Hacken cho biết các tổn thất Web3 đã tăng lên gần 4 tỷ USD trong năm 2025, với Triều Tiên đứng sau hơn một nửa thiệt hại, và các cơ quan quản lý đang chịu áp lực phải biến các hướng dẫn về bảo mật thành những quy định bắt buộc.
Báo cáo An ninh Thường niên 2025 của Hacken ước tính tổng tổn thất Web3 vào khoảng 3,95 tỷ USD, tăng khoảng 1,1 tỷ USD so với năm 2024, trong đó chỉ hơn một nửa được quy cho các tác nhân đe dọa từ Triều Tiên.
Một báo cáo được chia sẻ với Cointelegraph cho thấy các khoản lỗ đạt đỉnh hơn 2 tỷ USD trong quý đầu tiên của năm trước khi giảm xuống khoảng 350 triệu USD vào quý 4, nhưng Hacken cảnh báo rằng mô hình này vẫn chỉ ra rủi ro vận hành mang tính hệ thống chứ không phải các lỗi mã hóa đơn lẻ.
Báo cáo nhìn nhận năm 2025 là một năm mà các con số trở nên tệ hơn, nhưng câu chuyện nền tảng thì trở nên rõ ràng. Lỗi hợp đồng thông minh là quan trọng, nhưng các khoản lỗ lớn nhất và khó thu hồi nhất vẫn đến từ khóa yếu, người ký bị xâm phạm và quy trình rút quyền (off-boarding) cẩu thả.
Kiểm soát truy cập, không phải mã, là yếu tố gây ra tổn thất
Theo Hacken, các thất bại trong kiểm soát truy cập và sự sụp đổ an ninh vận hành rộng hơn chiếm khoảng 2,12 tỷ USD, tương đương gần 54% tổng tổn thất năm 2025, so với khoảng 512 triệu USD đến từ các lỗ hổng hợp đồng thông minh.
Tổn thất tiền mã hóa theo loại tấn công. Nguồn: Báo cáo An ninh Hacken 2025
Riêng vụ xâm phạm Bybit, với gần 1,5 tỷ USD, được mô tả là vụ trộm đơn lẻ lớn nhất từng được ghi nhận và là lý do chính khiến các cụm liên quan đến Triều Tiên chiếm khoảng 52% tổng số tiền bị đánh cắp.
Cơ quan quản lý nêu rõ các biện pháp kiểm soát, ngành vẫn chậm chạp
Yehor Rudystia, trưởng bộ phận pháp y tại Hacken Extractor, nói với Cointelegraph rằng các chế độ cấp phép của cơ quan quản lý trên khắp Mỹ, Liên minh châu Âu và các khu vực pháp lý lớn khác ngày càng nêu rõ trên giấy tờ thế nào là “tốt”, chẳng hạn như kiểm soát truy cập theo vai trò, ghi nhật ký, quy trình tiếp nhận an toàn và xác minh danh tính, lưu ký cấp tổ chức (mô hình bảo mật phần cứng, tính toán đa bên hoặc đa chữ ký, và lưu trữ lạnh), cũng như giám sát liên tục và phát hiện bất thường.
Tuy nhiên, “khi các yêu cầu pháp lý chỉ mới trở thành những nguyên tắc mang tính bắt buộc, rất nhiều công ty Web3 vẫn tiếp tục theo đuổi các thực hành kém an toàn trong suốt năm 2025,” Rudystia nói.
Ông chỉ ra các thực hành như không thu hồi quyền truy cập của nhà phát triển trong quá trình off-boarding, sử dụng một khóa riêng duy nhất để quản lý một giao thức, và không có các hệ thống Phát hiện và Ứng phó Điểm cuối (Endpoint Detection and Response).
“Trong số những điều quan trọng nhất là kiểm thử xâm nhập định kỳ, mô phỏng sự cố, rà soát kiểm soát lưu ký, và các cuộc kiểm toán tài chính và kiểm soát độc lập,” Rudystia nói, đồng thời bổ sung rằng các sàn giao dịch và đơn vị lưu ký lớn nên coi đây là những yêu cầu không thể thương lượng vào năm 2026.
Từ hướng dẫn mềm sang yêu cầu cứng
Hacken kỳ vọng tiêu chuẩn sẽ còn được nâng cao hơn nữa khi các cơ quan giám sát chuyển từ hướng dẫn sang các yêu cầu bắt buộc.
Yevheniia Broshevan, đồng sáng lập và CEO của Hacken, nói với Cointelegraph: “Chúng tôi thấy một cơ hội đáng kể để ngành nâng cao mức nền an ninh của mình, đặc biệt là trong việc áp dụng các quy trình rõ ràng cho việc sử dụng phần cứng ký chuyên dụng và triển khai các công cụ giám sát thiết yếu.”
Ông cho biết ông kỳ vọng an ninh tổng thể sẽ được cải thiện vào năm 2026 cùng với các yêu cầu pháp lý và “những tiêu chuẩn an toàn nhất” cần được áp đặt để bảo vệ tiền của người dùng.
Xét việc các cụm liên quan đến Triều Tiên gây ra khoảng một nửa tổng số tổn thất trong phân bổ của Hacken, Rudystia cho rằng các cơ quan quản lý và thực thi pháp luật cũng cần coi các phương thức hoạt động của quốc gia này là một mối quan tâm giám sát cụ thể.
Ông lập luận rằng các nhà chức trách nên bắt buộc chia sẻ tình báo mối đe dọa theo thời gian thực về các chỉ báo liên quan đến Triều Tiên, yêu cầu các đánh giá rủi ro chuyên biệt tập trung vào các cuộc tấn công truy cập dẫn dắt bởi lừa đảo, và kết hợp điều đó với “các hình phạt tăng dần đối với việc không tuân thủ” cùng các biện pháp bảo vệ an toàn (safe-harbor) cho các nền tảng tham gia đầy đủ và duy trì các biện pháp phòng thủ chuyên biệt đối với Triều Tiên.
