Do giới hạn về không gian, bài viết này chỉ liệt kê những nội dung chính của báo cáo phân tích. Nội dung đầy đủ có thể tải xuống qua liên kết sau.
Tiếng Trung : https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(CN).pdf
Tiếng Anh: https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(EN).pdf
1. Giới thiệu
Trong nửa đầu năm 2025, trong khi ngành công nghiệp blockchain đang phát triển với tốc độ cao, thì nó cũng đang chịu áp lực từ các mối đe dọa bảo mật ngày càng phức tạp và các thách thức về tuân thủ. Một mặt, các cuộc tấn công hacker vẫn tiếp tục diễn ra, các phương thức tấn công của các tổ chức APT có xu hướng theo mô-đun và có hệ thống, các cuộc tấn công Phishing và kỹ thuật xã hội đang lan tràn, gây ra tổn thất tài sản lớn và khủng hoảng lòng tin của người dùng. Mặt khác, sự giám sát toàn cầu đang tăng tốc và các chính phủ và tổ chức quốc tế thường xuyên ban hành các quy định mới về chống rửa tiền, trừng phạt và bảo vệ nhà đầu tư. Điều đáng chú ý là stablecoin đang dần phát triển thành cơ sở hạ tầng quan trọng kết nối tài chính truyền thống và tài chính Chuỗi chuỗi, và các tổ chức tài chính toàn cầu lớn và các nền tảng crypto hàng đầu đang đẩy nhanh việc bố trí chiến lược của stablecoin. Ngoài ra, mô hình dòng vốn thị trường chợ đen tiếp tục phát triển, công nghệ theo dõi Chuỗi và các cơ chế hợp tác tình báo tiếp tục phát triển, các cơ quan quản lý và nền tảng hàng đầu đang hợp tác chặt chẽ hơn và các trường hợp đóng băng và thu hồi tiền đã tăng lên đáng kể, tạo thành một biện pháp răn đe mạnh mẽ hơn đối với tội phạm Chuỗi và các quỹ bất hợp pháp.
Là đơn vị tiên phong trong lĩnh vực bảo mật blockchain, SlowMist tiếp tục tăng cường nỗ lực của mình trong lĩnh vực tình báo mối đe dọa, giám sát tấn công, theo dõi và hỗ trợ tuân thủ. Trong bối cảnh này, báo cáo này tập trung vào các sự cố bảo mật lớn, diễn biến pháp lý toàn cầu và xu hướng chống rửa tiền Chuỗi trong nửa đầu năm 2025. Hy vọng rằng báo cáo này có thể cung cấp tham khảo về tuân thủ bảo mật kịp thời, có hệ thống và sâu sắc cho người hành nghề trong ngành, các nhà nghiên cứu bảo mật và các nhà quản lý tuân thủ, đồng thời nâng cao khả năng xác định, ứng phó và dự đoán rủi ro của họ.
2. Tình hình bảo mật Blockchain
Đánh giá sự cố bảo mật
Trong nửa đầu năm 2025, lĩnh vực blockchain vẫn phải đối mặt với những thách thức nghiêm trọng về bảo mật. Theo số liệu thống kê chưa đầy đủ từ kho lưu trữ sự cố tấn công blockchain SlowMist (SlowMist Hacked), đã có 121 sự cố bảo mật trong nửa đầu năm, gây ra thiệt hại khoảng 2,373 tỷ đô la Mỹ. So với nửa đầu năm 2024 (tổng cộng 223 sự cố, thiệt hại khoảng 1,43 tỷ đô la Mỹ), mặc dù số lượng sự cố đã giảm, nhưng tổng số tiền thiệt hại đã tăng trưởng khoảng 65,94% so với cùng kỳ năm trước.
Lưu ý: Dữ liệu trong báo cáo này dựa trên giá token tại thời điểm xảy ra sự cố. Do các yếu tố như biến động giá tiền tệ, một số sự kiện không được tiết lộ và thực tế là tổn thất của người dùng thông thường không được đưa vào thống kê, nên tổn thất thực tế phải cao hơn kết quả thống kê.
(https://hacked.slowmist.io/)
1. Từ góc độ sinh thái
Ethereum vẫn là đồng tiền bị tấn công nặng nề nhất, với mức thiệt hại khoảng 38,59 triệu đô la, tiếp theo là Solana với mức thiệt hại khoảng 5,8 triệu đô la và BSC với mức thiệt hại khoảng 5,49 triệu đô la.
2. Theo góc độ loại dự án
DeFi là loại hình bị tấn công thường xuyên nhất. Trong nửa đầu năm 2025, có 92 sự cố bảo mật loại DeFi, chiếm 76,03% tổng số sự cố (121), với thiệt hại lên tới 470 triệu đô la. So với nửa đầu năm 2024 (tổng cộng 158 sự cố, với thiệt hại khoảng 659 triệu đô la), mức thiệt hại giảm 28,67% so với cùng kỳ năm ngoái. Con số lớn thứ hai là các sự cố liên quan đến nền tảng sàn giao dịch, với tổng cộng 11 sự cố, nhưng số tiền thiệt hại lên tới 1,883 tỷ đô la. Trong đó, Bybit là sàn bị tấn công nghiêm trọng nhất, với một sự cố duy nhất gây thiệt hại khoảng 1,46 tỷ đô la.
3. Theo góc nhìn về quy mô tổn thất
Trong nửa đầu năm, có hai sự cố gây thiệt hại hơn 100 triệu đô la và mười vụ tấn công lớn nhất gây thiệt hại tổng cộng 2,018 tỷ đô la.
4. Từ nguyên nhân của cuộc tấn công
Số lượng sự cố bảo mật lớn nhất là do tin tặc tấn công tài khoản, lên tới 42, tiếp theo là các sự cố bảo mật do lỗ hổng hợp đồng, lên tới 35.
Chiến thuật gian lận
Ngoài việc tấn công trực tiếp vào các dự án hoặc giao thức, "lừa đảo" xung quanh người dùng thông thường cũng đang phát triển nhanh chóng. Phần này chọn một số phương pháp lừa đảo điển hình hoặc mới đáng được chú ý đặc biệt trong nửa đầu năm 2025.
1. Phishing bằng EIP-7702
Loại tấn công Phishing này lợi dụng sự thay đổi trong cơ chế ủy quyền do EIP-7702 mang lại - địa chỉ EOA của người dùng có thể được ủy quyền cho một hợp đồng nhất định, mang lại cho nó các đặc điểm của hợp đồng này (như chuyển hàng loạt, ủy quyền hàng loạt, thanh toán gas , v.v.). Nếu người dùng ủy quyền địa chỉ cho một hợp đồng độc hại, sẽ có rủi ro. Nếu người dùng ủy quyền địa chỉ cho một hợp đồng thông thường, nhưng các đặc điểm của hợp đồng bị trang web Phishing khai thác một cách độc hại, cũng sẽ có rủi ro. Ngoài ra, một số công cụ chống Phishing không thể nắm bắt chính xác rủi ro của hoạt động ủy quyền hàng loạt, điều này cũng tạo ra cơ hội cho các băng nhóm Phishing.
2. Sử dụng Độ sâu ngụy tạo lừa đảo
Với sự phát triển nhanh chóng của công nghệ trí tuệ nhân tạo tạo sinh, "gian lận lòng tin" sử dụng ngụy tạo độ sâu đã nhanh chóng xuất hiện. Bản chất của loại gian lận này là kẻ tấn công sử dụng các công cụ tổng hợp AI ngụy tạo hình ảnh âm thanh và video của những người sáng lập dự án có tiếng, giám đốc điều hành sàn giao dịch hoặc KOL cộng đồng để hướng dẫn công chúng đầu tư vào các dự án; hoặc thông qua hướng dẫn của các chuyên gia bảo mật giả mạo, dụ dỗ nạn nhân tiếp tục ủy quyền và chuyển tiền; thậm chí tệ hơn, kẻ tấn công sử dụng công nghệ Deepfake kết hợp với ảnh của nạn nhân tạo ra hình ảnh động, cố gắng vượt qua hệ thống KYC của sàn giao dịch hoặc nền tảng ví, sau đó kiểm soát tài khoản và đánh cắp tài sản. Những nội dung ngụy tạo này thường cực kỳ giống thật, khiến người dùng thông thường khó phân biệt được tính xác thực.
