Nguyên gốc

Báo cáo an ninh thường niên của CertiK: Thiệt hại do tấn công mạng Web3 dự kiến ​​tăng 37% so với năm trước vào năm 2025, các cuộc tấn công Phishing và sự cố Chuỗi cung ứng trở thành mối đe dọa lớn.

avatar
CertiK
12-24
Bài viết này được dịch máy
Xem bản gốc

Ngày 23 tháng 12, CertiK, công ty bảo mật Web3 lớn nhất thế giới, đã phát hành "Báo cáo bảo mật Web3 Skynet Hack3D năm 2025", trong đó đánh giá một cách có hệ thống các sự cố bảo mật lớn và xu hướng rủi ro trong lĩnh vực Web3 trong năm qua. Báo cáo chỉ ra rằng ngành công nghiệp Web3 đang tăng tốc phát triển trong bối hoàn cảnh thị trường phục hồi và kỳ vọng pháp lý rõ ràng hơn, nhưng rủi ro bảo mật vẫn chưa được giảm thiểu tương ứng và vẫn phải đối mặt với những thách thức bảo mật mang tính hệ thống.

Báo cáo cho thấy 630 sự cố an ninh đã xảy ra trong lĩnh vực Web3 vào năm 2025, dẫn đến tổng thiệt hại khoảng 3,35 tỷ đô la Mỹ, tăng trưởng 37% so với năm 2024. Mặc dù số lượng sự cố giảm 137 so với năm lần, nhưng thiệt hại trung bình mỗi cuộc tấn công đạt 5,322 triệu đô la Mỹ, tăng 66,6% so với năm trước, cho thấy xu hướng tin tặc tập trung vào các mục tiêu có giá trị cao.

Các vụ tấn công Chuỗi cung ứng làm tăng thiệt hại hàng năm.

Xét về loại hình tấn công, các cuộc tấn công Chuỗi cung ứng nổi lên là nguồn rủi ro thiệt hại lớn nhất trong năm 2025. Mặc dù chỉ có hai sự cố như vậy được ghi nhận trong suốt cả năm, nhưng tổng thiệt hại tích lũy đã lên tới 1,45 tỷ đô la, chiếm gần một nửa tổng thiệt hại của năm. Sự cố Bybit trong đó tháng Hai chiếm phần lớn trong số những thiệt hại này.

Theo báo cáo, sự cố bảo mật mà Bybit gặp phải vào tháng 2 năm 2025 đã gây thiệt hại khoảng 1,4 tỷ đô la, cho rằng một trong những vụ đánh cắp tài sản crypto lớn nhất cho đến nay. Những kẻ tấn công không trực tiếp xâm nhập hệ thống sàn giao dịch, mà thay vào đó đã vượt qua nhiều cơ chế phê duyệt bằng cách xâm nhập vào hoàn cảnh phát triển của nhà cung cấp dịch vụ ví đa chữ ký bên thứ ba và cài đặt mã độc vào quy trình ký điện tử.

Trong báo cáo, CertiK chỉ ra rằng các sự cố tương tự phản ánh việc tin tặc đang tập trung nguồn lực vào các nhà cung cấp dịch vụ quan trọng và các công cụ nền tảng, thay vì chỉ tập trung vào một giao thức duy nhất, và rằng an ninh Chuỗi cung ứng đã trở thành một rủi ro mang tính hệ thống không thể bỏ qua.

Các cuộc tấn công Phishing đang hoành hành, và trí tuệ nhân tạo (AI) đang đóng vai trò như một "công cụ khuếch đại".

Về tần suất tấn công, tấn Phishing) vẫn là mối đe dọa an ninh phổ biến nhất trong năm 2025. Báo cáo cho thấy tổng cộng 248 vụ tấn công Phishing đã được ghi nhận trong suốt năm, gây thiệt hại khoảng 723 triệu đô la, nhiều hơn một chút so với số vụ tấn công lỗ hổng mã nguồn (240 vụ).

Điều đáng chú ý là CertiK cho rằng con số này vẫn có thể bị đánh giá thấp. Lượng lớn các vụ Phishing nhắm vào người dùng cá nhân không được báo cáo, đặc biệt là các cuộc tấn công kỹ thuật xã hội với thiệt hại nhỏ hoặc những cuộc tấn công xảy ra ngoài Chuỗi.

Báo cáo nhấn mạnh rằng việc ứng dụng rộng rãi trí tuệ nhân tạo đang làm giảm đáng kể rào cản kỹ thuật đối với các cuộc tấn công Phishing. Kẻ tấn công đang bắt đầu tận dụng AI để tạo ra các trang web Phishing , cửa sổ bật lên ví điện tử và các tin nhắn lừa đảo đa ngôn ngữ trông rất chân thực, kết hợp chúng với dữ liệu Chuỗi và nội dung mạng xã hội để "nhắm mục tiêu chính xác". Các biện pháp phòng thủ truyền thống dựa vào lỗi ngữ pháp hoặc các đặc điểm mẫu để nhận dạng đang dần trở nên kém hiệu quả.

Với các quy định rõ ràng hơn, an toàn đang chuyển từ "khoản chi phí" sang trọng tâm "cơ sở hạ tầng".

Mặc dù rủi ro đang tăng, báo cáo cũng ghi nhận những thay đổi tích cực trong hoàn cảnh pháp lý toàn cầu. Tiến trình lập pháp tại Hoa Kỳ liên quan đến tính minh bạch của stablecoin và tài sản kỹ thuật số đang gửi tín hiệu chính sách rõ ràng hơn đến ngành công nghiệp; khuôn khổ MiCA của EU, và các môi trường thử nghiệm pháp lý tại Singapore và Hồng Kông, cũng đang thúc đẩy Web3 tiến tới giai đoạn phát triển tiêu chuẩn hóa hơn.

Báo cáo của CertiK chỉ ra rằng khi nguồn vốn từ các tổ chức và các đơn vị tuân thủ quy định tiếp tục đổ vào thị trường, năng lực bảo mật đang chuyển từ "khắc phục sự cố sau khi xảy ra" sang trở thành một yếu tố cơ sở hạ tầng trong thiết kế và vận hành dự án. Đối với cả chủ đầu tư dự án và người dùng cá nhân, bảo mật không còn là một lựa chọn mà là một yếu tố quan trọng ảnh hưởng đến khả năng tồn tại lâu dài.

Báo cáo kết luận bằng cách lưu ý rằng các cuộc tấn công giả mạo dựa trên trí tuệ nhân tạo, các vụ xâm nhập Chuỗi cung ứng ngày càng tinh vi và các cuộc tấn công kỹ thuật xã hội nhắm vào người dùng cá nhân sẽ tiếp tục phát triển trong năm tới. Trong bối cảnh đó, các dự án tích hợp bảo mật vào thiết kế kiến ​​trúc, quy trình phát triển và trải nghiệm người dùng sẽ là những dự án thành công trong vòng cạnh tranh Web3 tiếp theo.

Báo cáo đầy đủ: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a

Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan