Cảnh báo: Các vụ tấn công Web3 gây thiệt hại 464 triệu USD trong quý 1 năm 2026

Các dự án Web3 đã mất 464,5 triệu USD do các vụ hack và lừa đảo trong quý đầu tiên của năm 2026, trong khi các vụ “siêu tấn công” trị giá hàng tỷ USD đã nhường chỗ cho một số lượng lớn các sự cố quy mô trung bình, theo công ty bảo mật blockchain Hacken.

Theo báo cáo quý 1 năm 2026 của Hacken, các cuộc tấn công lừa đảo phishing và kỹ thuật xã hội đã thống trị giai đoạn này, chiếm 306 triệu USD thiệt hại trong tổng số 43 sự cố của quý. Một vụ lừa đảo ví phần cứng duy nhất trị giá 282 triệu USD vào tháng 1 đã chịu trách nhiệm cho 81% thiệt hại trong quý.

Các vụ khai thác hợp đồng thông minh tổng cộng là 86,2 triệu USD, trong khi các lỗi kiểm soát quyền truy cập, bao gồm việc lộ khóa bảo mật và dịch vụ đám mây, đã gây thêm 71,9 triệu USD thiệt hại.

Mức tổn thất này đưa quý hiện tại trở thành quý 1 thấp thứ hai kể từ năm 2023, do sự vắng mặt của các vụ siêu tấn công quy mô lớn như trường hợp của Bybit, đơn vị đã mất 1,46 tỷ USD vào quý 1 năm 2025, đây là nguyên nhân chính dẫn đến sự sụt giảm so với cùng kỳ năm ngoái.

Bản đồ sự cố của Hacken cho thấy những thất bại lớn nhất ngày càng xảy ra bên ngoài mã nguồn on-chain, nằm ở các lớp vận hành và cơ sở hạ tầng mà các cuộc kiểm toán truyền thống hiếm khi chạm tới. Yev Broshevan, giám đốc điều hành và đồng sáng lập tại Hacken, chia sẻ rằng những thất bại tốn kém nhất “hoàn toàn xảy ra bên ngoài lớp mã nguồn.”

Theo Hacken, sự chuyển dịch đó đang thu hút sự giám sát chặt chẽ hơn từ các cơ quan quản lý và các đối tác tổ chức, với các khung pháp lý như Quy định về Thị trường Tài sản Tiền điện tử (MiCA) và Đạo luật Kháng cự Kỹ thuật số (DORA) tại Liên minh Châu Âu đang tiến sâu hơn vào việc thực thi, đồng thời nâng cao kỳ vọng về việc giám sát bảo mật liên tục và ứng phó sự cố.

Mã nguồn cũ, cuộc gọi đầu tư mạo hiểm giả mạo và lộ khóa bảo mật

Broshevan đã chỉ ra khoản lỗ 306 triệu USD do lừa đảo phishing, một cuộc gọi từ quỹ đầu tư mạo hiểm (VC) giả mạo liên quan đến Triều Tiên trị giá 40 triệu USD nhắm vào Step Finance, và vụ lộ dịch vụ quản lý khóa AWS trị giá 25 triệu USD tại Resolv Labs. Ngay cả khi hợp đồng thông minh có lỗi, các lỗ hổng tốn kém nhất thường nằm trong các bản triển khai cũ và các loại lỗ hổng đã được biết đến từ trước. Truebit đã mất 26,4 triệu USD do một lỗi trong hợp đồng Solidity được triển khai khoảng 5 năm trước, trong khi Venus Protocol bị tấn công theo mô hình tấn công quyên góp đã được ghi nhận từ năm 2022.

Sáu dự án đã được kiểm toán, bao gồm Resolv với 18 lần kiểm toán và Venus với 5 công ty kiểm toán riêng biệt, vẫn chiếm 37,7 triệu USD tiền thiệt hại. Trung bình, con số này cao hơn so với các đối thủ chưa được kiểm toán vì các giao thức có tổng giá trị bị khóa (TVL) cao hơn thường thu hút những kẻ tấn công và các kỹ thuật khai thác tinh vi hơn.

Các cơ quan giám sát toàn cầu thắt chặt kỳ vọng ứng phó sự cố

Trong quý 1, MiCA và DORA tại EU đã chuyển sang giai đoạn thực thi tích cực; cơ quan quản lý của Dubai, Cơ quan Quản lý Tài sản Ảo (VARA), đã thắt chặt các kỳ vọng xung quanh Quy tắc Công nghệ và Thông tin; Singapore thực thi các quy tắc vốn theo chuẩn Basel và yêu cầu thông báo sự cố trong vòng một giờ; và Cơ quan Thị trường Vốn mới của Các Tiểu vương quốc Ả Rập Thống nhất đã tiếp quản việc giám sát tài sản kỹ thuật số liên bang với quyền hạn rộng hơn và mức phạt cao hơn.

Hacken gắn kết các chế độ quản lý đó với một tiêu chuẩn mới cho các hệ thống “sẵn sàng cho cơ quan quản lý”, bao gồm các chứng thực bằng chứng dự trữ được hỗ trợ bởi đối soát nội bộ hàng ngày, giám sát on-chain 24/7 đối với các ví ngân quỹ và các vai trò đặc quyền, bộ ngắt mạch tự động cho các chức năng đúc tiền và quản trị, và đồng hồ thông báo sự cố được hiệu chuẩn theo tiêu chuẩn nghiêm ngặt nhất hiện có.

Báo cáo nhấn mạnh các mục tiêu “thực tế” là nhận biết trong vòng 24 giờ, dán nhãn trong vòng 4 giờ và chặn trong 30 giây, với các mục tiêu “kỳ vọng” thấp tới mức 10 phút để phát hiện và 1 giây để chặn, dựa trên hướng dẫn từ dữ liệu Cuộc đua Rửa tiền năm 2025 của Global Ledger.

Ở lớp con người, Hacken gắn cờ các nhóm tin tặc Triều Tiên là mối đe dọa vận hành nhất quán nhất, với khoản lỗ 40 triệu USD của Step Finance và vụ vi phạm cơ sở hạ tầng của Bitrefill, mở rộng một kịch bản gồm tiếp cận VC giả mạo, công cụ cuộc gọi video độc hại và xâm nhập vào thiết bị đầu cuối của nhân viên, những phương thức đã rút khoảng 2,04 tỷ USD từ lĩnh vực này trong năm 2025.