Thông qua nghiên cứu chuyên sâu và thảo luận trong báo cáo này, chúng ta có thể hiểu rõ hơn và giải quyết những thách thức này nhằm thúc đẩy tính bảo mật và phát triển bền vững của công nghệ blockchain.
Tác giả: Beosin
Lời tựa
Báo cáo nghiên cứu này, do Liên minh An ninh Blockchain khởi xướng và được đồng biên soạn bởi các thành viên liên minh Beosin và Footprint Analytics, nhằm mục đích khám phá toàn diện bức tranh an ninh blockchain toàn cầu vào năm 2025. Thông qua phân tích và đánh giá hiện trạng an ninh blockchain toàn cầu, báo cáo sẽ tiết lộ những thách thức và mối đe dọa an ninh hiện tại, đồng thời cung cấp các giải pháp và thực tiễn tốt nhất. An ninh và quy định blockchain là những vấn đề then chốt trong sự phát triển của kỷ nguyên Web3. Thông qua nghiên cứu và thảo luận chuyên sâu trong báo cáo này, chúng ta có thể hiểu rõ hơn và giải quyết những thách thức này để thúc đẩy an ninh và sự phát triển bền vững của công nghệ blockchain.
1. Tổng quan về bối cảnh an ninh blockchain Web3 năm 2025
Theo Alert, một nền tảng thuộc Beosin, một công ty công nghệ bảo mật và tuân thủ blockchain, tổng thiệt hại trong không gian Web3 do hacker, lừa đảo Phishing và các vụ rút vốn dự án (project Rug pull) đã lên tới 3,375 tỷ đô la vào năm 2025. Tổng cộng có 313 sự cố bảo mật blockchain nghiêm trọng, trong đó 191 vụ tấn hacker Rug tổng thiệt hại khoảng 3,187 tỷ đô la; các vụ rút vốn dự án với tổng thiệt hại khoảng 11,5 triệu đô la; và 113 vụ lừa đảo Phishing với tổng thiệt hại khoảng 177 triệu đô la.
Quý đầu tiên của năm 2025 chứng kiến những tổn thất đáng kể nhất, phần lớn đến từ vụ hacker mạng Bybit . Mặc dù số tiền bị mất do các cuộc tấn hacker tiếp tục giảm theo từng quý, nhưng đã tăng đáng kể so với năm 2024, với mức tăng 77,85%. Tổn thất từ các vụ lừa đảo giả mạo danh tính (Phishing) và các vụ lừa đảo chiếm đoạt tài khoản (Rug Pull) đều giảm đáng kể so với năm 2024, trong đó tổn thất từ lừa đảo Phishing tính giảm khoảng 69,15% và tổn thất Rug chiếm đoạt tài khoản giảm khoảng 92,21%.
Năm 2025, các loại dự án bị tấn công bao gồm DeFi, CEX, chuỗi công khai, cầu nối xuyên chuỗi, NFT, nền tảng giao dịch Memecoin, ví điện tử, trình duyệt, gói mã nguồn của bên thứ ba, cơ sở hạ tầng và bot MEV, cùng nhiều loại khác. DeFi vẫn là loại dự án bị tấn công nhiều nhất, với lần cuộc tấn công nhắm vào DeFi gây thiệt hại khoảng 621 triệu đô la. CEX chịu tổng thiệt hại cao nhất, với lần cuộc tấn công nhắm vào CEX gây thiệt hại khoảng 1,765 tỷ đô la, chiếm 52,30% tổng thiệt hại.
Năm 2025, Ethereum vẫn là chuỗi công khai chịu tổn thất cao nhất, với lần sự cố bảo mật trên Ethereum gây ra thiệt hại khoảng 2,254 tỷ đô la, chiếm 66,79% tổng thiệt hại trong năm.
Về phương thức tấn công, sự cố Bybit gây thiệt hại khoảng 1,44 tỷ đô la do các cuộc tấn công Chuỗi cung ứng, chiếm 42,67% tổng thiệt hại, trở thành phương thức tấn công gây thiệt hại nặng nề nhất. Bên cạnh đó, khai thác lỗ hổng hợp đồng là phương thức tấn công thường xuyên nhất, chiếm lần trong số 191 cuộc tấn công, chiếm tỷ lệ 32,46%.
2. Mười sự cố an ninh nghiêm trọng nhất năm 2025
Năm 2025, đã có ba sự cố bảo mật gây thiệt hại vượt quá 100 triệu đô la: Bybit(1,44 tỷ đô la), Cetus Protocol (224 triệu đô la) và Balancer (116 triệu đô la). Tiếp theo là Stream Finance (93 triệu đô la), cá voi BTC (91 triệu đô la), Nobitex (90 triệu đô la), Phemex(70 triệu đô la), UPCX (70 triệu đô la), người dùng Ethereum(50 triệu đô la) và Infini (49,5 triệu đô la).
Khác với những năm trước, hai trong số 10 sự cố bảo mật hàng đầu năm nay liên quan đến thiệt hại đáng kể cho người dùng cá nhân, gây ra bởi các cuộc tấn công Phishing/tấn công kỹ thuật xã hội. Mặc dù những cuộc tấn công này không gây thiệt hại tài chính lớn nhất, nhưng tần suất của chúng đang tăng hàng năm, khiến chúng trở thành mối đe dọa lớn đối với người dùng cá nhân.
3. Các loại dự án bị tấn công
Sàn giao dịch tập trung trở thành loại dự án có tỷ lệ thua lỗ cao nhất.
