Người dân của chúng ta có nguy hiểm hơn tin tặc không? Tin tặc Bắc Triều Tiên lại tấn công, nhắm vào "văn hóa lỏng lẻo" của Web3

Từ vụ hack Ronin Bridge trị giá 625 triệu đô la năm 2022 đến nhiều vụ tấn công cấp cao năm 2025, tin tặc Triều Tiên đang coi thế giới crypto như một máy ATM. Theo Oak Security, một công ty an ninh mạng, họ không còn chỉ tấn công các hợp đồng thông minh có lỗ hổng nữa mà còn nhắm vào bộ phận dễ bị tổn thương nhất của đội ngũ Web3: con người. Trận chiến tấn công và phòng thủ này không còn là cuộc chiến giữa công nghệ với công nghệ nữa mà là cuộc chiến giằng co giữa văn hóa bảo mật và quản lý lỏng lẻo.

( Nhà họ Thủy rơi nước mắt! DEX Cetus chính Sui mất hơn 260 triệu đô la Mỹ, bốc hơi 83% TVL )

Tin tặc Triều Tiên sẽ ra sức đánh cắp thêm hàng tỷ đô la vào năm 2025

Tin tặc Triều Bối cảnh đang trở nên tích cực hơn. Chỉ riêng năm 2025, họ đã phát động một loạt các cuộc tấn công có độ chính xác cao vào ngành công nghiệp crypto, cố gắng đánh cắp tài sản và xâm nhập vào đội ngũ cốt lõi. Họ đã cố gắng đánh cắp tài sản trị giá lên tới 1,5 tỷ đô la từ sàn giao dịch Bybit , sử dụng các đơn xin việc giả để lấy mật khẩu tài khoản và đã rửa thành công hàng triệu đô la.

Ngoài ra, chúng còn phát động các cuộc tấn công bằng chương trình độc hại vào MetaMask và Trust Wallet, cố gắng xâm nhập vào sàn giao dịch bằng cách "ngụy trang thành người tìm việc" và thành lập các công ty bình phong tại Hoa Kỳ để nhắm mục tiêu cụ thể vào các nhà phát triển crypto.

Những cuộc tấn công này đang trở nên tinh vi hơn và phương pháp cũng đa dạng hơn, nhưng cốt lõi không phải là đột phá về công nghệ mà là nhắm vào các lỗ hổng trong "bảo mật hoạt động".

( Liệu tin tặc Triều Tiên có nhắm vào sàn giao dịch Đài Loan không? BitoPro đã mất 11,5 triệu đô la trong một vụ tấn công, bị nghi ngờ là cùng nhóm với vụ trộm 1,5 tỷ đô la Bybit )

Tin tặc không còn tìm kiếm lỗ hổng nữa mà tìm kiếm lỗi của con người

Đội ngũ Web3 đã tập trung vào bảo mật hợp đồng thông minh trong nhiều năm, nhưng thường bỏ qua các vấn đề bảo mật hoạt động (OPSEC) trong hoạt động của tổ chức. Các chuyên gia từ Oak Security chỉ ra rằng công ty đã tiến hành kiểm toán bảo mật trên hơn 600 dự án crypto và phát hiện ra rằng hầu hết đội ngũ hầu như không có biện pháp phòng thủ nào chống lại bảo mật hoạt động.

Những câu hỏi thường gặp bao gồm:

• Quản lý private key lỏng lẻo

• Những người đóng góp được đưa lên tàu thông qua Discord mà không cần xác minh danh tính

• Mã quan trọng được triển khai trực tiếp từ máy tính xách tay cá nhân crypto

• Quyết định quản lý và tài trợ được thực hiện thông qua bỏ phiếu Discord

Những sai lầm này khiến đội ngũ dự án dễ dàng trở thành mục tiêu tấn công.

Chỉ phòng thủ mã là không đủ để bảo vệ chống lại các cuộc tấn công hiện đại

Cho rằng quan niệm thông thường, "miễn là kiểm toán hợp đồng thông minh vượt qua, hệ thống sẽ an toàn", nhưng thực tế lại hoàn toàn ngược lại. Tin tặc thậm chí không cần phải vượt qua lỗ hổng zero-day của Solidity. Chúng có thể làm tê liệt toàn bộ dự án bằng cách xâm nhập vào một người trong cuộc.

Vào tháng 5 năm 2025, Coinbase phải đối mặt với rủi ro bồi thường và tống tiền từ 180 triệu đô la đến 400 triệu đô la do tin tặc hối lộ một nhân viên dịch vụ khách hàng ở nước ngoài, dẫn đến rò rỉ dữ liệu khách hàng. Phương pháp tương tự cũng đã được thử áp dụng cho Binance và Kraken.

Những sự cố này không phải là lỗi kỹ thuật mà là lỗi của con người.

Nhiệm vụ hàng ngày của Web3 đã trở thành thiên đường của hacker

Các hoạt động hàng ngày hiện tại của đội ngũ Web3 chính là giấc mơ của một hacker:

• Không có quy trình tuyển dụng chính thức

• Không có quản lý thiết bị và bảo vệ điểm cuối

• Biên bản cuộc họp quản trị và tài chính quan trọng được lưu trữ trong Google Docs hoặc Notion crypto

• Không có kế hoạch dự phòng khi sự cố xảy ra và chúng ta chỉ có thể dựa vào Discord để phối hợp tạm thời.

Điều đáng lo ngại hơn nữa là một số DAO quản lý tài sản giá hàng trăm triệu đô la, nhưng lại sử dụng hình thức bỏ phiếu Discord nghiệp dư và "chữ ký đa nhiệm cuối tuần" để quản trị, và lỗ hổng bảo mật giống như mở cửa cho trộm vậy.

Tài chính truyền thống có thể bảo vệ hàng tỷ đô tài sản như thế nào? Web3 vẫn còn nhiều điều phải học

Các tổ chức tài chính truyền thống (TradFi) cũng đối diện áp lực từ tin tặc Triều Tiên và các cuộc tấn công mạng toàn cầu, nhưng họ hiếm khi phải đóng cửa vì lý do này, mà dựa vào hệ thống phòng thủ có hệ thống và văn hóa an ninh trưởng thành.

Hệ thống nội bộ của ngân hàng bao gồm:

• Nhân viên không thể thực hiện giao dịch từ thiết bị cá nhân

• Quản lý danh tính và thiết bị nghiêm ngặt

• Phân công lao động và phân chia trách nhiệm rõ ràng

• Thực hành định kì các kế hoạch ứng phó tai nạn

Đây không chỉ là để tuân thủ mà còn là cách để cứu mạng người. Nếu Web3 thực sự muốn phát triển lâu dài, họ phải học hỏi từ những hệ thống này và xây dựng một khuôn khổ bảo mật toàn diện phù hợp với đặc điểm của phi tập trung.

Bảo mật không nên là một lựa chọn, Web3 cần một cuộc đại tu văn hóa hoàn chỉnh

Một số dự án tiên tiến đã được giới thiệu:

• Hướng dẫn OPSEC chuẩn hóa

• Mô phỏng đội đỏ

• Sử dụng ví phần cứng với quản trị đa chữ ký

• Cơ chế kiểm tra bối cảnh và xác minh danh tính

• Các chuyên gia an toàn và cố vấn bên ngoài được bố trí tại chỗ

Thật không may, những biện pháp như vậy vẫn chỉ là ngoại lệ chứ không phải là chuẩn mực trong ngành.

Phi tập trung không phải là cái cớ cho sự vô trách nhiệm

Một trong những lý do cốt lõi khiến bảo mật Web3 tụt hậu là mâu thuẫn giữa "phi tập trung" và "kiểm soát bảo mật". Nhiều đội ngũ không có đủ ngân sách, thanh khoản nhân viên cao và thậm chí là sự phản kháng về mặt văn hóa đối với bảo mật thông tin, cho rằng"thiết lập tường lửa là tập trung hóa".

Nhưng thực tế lại khắc nghiệt: tin tặc Triều Tiên đã xâm nhập vào hệ thống và nền kinh tế thế giới đang dần được xây dựng trên blockchain.

Nếu Web3 tiếp tục dung túng cho những hoạt động lỏng lẻo như vậy, tin tặc và các nhóm lừa đảo sẽ tiếp tục coi đây là "nguồn vốn vĩnh cửu". Để ngăn chặn tình trạng chảy máu, vấn đề không phải là viết mã hoàn hảo mà là thiết lập văn hóa bảo mật tổ chức trưởng thành hơn.

Khi chúng ta nói về tương lai của thanh toán crypto, thực ra chúng ta đang đặt ra một câu hỏi thiết yếu: Phương thức thanh toán nào là giải pháp thực sự cho thế giới crypto? Là thanh toán bằng thẻ hay rút tiền liền mạch mà không cần trao đổi trung gian? Bài viết này lấy quan điểm của ba bên tham gia thị trường để làm rõ câu hỏi và các câu trả lời tiềm năng.

Không phải là thất bại, mà là kết thúc của quá trình chuyển đổi: Tại sao Infini lại từ bỏ thẻ U?

Vài ngày trước, công ty khởi nghiệp thanh toán crypto Infini đã thông báo đóng cửa việc kinh doanh thẻ tài chính tiền crypto cá nhân (thẻ U), khiến thế giới bên ngoài vô cùng tiếc nuối. Tuy nhiên, đối với những người trong cuộc, đây dường như là tương lai có thể đã được dự đoán từ lâu.

( Infini thông báo đóng cửa dịch vụ thẻ tài chính tiền crypto: Liệu thẻ U có bị các kênh thanh toán tài chính truyền thống chặn không? )

Trong một cuộc phỏng vấn với BlockBeats ngày hôm qua, nhà đồng sáng lập Infini Junzhu cho biết mặc dù thẻ U có hiệu quả nhưng nó lại đi ngược lại với mục đích ban đầu của công ty là "giúp người dùng tạo ra lợi nhuận DeFi một cách đơn giản":

Thẻ U thực chất là đổi stablecoin lấy USD, sau đó quẹt vào hệ thống tài chính truyền thống. Đây là bước thụt lùi trong lịch sử.

Chi phí tuân thủ cao, quy trình hoàn tiền dài dòng và phức tạp, cùng thực tế là TVL không tăng trưởng đồng bộ với số lượng chủ thẻ cuối cùng đã khiến đội ngũ nhận ra rằng việc kinh doanh thẻ U thực chất là một tập phim đi chệch hướng: "Điều chúng ta nên làm là tập trung vào việc giúp người dùng quản lý tài sản."

Infini từ bỏ không phải vì nhu cầu thanh toán không tồn tại, mà vì họ nhận ra rằng "thẻ không phải là giải pháp cuối cùng, mà chỉ là sự thỏa hiệp với hiện trạng".

Kịch bản sử dụng thẻ U chỉ là giải pháp tạm thời và trong tương lai, thanh toán sẽ được thực hiện trực tiếp bằng stablecoin.

Thanh toán gốc stablecoin: hồi kết thực sự của thế giới crypto

Mục tiêu cuối cùng mà công chúa nói đến là "người dùng không còn cần phải rút tiền hoặc sử dụng thẻ, họ có thể thanh toán bằng cách gửi token từ ví của mình". Thoạt nghe có vẻ xa vời, nhưng từ các ứng dụng nhỏ Telegram đến JD.com của Trung Quốc, có vẻ như ngày càng nhiều nền tảng đang cố gắng tích hợp thanh toán bằng stablecoin vào trải nghiệm sản phẩm của riêng họ.