3. Lừa đảo Telegram giả mạo Safeguard
Vào đầu năm 2025, lượng lớn người dùng đã gặp phải trò lừa đảo Safeguard giả mạo trên nền tảng Telegram , cuối cùng dẫn đến trộm cắp tài sản hoặc đầu độc thiết bị. Loại lừa đảo này tập trung vào việc dụ người dùng thực thi mã độc trong bảng tạm, sử dụng các tình huống có tần suất cao như airdrop token và bài đăng KOL giả để tạo ra một mạng lưới rộng, gây ra hậu quả nghiêm trọng về bảo mật. Ngay cả những người chơi có kinh nghiệm cũng có thể mắc bẫy tâm lý về FOMO và "xác minh chính thức".
4. Mở rộng trình duyệt độc hại
Mở rộng trình duyệt độc hại luôn là một trong những phương pháp gian lận phổ biến trong không gian crypto. Kẻ tấn công ngụy trang thành "công cụ bảo mật Web3" hoặc sử dụng cơ chế cập nhật tự động plug-in để đánh cắp dữ liệu và thao túng quyền trên thiết bị của người dùng, thậm chí lừa người dùng thực hiện các hoạt động nhạy cảm, ẩn và khó hiểu hơn.
5. Phishing tuyển dụng trên LinkedIn
Từ năm 2025, các vụ lừa đảo dưới danh nghĩa tuyển dụng và tiêm mã độc đã gia tăng, đặc biệt là trên các nền tảng xã hội chuyên nghiệp như LinkedIn, trở thành mối đe dọa mới đối với cộng đồng kỹ sư. Loại tấn công này thường áp dụng chiến lược kết hợp "đóng gói chuyên nghiệp + tấn công chính xác", với mức độ ngụy trang cao.
6. Tấn công kỹ thuật xã hội
Trong nửa đầu năm 2025, các cuộc tấn công kỹ thuật xã hội tiếp tục xảy ra thường xuyên trong ngành công nghiệp crypto và các phương thức tấn công trở nên tinh vi và bí mật hơn, đặc biệt là các trường hợp kết hợp lạm dụng quyền nền tảng nội bộ với gian lận chính xác bên ngoài, thu hút sự chú ý rộng rãi. Trong đó, các cuộc tấn công kỹ thuật xã hội mà người dùng Coinbase gặp phải đặc biệt điển hình. Kể từ đầu năm, lượng lớn người dùng Coinbase đã báo cáo rằng họ nhận được cuộc gọi từ "dịch vụ khách hàng chính thức" và bị dụ chuyển tiền vào cái gọi là "ví an toàn". Vào ngày 15 tháng 5, Coinbase chính thức đưa ra thông báo xác nhận rằng "nhân viên nội bộ bị nghi ngờ làm rò rỉ thông tin khách hàng" và tuyên bố rằng họ đang hợp tác với Bộ Tư pháp Hoa Kỳ (DOJ) để điều tra. Kết quả điều tra cho thấy hacker đã hối lộ nhân viên dịch vụ khách hàng ở nước ngoài để có được quyền hệ thống và đánh cắp thông tin KYC bao gồm tên, địa chỉ và địa chỉ email. Mặc dù không liên quan đến mật khẩu người dùng, private key và số dư tài khoản, nhưng nó đủ để thực hiện một quy trình gian lận cực kỳ thực tế. Những kẻ lừa đảo thậm chí còn yêu cầu Coinbase trả tiền chuộc 20 triệu đô la.
7. Đầu độc cửa sau các công cụ AI giá rẻ
Những kẻ tấn công đã sử dụng mồi nhử "gọi API công cụ AI với mức giá thấp nhất trên Internet"thu hút người dùng trên các nền tảng video ngắn và dụ dỗ các nhà phát triển cài đặt các gói npm độc hại có tên là sw-cur, aiide-cur, sw-cur1, v.v. Sau khi các gói phụ thuộc này được thực thi, chúng sẽ can thiệp độ sâu vào ứng dụng Cursor cục bộ, cấy cửa hậu và chiếm quyền điều khiển từ xa hoàn cảnh mã, không chỉ đánh cắp thông tin đăng nhập mà còn biến thiết bị thành "zombie" dưới sự kiểm soát của kẻ tấn công trong một thời gian dài. Theo thống kê , hơn 4.200 nhà phát triển được biết là bị ảnh hưởng, chủ yếu tập trung ở nhóm sử dụng MacOS.
8. Mô hình ngôn ngữ lớn không hạn chế (LLM)
Cái gọi là "LLM không hạn chế" đề cập đến các mô hình đã được cố tình sửa đổi hoặc "bẻ khóa" để vượt qua các cơ chế bảo mật và hạn chế về mặt đạo đức của các mô hình chính thống. Các nhà sản xuất chính thống đã đầu tư lượng lớn nguồn lực để ngăn chặn các mô hình được sử dụng để tạo ra lời nói thù địch, thông tin sai lệch, mã độc hại hoặc hướng dẫn bất hợp pháp, trong khi một số tội phạm cố tình phát triển hoặc lạm dụng các mô hình ít hạn chế này cho tội phạm mạng. Trong lĩnh vực crypto , việc lạm dụng mô hình này đang hạ thấp ngưỡng tấn công. Kẻ tấn công có thể lấy được tỷ trọng mô hình mã nguồn mở và mã nguồn, sau đó tinh chỉnh chúng thông qua các tập dữ liệu chứa nội dung độc hại để tạo ra các công cụ gian lận tùy chỉnh. Loại mô hình này có thể được sử dụng để tạo email Phishing , mã độc hại, lời lẽ gian lận, v.v. và ngay cả những người không có kinh nghiệm lập trình cũng có thể dễ dàng bắt đầu.
3. Tình hình chống rửa tiền
Phần này được chia thành bốn phần: động lực quản lý toàn cầu, dữ liệu đóng băng và hoàn trả tiền, động lực tổ chức và công cụ trộn tiền tệ.
Chống rửa tiền và các diễn biến pháp lý
Trong nửa đầu năm 2025, các quốc gia đã rõ ràng trở nên trưởng thành hơn và thể chế hóa hơn trong việc quản lý tài sản kỹ thuật số. Từ việc quản lý giấy phép nền tảng crypto, khuôn khổ quản lý stablecoin, đến việc tăng cường các hệ thống chống rửa tiền, đến các hạn chế đối với tiền điện tử riêng tư và giao dịch P2P, thế giới đang hình thành một mạng lưới quản lý tài chính crypto ngày càng tinh vi.
Quỹ đóng băng/trả lại dữ liệu
Trong nửa đầu năm 2025, Tether đóng băng tài sản USDT-ERC20 dữ liệu 209 địa chỉ ETH. (Nguồn dữ liệu: https://dune.com/phabc/usdt—banned-addresses )
Trong nửa đầu năm 2025, Circle đóng băng tài sản USDC-ERC20 dữ liệu 44 địa chỉ ETH. (Nguồn dữ liệu: https://dune.com/phabc/usdc-banned-addresses )
Trong nửa đầu năm 2025, có 9 vụ việc tiền bị mất được phục hồi hoặc đóng băng sau khi bị tấn công. Trong 9 vụ việc này, tổng số tiền bị đánh cắp là khoảng 1,73 tỷ đô la Mỹ, trong đó gần 270 triệu đô la Mỹ được trả lại/ đóng băng, chiếm 11,38% tổng số tiền bị mất trong nửa đầu năm. Tỷ lệ này không thể tách rời khỏi việc cải thiện liên tục khả năng phản ứng hợp tác bên long và khả năng theo dõi Chuỗi.
