Hack crypto chạm mốc 3,4 tỷ USD trong năm 2025, tấn công ví cá nhân gia tăng: Chainalysis

Theo công ty phân tích blockchain Chainalysis, tổng giá trị crypto bị đánh cắp từ tháng 1 đến đầu tháng 12 đã vượt 3,41 tỷ USD, tăng nhẹ so với mức 3,38 tỷ USD của năm ngoái.

Chỉ riêng một vụ tấn công — vụ hack sàn Bybit trị giá 1,5 tỷ USD — đã chiếm khoảng 44% tổng thiệt hại cả năm. Ba vụ tấn công lớn nhất cộng lại chiếm tới 69% tổng giá trị bị đánh cắp từ các dịch vụ, cho thấy mức độ nghiêm trọng ngày càng gia tăng của các vụ vi phạm quy mô lớn.

Chainalysis cho biết năm nay ghi nhận sự gia tăng đáng kể các cuộc tấn công nhằm vào ví crypto cá nhân và khóa riêng tư trên các dịch vụ crypto tập trung. Tỷ trọng giá trị bị đánh cắp từ các ví cá nhân đã tăng mạnh, từ 7,3% tổng số tiền bị đánh cắp năm 2022 lên 44% trong năm 2024.

Các vụ xâm phạm ví cá nhân đạt 158.000 trường hợp, ảnh hưởng đến ít nhất 80.000 nạn nhân khác nhau. Tuy nhiên, tổng giá trị bị đánh cắp từ cá nhân đã giảm xuống còn 713 triệu USD, so với 1,5 tỷ USD của năm trước. Điều này cho thấy tin tặc có xu hướng nhắm đến số tiền nhỏ hơn nhưng trên phạm vi người dùng rộng hơn. Ethereum và Tron ghi nhận tỷ lệ nạn nhân trên mỗi 100.000 ví cao hơn so với các mạng như Base hay Solana.

Các dịch vụ tập trung vẫn là mục tiêu dễ bị tấn công, bất chấp việc áp dụng các biện pháp bảo mật chuyên nghiệp, do nguy cơ bị lộ khóa riêng tư. Riêng trong quý I/2025, các cuộc tấn công dạng này chiếm tới 88% tổng giá trị crypto bị đánh cắp.

DeFi cho thấy tín hiệu cải thiện về bảo mật

Thiệt hại do hack trong lĩnh vực DeFi tiếp tục ở mức thấp, ngay cả khi tổng giá trị khóa (TVL) phục hồi. Đây là điểm khác biệt rõ rệt so với các chu kỳ trước, khi TVL tăng thường kéo theo số vụ tấn công thành công nhiều hơn. Theo Chainalysis, điều này có thể phản ánh những tiến bộ thực chất trong an ninh DeFi.

Sự cố Venus Protocol vào tháng 9/2025 được xem là minh chứng điển hình. Nhờ hợp tác với nền tảng giám sát bảo mật Hexagate, Venus đã phát hiện hoạt động bất thường trước 18 giờ, nhanh chóng tạm dừng hệ thống và thu hồi tài sản chỉ trong vài giờ.

Sau vụ tấn công, Venus thông qua cơ chế quản trị để đóng băng 3 triệu USD nằm trong quyền kiểm soát của kẻ tấn công, khiến đối tượng này thực tế còn chịu thua lỗ.

Chainalysis nhận định sự kết hợp giữa giám sát chủ động, khả năng phản ứng nhanh và các cơ chế quản trị có tính quyết đoán đã giúp hệ sinh thái DeFi trở nên linh hoạt và bền bỉ hơn. Dù các vụ tấn công vẫn xảy ra, khả năng phát hiện, phản ứng và thậm chí đảo ngược thiệt hại đánh dấu sự chuyển dịch căn bản so với giai đoạn đầu của DeFi, khi các vụ hack thành công thường đồng nghĩa với mất mát vĩnh viễn.

Triều Tiên lập kỷ lục mới về trộm cắp crypto

Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) tiếp tục là mối đe dọa lớn nhất đối với an ninh crypto, với tổng giá trị tài sản bị đánh cắp trong năm 2025 đạt ít nhất 2,02 tỷ USD — cao hơn 681 triệu USD so với năm 2024.

Tính lũy kế, các nhóm tin tặc được nhà nước Triều Tiên hậu thuẫn đã đánh cắp khoảng 6,75 tỷ USD crypto, phần lớn được cho là dùng để tài trợ cho chương trình phát triển vũ khí hạt nhân của nước này.

Theo Chainalysis, chiến thuật chủ đạo của Triều Tiên là cài cắm các nhân sự IT gian lận vào bên trong các dịch vụ crypto nhằm giành quyền truy cập đặc biệt vào thông tin hoặc nguồn vốn. Con số kỷ lục trong năm 2025 nhiều khả năng phản ánh mức độ phụ thuộc ngày càng lớn vào chiến lược xâm nhập nội bộ này.

Hoạt động rửa tiền của Triều Tiên có đặc điểm riêng, khi dòng tiền bị đánh cắp thường được chuyển qua các dịch vụ tiếng Trung, các cầu nối, mixer và những nền tảng chuyên biệt như Huione. Cách tiếp cận này khác với phần lớn các nhóm tin tặc khác, vốn ưu tiên giao thức lending, sàn không yêu cầu KYC và nền tảng P2P.

Dòng tiền thường được di chuyển theo các giai đoạn có cấu trúc rõ ràng, kéo dài khoảng 45 ngày. Trong 5 ngày đầu, tài sản được tách khỏi nguồn gốc thông qua các giao thức DeFi và mixer. Tuần thứ hai tập trung đưa dòng tiền hòa nhập vào hệ sinh thái rộng hơn bằng các sàn không KYC và cầu nối, đồng thời bắt đầu quá trình off-ramp. Từ ngày 20 đến 45, tin tặc Triều Tiên sử dụng các nền tảng tiếng Trung ít bị quản lý như Huione và một số sàn tập trung khác để hoàn tất việc chuyển đổi sang tiền pháp định hoặc tài sản khác.

Chainalysis cảnh báo rằng khi Triều Tiên tiếp tục sử dụng trộm cắp crypto để phục vụ mục tiêu quốc gia và né tránh các lệnh trừng phạt quốc tế, ngành công nghiệp cần nhận thức rõ đây là một mối đe dọa hoạt động theo những quy tắc hoàn toàn khác so với tội phạm mạng thông thường. Thách thức của năm 2026 sẽ là phát hiện và ngăn chặn các chiến dịch có tác động lớn này trước khi xảy ra thêm những sự cố quy mô như vụ Bybit.

• Chainalysis phản bác báo cáo của Binance về mức độ bất hợp pháp của crypto
• Chợ đen crypto trên Telegram đạt 2 tỷ USD/tháng cho người dùng Trung Quốc

Vương Tiễn