Một báo cáo gần đây của Kerberus, một công ty bảo mật Web3, cho rằng hành vi của con người hiện là rủi ro chính trong Web3.
BeInCrypto đã trao đổi với CEO của công ty, Alex Katz, và CTO, Danor Cohen, để tìm hiểu lý do tại sao người dùng tiếp tục trở thành nạn nhân của các cuộc tấn công và họ có thể làm gì để bảo vệ bản thân tốt hơn.
Báo cáo của Kerberus cho thấy lỗi của con người gây ra tổn thất lớn cho Web3
Trong báo cáo mới nhất có tựa đề “Yếu tố con người – Bảo vệ thời gian thực là tầng ẩn giấu của an ninh mạng Web3 (2025)”, Kerberus tiết lộ rằng các cuộc tấn công tập trung vào con người là yếu tố nguy hiểm nhất về mặt cấu trúc trong Web3.
Báo cáo trích dẫn dữ liệu cho thấy một phần đáng kể tổn thất trong ngành bắt nguồn từ lỗi của người dùng. Khoảng 44% vụ trộm tiền điện tử năm 2024 là do quản lý khóa riêng tư kém. Một nghiên cứu khác chỉ ra rằng lỗi của con người liên quan đến khoảng 60% các vụ vi phạm an ninh.
Với 820 triệu ví đang hoạt động vào năm 2025, bối cảnh đe dọa đang mở rộng nhanh chóng và mọi người đều có nguy cơ . Katz nói với BeInCrypto rằng những kẻ xấu đang nhắm mục tiêu vào cả người dùng mới và người dùng có kinh nghiệm, nhưng vì những lý do rất khác nhau.
Ông cho biết: “Người dùng mới rất hấp dẫn vì họ vẫn chưa hiểu hành vi Web3 'bình thường' trông như thế nào”.
Điều thú vị là vị giám đốc điều hành này lưu ý rằng những người dùng lâu năm đang ngày càng trở thành mục tiêu có giá trị cao hơn so với những người dùng mới. Theo ông,
“Người dùng kỳ cựu tương tác với nhiều Các ứng dụng phi tập trung (DAPPS) hơn, ký nhiều giao dịch hơn và chuyển số tiền lớn hơn. Điều đó có nghĩa là chỉ một khoảnh khắc chủ quan cũng có thể gây ra thiệt hại lớn hơn nhiều. Vì vậy, nhóm người có nguy cơ cao nhất hiện nay là bất kỳ ai cho rằng họ không gặp rủi ro.”
Cohen nói thêm rằng một trong những quan niệm sai lầm lớn nhất về Web3 là niềm tin rằng lỗi bảo mật xuất phát từ việc người dùng không hiểu công nghệ. Phân tích của ông lại chỉ ra điều ngược lại. Người dùng bị tấn công vì hệ thống đặt gánh nặng không thực tế lên họ.
“Người dùng nghĩ rằng, 'Tôi quá thông minh để bị rút cạn tiền, tôi biết cách ví hoạt động – tôi an toàn.' Nhưng bối cảnh mối đe dọa thay đổi nhanh hơn cả người dùng. Kẻ tấn công không cố gắng qua mặt ví của bạn; chúng đang cố gắng qua mặt bạn. Và chúng cực kỳ giỏi trong việc này. Điều mọi người hiểu lầm là Web3 đặt gánh nặng nhận thức rất lớn lên cá nhân. Người dùng không nên phải giải mã các tín hiệu kỹ thuật để giữ an toàn – bảo mật phải tự động hoạt động vì họ”, ông nói.
Tại sao ngay cả người dùng Web3 thông minh vẫn bị cạn kiệt vào năm 2025
Những rủi ro do con người gây ra này vẫn tồn tại bất chấp chi tiêu kỷ lục cho an ninh mạng trong năm 2025. Báo cáo của Kerberus cho biết các dịch vụ và nhà đầu tư liên quan đến tiền điện tử đã mất hơn 3,1 tỷ đô la do các vụ tấn công và lừa đảo trong nửa đầu năm . Con số này đã lớn hơn tổng thiệt hại của cả năm 2024.
Con số này bao gồm cả vụ tấn công Bybit lịch sử . Nếu không tính đến khoản này, các cuộc tấn công nhắm vào con người như lừa đảo và kỹ thuật xã hội vẫn gây thiệt hại 600 triệu đô la, chiếm 37% trong tổng số 1,64 tỷ đô la thiệt hại còn lại.
Báo cáo lưu ý rằng các cuộc tấn công này ngày càng mở rộng theo sự gia tăng ứng dụng và hoàn toàn vượt qua các biện pháp phòng thủ kỹ thuật. Điều này khiến các mô hình bảo mật truyền thống khó có thể ngăn chặn chúng.
Trong khi các công ty đầu tư mạnh vào kiểm toán, giám sát và đánh giá mã , kẻ tấn công ngày càng khai thác người dùng trực tiếp ở cấp độ giao dịch. Nhưng điều gì khiến con người dễ bị tấn công như vậy?
“Con người dễ bị tổn thương bởi mọi trò lừa đảo đều được thiết kế để khai thác những lối tắt tâm lý tự nhiên — sự cấp bách, uy quyền, sự quen thuộc, nỗi sợ bỏ lỡ, hoặc sự thoải mái với thói quen. Đây không phải là khuyết điểm; chúng chính là những bản năng cho phép chúng ta hoạt động trong cuộc sống hàng ngày. Công nghệ đơn thuần không thể thay đổi tâm lý con người, nhưng nó có thể nắm bắt được khoảnh khắc tâm lý bị lợi dụng”, Cohen giải thích.
Ông nhấn mạnh rằng hình thức bảo vệ mạnh nhất không phải chỉ dựa vào việc người dùng tránh sai lầm thông qua giáo dục mà là ngăn chặn các hành động có hại ngay lập tức trước khi thiệt hại xảy ra.
“Đó là lý do tại sao việc phát hiện theo thời gian thực lại quan trọng đến vậy. Nếu bạn có thể cảnh báo người dùng ngay tại thời điểm lòng tin của họ bị thao túng, bạn có thể ngăn chặn hầu hết các tổn thất trước khi chúng xảy ra”, Cohen nói thêm.
Vị giám đốc điều hành lưu ý rằng việc mong đợi người dùng thông thường phân biệt được đâu là dApp độc hại, đâu là Airdrop, đâu là trang đào Mint là không thực tế. Các nền tảng lừa đảo hiện đại thường rất giống với các nền tảng hợp pháp. Điều này khiến chúng gần như không thể phân biệt được.
Ông nói thêm rằng người dùng có thể nhấp vào liên kết lừa đảo nhiều lần. Họ làm vậy không phải do bất cẩn, mà là do các cuộc tấn công được thiết kế có chủ đích để lừa đảo.
Ngay cả những cảnh báo theo thời gian thực đôi khi cũng có thể là kết quả dương tính giả, cho thấy bản chất tinh vi của những trò lừa đảo này.
"Người dùng không nên bị yêu cầu phải thực hiện kiểm tra pháp y. Gánh nặng phải chuyển sang các công cụ phân tích ý định và hành vi theo thời gian thực", Cohen đề xuất.
Báo cáo cũng nêu rõ rằng các cuộc tấn công này lợi dụng những thời điểm người dùng ít có khả năng đánh giá mối đe dọa nhất. Điều này có thể xảy ra khi ai đó kiểm tra ví trong lúc đang làm việc, phản hồi tin nhắn khẩn cấp thông báo tài khoản của họ sẽ bị đóng băng, hoặc chấp thuận một giao dịch vào cuối một ngày dài khi họ đã kiệt sức.
Theo kết quả nghiên cứu, phản ứng của ngành phần lớn là bổ sung thêm cảnh báo và các bước xác minh. Tuy nhiên, cách tiếp cận này thường phản tác dụng do “sự mệt mỏi về bảo mật”. Khi người dùng quen với các cảnh báo liên tục - nhiều trong số đó là báo động giả chỉ làm chậm họ - khả năng đưa ra quyết định thận trọng của họ sẽ giảm sút dưới áp lực nhận thức liên tục.
3 hành động người dùng có thể thực hiện để an toàn hơn trên Web3
Để giảm thiểu tổn thất thực tế, Katz đã tiết lộ ba biện pháp mà người dùng có thể áp dụng. Ông khuyên người dùng nên:
- Tạm dừng trước khi ký: Hầu hết các vụ xâm phạm xảy ra trong vòng chưa đầy mười giây. Chỉ cần dành một chút thời gian để đọc lời nhắc hoặc xác nhận xem yêu cầu có phù hợp với hành động dự định hay không cũng có thể ngăn chặn phần lớn các cuộc tấn công thành công.
- Tách biệt tài sản giá trị cao khỏi hoạt động hàng ngày: Sử dụng nhiều ví vẫn là một trong những biện pháp bảo vệ hiệu quả nhất. Ông đề xuất người dùng nên giữ tài sản nắm giữ lâu dài của mình trong ví lạnh hoặc ví ít tiếp xúc và sử dụng ví riêng cho việc khám phá, đào coin và Các ứng dụng phi tập trung (DAPPS). Việc phân chia này giúp hạn chế thiệt hại tiềm ẩn.
- Dựa vào bảo vệ giao dịch theo thời gian thực: Vì nhiều mối đe dọa liên quan đến kỹ thuật xã hội hơn là khai thác kỹ thuật, người dùng được hưởng lợi từ các công cụ diễn giải các hành động on-chain trước khi chúng được hoàn tất. Lớp phòng thủ duy nhất này ngăn chặn nhiều hình thức lừa đảo tinh vi hơn.
Ông nhấn mạnh, mục đích không phải là biến người dùng thành chuyên gia bảo mật mà là xây dựng các rào cản ngăn ngừa sai sót dẫn đến tổn thất tài chính.