Ngoài ra, với sự hỗ trợ mạnh mẽ của mạng lưới hợp tác tình báo mối đe dọa SlowMist InMist Lab, trong nửa đầu năm 2025, SlowMist đã hỗ trợ khách hàng, đối tác và các vụ tấn công mạng công khai đóng băng và thu hồi số tiền khoảng 14,56 triệu đô la Mỹ.
Đáng chú ý là vào ngày 15 tháng 4, nền tảng giao dịch hợp đồng vĩnh viễn phi tập trung KiloEX đã bị hacker và mất khoảng 8,44 triệu đô la Mỹ. Sau sự cố, SlowMist đã ngay lập tức tổ chức một nhóm bảo mật để ứng phó và làm việc với KiloEx để sắp xếp đường đi của cuộc tấn công và dòng vốn. Đồng thời, dựa vào nền tảng phân tích và theo dõi chống rửa tiền trên Chuỗi MistTrack (https://misttrack.io/) do chính mình phát triển và mạng lưới tình báo mối đe dọa InMist, đã hoàn tất rút thông tin và đặc điểm của kẻ tấn công và hỗ trợ bên dự án trong nhiều vòng đàm phán với kẻ tấn công. Cuối cùng, với sự hợp tác của SlowMist và bên long, tất cả tài sản 8,44 triệu đô la Mỹ đã được thu hồi thành công chỉ sau 3,5 ngày kể từ khi sự cố xảy ra và KiloEx đã đạt được thỏa thuận tiền thưởng Mũ trắng 10% với kẻ tấn công.
(https://etherscan.io/idm?addresses=0x00fac92881556a90fdb19eae9f23640b95b4bcbd%2C0x1D568fc08a1d3978985bc3e896A22abD1222ABcF%2C&type=1)
Tin tức tổ chức
1. Nhóm Lazarus
Phần này chủ yếu giới thiệu cách thức hoạt động của tổ chức hacker Triều Tiên Lazarus Group, một số vụ việc liên quan xảy ra trong nửa đầu năm 2025 và phân tích các phương pháp rửa tiền của Lazarus Group bằng cách lấy vụ việc trộm cắp Bybit làm ví dụ.
2. Máy thoát nước
Phần này được viết bởi đối tác của chúng tôi, nền tảng chống gian lận Web3 Scam Sniffer ( https://www.scamsniffer.io/ ) và chúng tôi muốn bày tỏ lòng biết ơn.
Trong nửa đầu năm 2025, hệ sinh thái Web3 đã bị đe dọa bởi các cuộc tấn công Phishing , gây ra tổng thiệt hại khoảng 39,73 triệu đô la và 43.628 địa chỉ nạn nhân. Phần này phân tích các xu hướng chính và các trường hợp tấn công Wallet Drainer quy mô lớn trong nửa đầu năm 2025 để cung cấp tham khảo về bảo mật cho người hành nghề và người dùng trong ngành.
