SlowMist cảnh báo đã phát hiện một lỗ hổng nghiêm trọng tiềm ẩn trên sàn tiền điện tử HitBTC và cho biết chưa nhận được phản hồi sau khi liên hệ riêng theo quy trình tiết lộ có trách nhiệm.
Vụ việc làm nổi bật rủi ro bảo mật mang tính hệ thống trong ngành crypto, khi các sàn giao dịch nắm giữ tài sản người dùng đôi lúc phản ứng chậm trước cảnh báo kỹ thuật. Trong bối cảnh thiệt hại do tấn công ngày càng lớn, tốc độ phối hợp xử lý lỗ hổng trở thành yếu tố then chốt.
- SlowMist công khai cảnh báo về lỗ hổng “nghiêm trọng tiềm ẩn” trên HitBTC sau khi không nhận được phản hồi qua kênh liên hệ riêng.
- Báo cáo năm 2025 của SlowMist ghi nhận thiệt hại 2,935 tỷ USD từ 200 sự cố; sự cố liên quan sàn ít nhưng gây mất mát lớn.
- Khuyến nghị ngành: sàn cần điểm liên hệ báo lỗi rõ ràng và phản hồi trong vòng 2 ngày làm việc để giảm rủi ro cho người dùng.
SlowMist cảnh báo lỗ hổng nghiêm trọng tiềm ẩn trên HitBTC
SlowMist cho biết họ đã phát hiện một lỗ hổng có thể ở mức nghiêm trọng trên HitBTC, đã nhắn tin riêng theo cơ chế tiết lộ có trách nhiệm nhưng chưa nhận được phản hồi, nên kêu gọi sàn liên hệ sớm để phối hợp bước tiếp theo.
Trong thông báo công khai, SlowMist nhấn mạnh họ đã cố gắng liên hệ trước qua tin nhắn trực tiếp và mong muốn phối hợp xử lý thay vì công bố chi tiết kỹ thuật. Bạn có thể xem thông báo tại bài đăng của SlowMist trên X.
Tiết lộ có trách nhiệm thường nhằm giảm nguy cơ kẻ xấu khai thác thông tin trước khi bản vá sẵn sàng. Khi không thể thiết lập kênh phối hợp với bên bị ảnh hưởng, nhóm nghiên cứu đôi khi buộc phải công khai cảnh báo ở mức tối thiểu để tăng áp lực xử lý và cảnh báo người dùng về rủi ro tiềm ẩn.
Phản ứng của HitBTC trước cảnh báo bảo mật hiện chưa được ghi nhận công khai
Dựa trên nội dung SlowMist công bố, họ chưa nhận được phản hồi từ HitBTC sau khi liên hệ riêng, và vì vậy đã đưa cảnh báo ra công chúng để thúc đẩy phối hợp khắc phục.
SlowMist cho biết đây không phải trường hợp đơn lẻ: trong vài tuần gần đây, họ đã nhiều lần phải công khai việc đã cố gắng cảnh báo nhưng không nhận được xác nhận từ các sàn giao dịch. Trước đó vào tháng 12, họ cũng phát hành thông báo tương tự với Azbit (đăng ký tại Seychelles) và sàn Thổ Nhĩ Kỳ ICRYPEX Global.
HitBTC là một trong những sàn tiền điện tử lâu đời, hoạt động từ năm 2013 và đăng ký tại Quần đảo Virgin thuộc Anh. Theo trang tổng hợp, HitBTC ghi nhận khối lượng giao dịch hơn 110 triệu USD trong 24 giờ tại thời điểm đề cập, với hơn 250 tài sản và 800 cặp giao dịch; xem tại trang HitBTC trên CoinMarketCap.
Rủi ro bảo mật trong crypto vẫn kéo dài và thiệt hại có xu hướng tập trung vào mục tiêu lớn
Báo cáo thường niên năm 2025 của SlowMist ghi nhận 200 sự cố bảo mật, tổng thiệt hại khoảng 2,935 tỷ USD; số vụ ít hơn nhưng thiệt hại tăng 46% so với năm trước, phản ánh các cuộc tấn công ngày càng tinh vi.
Theo báo cáo an ninh thường niên 2025 của SlowMist, các sự cố liên quan đến sàn chỉ 12 vụ nhưng gây thiệt hại tới 1,809 tỷ USD. Trong khi đó, các giao thức DeFi ghi nhận 126 sự cố với 649 triệu USD thiệt hại, cho thấy phần “đỉnh” thiệt hại có thể tập trung vào một số mục tiêu có giá trị cao.
Dữ liệu do CertiKAlert chia sẻ trên X cho biết riêng tháng 12/2025, khoảng 117,8 triệu USD bị mất do các vụ khai thác lỗ hổng trong không gian crypto. Xu hướng “ít vụ hơn nhưng mỗi vụ mất nhiều hơn” thường gắn với tấn công có chủ đích, nhiều bước, nhắm vào các điểm yếu vận hành và quy trình.
Các nhà phân tích bảo mật lưu ý rằng nhóm tin tặc chuyên nghiệp, bao gồm cả các tác nhân bị nghi có liên hệ Triều Tiên, đang chuyển từ tấn công cơ hội sang chiến dịch có tổ chức nhằm tối đa hóa giá trị từ ít mục tiêu “đầu bảng”. Điều này khiến các sàn và đơn vị lưu ký phải ưu tiên quy trình phản hồi sự cố và quản trị rủi ro, thay vì chỉ phụ thuộc vào biện pháp phòng thủ kỹ thuật đơn lẻ.
“Các sự cố liên quan đến sàn chỉ có 12, nhưng gây thiệt hại lên tới 1,809 tỷ USD.”
– SlowMist, Báo cáo an ninh thường niên 2025
Cách sàn tiền điện tử nên phản hồi cảnh báo lỗ hổng để bảo vệ người dùng
Các sàn nên thiết lập kênh tiếp nhận báo lỗi rõ ràng (email bảo mật công khai, khóa công khai dài hạn để mã hóa liên lạc) và phản hồi trong vòng 2 ngày làm việc; nếu không thể liên hệ, bên nghiên cứu có thể buộc phải công khai cảnh báo để giảm rủi ro cho người dùng.
Khuyến nghị phổ biến là công bố “security contact” dễ tìm, quy định phạm vi và thời gian phản hồi, quy trình xác nhận đã nhận thông tin, và cơ chế phối hợp vá lỗi. Khi xảy ra sự cố, sàn cần triage mức độ nghiêm trọng, cô lập hệ thống bị ảnh hưởng, và chủ động thông tin minh bạch theo mức cần thiết mà không làm tăng bề mặt bị khai thác.
SlowMist cho biết họ đã hỗ trợ đóng băng hoặc thu hồi khoảng 19,29 triệu USD trong năm 2025 thông qua mạng lưới tình báo mối đe dọa và nền tảng MistTrack. Trên 18 sự cố lớn, khoảng 387 triệu USD trong tổng 1,957 tỷ USD tài sản bị đánh cắp đã được đóng băng hoặc thu hồi, tương ứng tỷ lệ 13,2%.
Những câu hỏi thường gặp
SlowMist đã cảnh báo điều gì về HitBTC?
SlowMist cho biết họ phát hiện một lỗ hổng nghiêm trọng tiềm ẩn trên HitBTC, đã liên hệ riêng theo tiết lộ có trách nhiệm nhưng chưa nhận phản hồi, nên công khai cảnh báo và đề nghị sàn phối hợp bước tiếp theo.
Vì sao nhóm bảo mật phải công khai cảnh báo khi chưa có phản hồi?
Khi không thể thiết lập liên lạc với bên bị ảnh hưởng sau nhiều lần thử, công khai cảnh báo ở mức tối thiểu có thể giúp tăng tính minh bạch và giảm rủi ro cho người dùng trong trường hợp lỗ hổng có thể bị khai thác.
Báo cáo 2025 của SlowMist cho thấy điều gì về thiệt hại an ninh crypto?
Báo cáo ghi nhận 200 sự cố với khoảng 2,935 tỷ USD thiệt hại; sự cố liên quan sàn chỉ 12 nhưng gây mất mát tới 1,809 tỷ USD, trong khi DeFi có 126 sự cố và 649 triệu USD thiệt hại.
Sàn tiền điện tử nên làm gì khi nhận được cảnh báo lỗ hổng?
Sàn nên có kênh báo lỗi rõ ràng (email bảo mật, khóa mã hóa), xác nhận đã nhận thông tin và phản hồi trong vòng 2 ngày làm việc, đồng thời phối hợp triage, vá lỗi và thông tin minh bạch để hạn chế rủi ro cho người dùng.