Lộ private key dẫn đầu các vụ trộm tiền điện tử quý 3/2025

Phân tích mới nhất từ MistTrack, nền tảng theo dõi tài sản bị đánh cắp của SlowMist, cho thấy lộ khóa riêng (private key) vẫn là nguyên nhân phổ biến nhất dẫn đến các vụ trộm tiền điện tử.

Theo báo cáo, trong giai đoạn từ tháng 7 đến tháng 9, có 317 báo cáo về tài sản bị đánh cắp, trong đó hơn 3,73 triệu USD đã được đóng băng hoặc thu hồi thành công trong 10 vụ.

Khóa riêng — điểm yếu cốt lõi của người dùng

Báo cáo nhấn mạnh rằng phần lớn các vụ trộm tiền điện tử không đến từ các cuộc tấn công kỹ thuật tinh vi, mà từ việc rò rỉ thông tin đăng nhập hoặc thiết bị bị xâm phạm.

Một chiêu lừa phổ biến hiện nay là bán ví lạnh giả — những thiết bị được cài sẵn seed phrase hoặc bị can thiệp phần cứng để ghi lại thông tin khôi phục, cho phép kẻ gian chiếm đoạt tài sản ngay sau khi nạn nhân nạp tiền.

2/ 🔑Key Findings from Q3

1️⃣Private Key Leakage
Still the leading cause of theft. Attackers often don’t need technical exploits — just misplaced trust or compromised credentials.

Example: Fake hardware wallets sold via shady channels. These devices often come with pre-set seed… pic.twitter.com/tJZrkOZgzr

— SlowMist (@SlowMist_Team) September 29, 2025

SlowMist khuyến nghị người dùng:

• Chỉ mua ví cứng từ nhà phân phối chính thức.

• Tự tạo seed phrase trực tiếp trên thiết bị.

• Chuyển thử một lượng nhỏ trước khi thực hiện giao dịch lớn.

• Kiểm tra thiết bị kỹ lưỡng, không dùng thẻ khôi phục có sẵn

Bên cạnh đó, SlowMist cảnh báo sự gia tăng của các hình thức lừa đảo phishing và kỹ nghệ xã hội (social engineering). Một dạng tấn công mới, gọi là EIP-7702 delegate phishing, cho phép hacker liên kết ví nạn nhân với các hợp đồng tự động rút tiền khi giao dịch diễn ra. Người dùng tưởng rằng mình đang thao tác bình thường, nhưng thực tế đã cấp quyền kiểm soát tài sản cho kẻ gian.

Phân tích của SlowMist cho thấy các chiêu lừa “tuy cũ mà hiệu quả” vẫn chiếm tỷ lệ cao. Một số kẻ gian giả danh nhà tuyển dụng trên LinkedIn, xây dựng lòng tin với ứng viên trong nhiều tuần, rồi dụ họ cài đặt “trình điều khiển camera” hoặc phần mềm độc hại.

Trong một trường hợp, hacker thậm chí kết hợp mã độc với tiện ích mở rộng Chrome trong cuộc gọi Zoom, khiến nạn nhân mất hơn 13 triệu USD.

Các chiêu lừa quen thuộc vẫn tiếp diễn

Một số quảng cáo giả mạo trên Google sao chép giao diện của MistTrack và các nền tảng DeFi như Aave, gây thiệt hại hơn 1,2 triệu USD thông qua yêu cầu cấp quyền ngầm. Ngoài ra, kẻ gian còn chiếm quyền các đường link Discord bị bỏ trống để đánh lừa cộng đồng.

Một thủ đoạn khác là ngụy trang mã độc dưới dạng kiểm tra CAPTCHA, lừa người dùng sao chép mã đánh cắp dữ liệu ví, cookie trình duyệt và khóa riêng.

SlowMist cho rằng, đa số các vụ tấn công Web3 không đến từ kỹ thuật phức tạp, mà từ việc người dùng vội vàng và thiếu kiểm chứng.

Do đó, chậm lại một nhịp, kiểm tra kỹ nguồn thông tin, và tránh các bước tắt nhanh chính là cách bảo vệ hiệu quả nhất trong môi trường luôn biến động của Web3.

• Nhà đầu tư mất 1 triệu USD chỉ trong 1 cú click trên Uniswap giả
• Đài Loan điều tra vụ rửa tiền lên tới 75 triệu USD liên quan sàn giao dịch crypto
• Lừa đảo tiền điện tử tăng 72% trong tháng 8, đánh cắp hơn 12 triệu đô la