3. Thanh toán Huione
Khi cuộc chiến toàn cầu chống lại gian lận trực tuyến, mạng lưới thanh toán ngầm và rửa tiền xuyên biên giới bất hợp pháp tiếp tục gia tăng, một nền tảng có tên HuionePay đã thu hút sự chú ý lớn từ các cơ quan quản lý. Nền tảng này bị nghi ngờ được sử dụng để nhận, chuyển và rút tiền gian lận, đặc biệt là các hoạt động thường xuyên Chuỗi thông qua USDT trên Chuỗi TRON . SlowMist đã xây dựng bảng thống kê dữ liệu Dune dựa trên công cụ theo dõi và chống rửa tiền Chuỗi MistTrack và dữ liệu công khai Chuỗi , và trên cơ sở này đã tiến hành phân tích chuyên sâu về hành vi gửi và rút USDT của HuionePay trên Chuỗi TRON . Phạm vi thời gian dữ liệu là từ ngày 1 tháng 1 năm 2024 đến ngày 23 tháng 6 năm 2025, nguồn dữ liệu: https://dune.com/misttrack/huionepay-data .
Dụng cụ trộn tiền xu
1. Tiền mặt Tornado
Trong nửa đầu năm 2025, người dùng đã gửi tổng cộng 254.094 ETH (khoảng 605.272.821 đô la Mỹ) vào Tornado Cash và rút tổng cộng 248.922 ETH (khoảng 584.998.160 đô la Mỹ) từ Tornado Cash; hoạt động gửi và rút tiền tương đối sôi động vào tháng 5 và tháng 6.
(https://dune.com/misttrack/first-half-of-2025-stats)
2. Hành trình
Trong nửa đầu năm 2025, người dùng đã gửi tổng cộng 28.756 ETH (khoảng 82.193.535 đô la Mỹ) vào eXch và tổng cộng 73.482.393 ERC20 (khoảng 73.482.393 đô la Mỹ) vào eXch; giá trị tiền gửi đạt đỉnh là 1,94 triệu đô la Mỹ vào đầu tháng 3 và sau đó đã bị dừng vào ngày 30 tháng 4 do bị tịch thu.
(https://dune.com/misttrack/first-half-of-2025-stats)
IV. Kết luận
Trong nửa đầu năm 2025, toàn bộ ngành công nghiệp blockchain vẫn tiếp tục tuân theo ba từ khóa chính là tuân thủ, ổn định và bảo mật. Các cuộc tấn công hacker vẫn xảy ra thường xuyên, đặc biệt là ví nóng của các bên dự án và Phishing của nhân viên xã hội vẫn là những lĩnh vực bị ảnh hưởng nặng nề nhất; nhưng tương ứng, các khả năng bảo mật như theo dõi Chuỗi và đóng băng tiền không ngừng phát triển. Mặt khác, giám sát tuân thủ toàn cầu đang tăng tốc và Hồng Kông, Trung Quốc, Hoa Kỳ, Liên minh Châu Âu và các nơi khác đã ban hành các quy tắc chi tiết một cách mạnh mẽ và xu hướng "tuân thủ là tiếp cận" trong ngành đang ngày càng rõ ràng hơn. Nhìn chung, ngành công nghiệp đang dần thoát khỏi giai đoạn mở rộng ban đầu và chuyển sang hướng "dựa trên tuân thủ, hướng đến an toàn và dựa trên sự ổn định". Cạnh tranh ngày càng tập trung vào việc ai có thể tồn tại lâu hơn và ổn định hơn trong hệ thống giám sát tuân thủ.
V. Tuyên bố miễn trừ trách nhiệm
Nội dung của báo cáo này dựa trên hiểu biết của chúng tôi về ngành công nghiệp blockchain , hỗ trợ dữ liệu của SlowMist Hacked, kho lưu trữ blockchain bị hack SlowMist và MistTrack, hệ thống theo dõi chống rửa tiền. Tuy nhiên, do bản chất " nặc danh " của blockchain , chúng tôi không thể đảm bảo tính chính xác tuyệt đối của tất cả dữ liệu , cũng như không chịu trách nhiệm về các lỗi, thiếu sót hoặc tổn thất do sử dụng báo cáo này trong đó . Đồng thời, báo cáo này không cấu thành cơ sở cho bất kỳ lời khuyên đầu tư hoặc phân tích nào khác. Nếu có thiếu sót và thiếu sót trong báo cáo này, bạn có thể chỉ trích và sửa chữa.