Colin Wu, tổng biên tập của Wu Blockchain, cũng nhận thấy trong lý thuyết ba lớp của mình rằng mặc dù "lớp trong cùng" của lĩnh vực crypto, đại diện cho hệ sinh thái bản địa trên Chuỗi(BTC, DeFi, v.v.), đã bão hòa, các ứng dụng "lớp thứ hai" như stablecoin, thanh toán và bù trừ vẫn có tiềm năng vô hạn:

Nhìn lại, đây là điều mà tài chính truyền thống ở "lớp thứ ba" không thể làm được. Lớp trong cùng cũng khó có thể tấn công ra bên ngoài, và nó chỉ giỏi ở những gì lớp thứ hai làm.

(Người sáng lập JD.com Liu Qiangdong có kế hoạch phát triển stablecoin: chi phí thanh toán xuyên biên giới giảm 90% và giao dịch được hoàn tất trong vòng 10 giây )

Bước đột phá này phải tránh mô hình sản phẩm sử dụng khẩu hiệu phi tập trung nhưng quay trở lại kiến ​​trúc truyền thống. Các khoản thanh toán gốc crypto thực sự phải được gửi, nhận và xác nhận trên Chuỗi và người dùng quyết toán ngay lập tức bằng stablecoin thay vì khấu trừ tiền từ thẻ và thanh toán với ngân hàng.

Rào cản tâm lý cũng quan trọng như rào cản kỹ thuật: Phần thưởng token thẻ tín dụng có phải là một ý tưởng hay không?

So với quan sát về sản phẩm và ngành của Princess và Colin, KOL crypto @VannaCharmer bắt đầu từ góc nhìn tài chính hành vi, lấy Coinbase One Card làm ví dụ, nhấn mạnh rằng "sử dụng điểm thẻ tín dụng để tự động đầu tư vào tài sản rủi ro cao" là một ý tưởng rất hay, lợi dụng ảo tưởng tâm lý của người dùng rằng "điểm không phải là tiền" để hạ thấp ngưỡng bước vào thế giới crypto:

Các chiến thuật tâm lý có hiệu quả, điểm thẻ tín dụng giống như "tiền miễn phí" mà ban đầu không phải của bạn. Mất 500 đô la điểm ít đau đớn hơn nhiều so với mất 500 đô la từ tài khoản đầu tư, mặc dù khái niệm là giống nhau.

( Coinbase và American Express ra mắt thẻ tín dụng, phí thường niên USD để được hưởng chiết khấu tiêu dùng BTC 4% và bảo hiểm du lịch )

Mặc dù đây không phải là sản phẩm thanh toán gốc crypto theo nghĩa rộng, nhưng đây vẫn là một nghiên cứu điển hình rất hay, cho thấy rằng để đạt được mục tiêu cuối cùng của thanh toán crypto, chúng ta không thể chỉ nói về công nghệ và phía thương nhân mà còn phải khiến người dùng sẵn sàng tham gia thị trường và dám sử dụng để đảm bảo tính phổ biến thực sự của nó.

Phá vỡ trung gian và hướng tới tương lai của thanh toán Chuỗi

Khi nghĩ về lời của công chúa "Chúng ta không nên để thanh toán crypto quay trở lại hệ thống ngân hàng", nó không chỉ đề cập đến thiết kế sản phẩm mà còn đề cập đến cách toàn bộ lĩnh vực crypto nên tự định nghĩa và con đường cần đi: liệu nó có nên tiếp tục sao chép lối chơi Web2 trên ranh giới của tài chính truyền thống không? Hay nó nên xây dựng lại hệ thống thanh toán và quyết toán của riêng mình?

( Viết sau khi ABCDE Capital rời đi: Khi các nhà đầu tư mạo hiểm lần lượt rời đi, liệu crypto có còn tương lai đáng xây dựng không? )

U Card không phải là một sai lầm, cũng không phải là câu trả lời cuối cùng, nhưng nó vẫn khuấy động khả năng thiết kế sáng tạo. Tôi mong chờ ngày mà thanh toán crypto được áp dụng rộng rãi trong tương lai và chúng ta không còn cần phải gọi cụ thể là "thanh toán crypto".