vào tháng 12, thấp hơn 60% so với mức 194,2 triệu USD của tháng 11, theo công ty bảo mật blockchain PeckShield.
Mức giảm này là tín hiệu tích cực, nhưng dữ liệu cho thấy rủi ro vẫn tập trung vào một số vụ việc cực lớn, đặc biệt là các trò lừa đảo “đầu độc địa chỉ” và sự cố lộ khóa riêng tư. Người dùng vẫn cần siết chặt quy trình kiểm tra địa chỉ và bảo vệ ví.
- Thiệt hại crypto do hack trong tháng 12 khoảng 76 triệu USD, giảm mạnh so với tháng 11.
- “Đầu độc địa chỉ” gây thiệt hại 50 triệu USD chỉ trong một vụ, cho thấy rủi ro từ thói quen chọn địa chỉ trong lịch sử giao dịch.
- Năm 2025 ghi nhận tổn thất tập trung, nổi bật là vụ Bybit bị rút khoảng 401.000 ETH trị giá 1,4 tỷ USD.
Thiệt hại do hack crypto tháng 12 giảm, nhưng các vụ việc lớn vẫn chi phối
Tháng 12 ghi nhận tổng thiệt hại khoảng 76 triệu USD, với 26 vụ khai thác lớn được báo cáo, trong đó chỉ một vụ lừa đảo “đầu độc địa chỉ” đã gây mất 50 triệu USD.
PeckShield cho biết trong tháng có 26 sự cố nổi bật. Điểm đáng chú ý là thiệt hại không phân bổ đều, mà tập trung vào một vài vụ cực lớn. Khi tổng tiền bị đánh cắp giảm, cảm giác “an toàn hơn” có thể khiến người dùng chủ quan, trong khi các hình thức tấn công quen thuộc vẫn hoạt động hiệu quả.
Một trường hợp khác được nêu là người dùng mất khoảng 27,3 triệu USD do lộ khóa riêng tư trong một vụ hack ví đa chữ ký (multi-signature). Nhóm rủi ro này thường đến từ quản trị khóa, quy trình ký giao dịch, thiết bị bị nhiễm mã độc hoặc rò rỉ trong quy trình vận hành, thay vì lỗi smart contract thuần túy.
Lừa đảo “đầu độc địa chỉ” là nguyên nhân gây thiệt hại lớn nhất trong tháng
“Đầu độc địa chỉ” là chiêu trò tạo địa chỉ ví giống địa chỉ thật để nạn nhân chuyển nhầm, thường bằng cách làm trùng 4 ký tự đầu và 4 ký tự cuối của chuỗi địa chỉ.
PeckShield mô tả kiểu tấn công này dựa vào thói quen người dùng chọn địa chỉ từ lịch sử giao dịch. Kẻ gian gửi giao dịch “mồi” để địa chỉ giả xuất hiện trong danh sách gần đây, sau đó nạn nhân vô tình chọn nhầm và chuyển tiền đến đích sai.
Cách nhận diện cốt lõi là không chỉ nhìn “đầu-cuối” địa chỉ. Kẻ tấn công kỳ vọng nạn nhân chỉ lướt qua vài ký tự trùng khớp. Vì vậy, việc kiểm tra toàn bộ chuỗi địa chỉ (hoặc dùng tính năng sổ địa chỉ đáng tin cậy, xác minh nhiều lần trước khi gửi) là lớp phòng vệ quan trọng, đặc biệt khi chuyển số tiền lớn.
Vụ Bybit 1,4 tỷ USD cho thấy tổn thất năm 2025 tập trung hơn
Năm 2025 ghi nhận các vụ mất mát tập trung vào nhóm sự cố lớn nhất, nổi bật là vụ Bybit bị rút khoảng 401.000 ETH, tương đương 1,4 tỷ USD tại thời điểm xảy ra.
Một phân tích dựa trên dữ liệu Chainalysis cho thấy 10 sự cố lớn nhất năm 2025 khiến khoảng 2,2 tỷ USD bị đánh cắp, tương đương “gần 2,2 tỷ USD” của năm 2024. PeckShield cũng nhấn mạnh bối cảnh này liên quan đến các sàn tập trung, DeFi và nhà cung cấp hạ tầng. Tham chiếu: bài đăng của PeckShieldAlert.
Mặc dù số lượng các vụ khai thác quy mô trung bình tăng so với năm trước, thiệt hại lại bị “kéo” mạnh bởi một vụ phá kỷ lục. Sự kiện đáng chú ý là vụ xâm nhập Bybit vào ngày 21/2, khi kẻ tấn công rút khoảng 401.000 ETH từ các ví liên quan đến nền tảng, với giá trị ước tính 1,4 tỷ USD tại thời điểm đó.
Các công ty bảo mật on-chain báo cáo dòng tiền bị rút từ ví đa chữ ký dựa trên Safe trên nhiều mạng, bao gồm Ethereum và Arbitrum, sau đó nhanh chóng được chuyển qua một mạng lưới địa chỉ mới tạo. Mô thức “tạo địa chỉ mới hàng loạt + phân tán luồng tiền” thường được dùng để tăng độ khó truy vết và gây áp lực thời gian cho hoạt động phản ứng sự cố.
Hack Trust Wallet và Flow làm lộ rủi ro của ví trình duyệt
Hai vụ đáng chú ý trong tháng 12 gồm Trust Wallet bị rút 7 triệu USD từ người dùng và Flow bị khai thác 3,9 triệu USD, theo PeckShield.
Sự cố Trust Wallet được mô tả là ảnh hưởng đến tiện ích mở rộng trình duyệt. Ví chạy trên trình duyệt có đặc tính “luôn trực tuyến”, giúp trải nghiệm thuận tiện nhưng có thể làm tăng bề mặt tấn công trước một số mối đe dọa an ninh mạng, đặc biệt khi người dùng cài thêm extension, truy cập website giả mạo, hoặc thiết bị bị can thiệp.
Một biện pháp được nhắc đến là sử dụng ví phần cứng, thiết bị lưu trữ ngoại tuyến tương tự USB, để giữ khóa riêng tư. Cách tiếp cận này giảm khả năng khóa bị trích xuất qua môi trường trình duyệt và giúp tách biệt thao tác ký khỏi thiết bị dễ bị tấn công bởi phần mềm độc hại.
Với lừa đảo “đầu độc địa chỉ”, người dùng có thể triệt tiêu rủi ro bằng cách kiểm tra mọi ký tự của địa chỉ nhận nhiều lần, thay vì nhìn nhanh hoặc chọn từ lịch sử giao dịch. Quy tắc này đặc biệt quan trọng khi sao chép/dán, vì kẻ xấu có thể lợi dụng thói quen chỉ đối chiếu phần đầu và phần cuối.
Trust Wallet cũng xác nhận tiện ích Chrome tạm thời bị gỡ khỏi Chrome Web Store, dẫn tới việc triển khai công cụ xác minh yêu cầu bồi thường (key claims verification tool) liên quan đến sự cố bị chậm lại. CEO Eowyn Chen cho biết extension không khả dụng do công ty gặp lỗi của Chrome Web Store khi cố gắng phát hành phiên bản mới.
Những câu hỏi thường gặp
“Đầu độc địa chỉ” (address poisoning) trong crypto là gì?
Đây là hình thức lừa đảo tạo địa chỉ ví “na ná” địa chỉ thật để nạn nhân chuyển nhầm, thường làm trùng các ký tự đầu và cuối. Kẻ gian khiến địa chỉ giả xuất hiện trong lịch sử giao dịch để bạn chọn nhầm khi chuyển tiền.
Vì sao ví trình duyệt có thể rủi ro hơn?
Ví trình duyệt thường luôn kết nối internet và chịu ảnh hưởng từ môi trường trình duyệt, extension và website bạn truy cập. Điều này có thể làm tăng khả năng bị tấn công bằng phishing, mã độc, hoặc lỗ hổng liên quan đến tiện ích mở rộng.
Làm gì để giảm rủi ro chuyển nhầm do “đầu độc địa chỉ”?
Hãy kiểm tra toàn bộ chuỗi địa chỉ nhận (không chỉ 4 ký tự đầu/cuối) nhiều lần trước khi gửi, nhất là với khoản tiền lớn. Tránh chọn địa chỉ từ lịch sử giao dịch nếu chưa xác minh lại từng ký tự.
Ví phần cứng giúp bảo vệ tài sản crypto như thế nào?
Ví phần cứng lưu khóa riêng tư ngoại tuyến và tách thao tác ký giao dịch khỏi máy tính/trình duyệt. Điều này giúp giảm nguy cơ khóa bị đánh cắp qua phần mềm độc hại hoặc lỗ hổng liên quan đến ví trình duyệt.