Năm 2025, sàn giao dịch tập trung sàn giao dịch tập trung tổn thất nặng nề nhất, với lần cuộc tấn công nhắm vào chúng gây thiệt hại khoảng 1,765 tỷ đô la, chiếm 52,30% tổng thiệt hại. Bybit chịu tổn thất lớn nhất, khoảng 1,44 tỷ đô la. Sàn giao dịch trong đó cũng chịu tổn thất đáng kể bao gồm Nobitex (khoảng 90 triệu đô la), Phemex(khoảng 70 triệu đô la), BTCTurk (48 triệu đô la), CoinDCX (44,2 triệu đô la), SwissBorg(41,3 triệu đô la) và Upbit(36 triệu đô la).
DeFi là loại dự án bị tấn công nhiều nhất, với lần cuộc tấn công nhắm vào DeFi gây thiệt hại khoảng 621 triệu đô la, đứng thứ hai về tổng thiệt hại. Giao thức Trong đó chịu tổn thất khoảng 224 triệu đô la, chiếm 36,07% tổng số tiền bị đánh cắp trong DeFi, trong khi Balancer mất khoảng 116 triệu đô la. Các dự án DeFi khác cũng chịu tổn thất đáng kể bao gồm Infini (49,5 triệu đô la), GMX (40 triệu đô la), Abracadabra Finance (13 triệu đô la), Cork Protocol (12 triệu đô la), Resupply (9,6 triệu đô la), zkLend (9,5 triệu đô la), Ionic (8,8 triệu đô la) và Alex Protocol (8,37 triệu đô la).
4. Chi tiết tổn thất cho từng Chuỗi
Ethereum là Chuỗi có số lượng tổn thất và sự cố bảo mật cao nhất.
Cũng như những năm trước, Ethereum vẫn là chuỗi công khai có mức thiệt hại và sự cố bảo mật cao nhất. lần sự cố bảo mật trên Ethereum đã gây ra thiệt hại khoảng 2,254 tỷ đô la, chiếm 66,79% tổng thiệt hại trong năm.
Chuỗi công khai đứng thứ hai về số lượng sự cố bảo mật là BNB Chain, với lần sự cố bảo mật gây thiệt hại khoảng 89,83 triệu đô la. Mặc dù BNB Chain đã trải qua số lượng lớn các cuộc tấn công Chuỗi, nhưng số tiền thiệt hại tương đối nhỏ. Tuy nhiên, so với năm 2024, cả số lượng sự cố bảo mật và số tiền thiệt hại đều tăng đáng kể, với số tiền thiệt hại tăng 110,87%.
Base blockchain thứ ba về số lượng sự cố an ninh, với tổng cộng lần sự cố. Solana theo sát phía sau với lần sự cố an ninh.
5. Phân tích các phương pháp tấn công
Khai thác lỗ hổng hợp đồng là phương pháp tấn công phổ biến nhất.
Trong số 191 cuộc tấn công, có lần cuộc tấn công khai thác lỗ hổng hợp đồng, chiếm tỷ lệ 32,46%, gây thiệt hại tổng cộng 556 triệu đô la. Đây là loại tấn công gây thiệt hại tài chính lớn nhất, chỉ đứng sau cuộc tấn công Chuỗi cung ứng của Bybit .
Theo phân tích về các lỗ hổng hợp đồng, lỗ hổng gây thiệt hại nghiêm trọng nhất là lỗ hổng logic việc kinh doanh, dẫn đến tổn thất 464 triệu đô la. Ba lỗ hổng hợp đồng thường gặp nhất là lỗ hổng logic việc kinh doanh(53 lần), lỗ hổng kiểm soát truy cập (7 lần) và lỗi thuật toán (5 lần ).
Năm nay đã có lần vụ rò rỉ private key , gây thiệt hại tổng cộng khoảng 180 triệu đô la. Số vụ rò rỉ và thiệt hại gây ra thấp hơn đáng kể so với năm ngoái. Sàn giao dịch, nhóm dự án và người dùng đã thể hiện sự nhận thức cao hơn về việc bảo vệ private key.
6. Phân tích tấn công sự cố an ninh điển hình
6.1 Phân tích sự cố an ninh trị giá 224 triệu đô la liên quan đến Giao thức Cetus
Tóm tắt sự kiện
Vào ngày 22 tháng 5 năm 2025, giao thức DEX Cetus trên hệ sinh thái Sui đã bị tấn công. Lỗ hổng bắt nguồn từ lỗi thực thi trong thao tác dịch bit trái trong mã thư viện mã nguồn mở. Lấy một trong đó những giao dịch tấn công (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview) làm ví dụ, các bước tấn công đơn giản như sau:
1. Kích hoạt Khoản vay nhanh: Kẻ tấn công đã vay 10 triệu haSUI thông qua Khoản vay nhanh .
2. Tạo vị thế thanh khoản : Mở một vị thế thanh khoản mới với phạm vi giá [300000, 300200].
3. Tăng thanh khoản: Chỉ sử dụng 1 đơn vị haSUI đã tăng thanh khoản, mang lại giá trị thanh khoản lên tới 10.365.647.984.364.446.732.462.244.378.333.008.
4. Rút thanh khoản: Ngay lập tức rút thanh khoản khỏi nhiều giao dịch để làm cạn kiệt thanh khoản.
5. Hoàn trả Khoản vay nhanh: Hoàn trả Khoản vay nhanh và giữ lại khoảng 5,7 triệu Sui làm lợi nhuận.
Phân tích lỗ hổng
Nguyên nhân gốc rễ của cuộc tấn công lần nằm ở lỗi triển khai trong hàm `checked_shlw` bên trong hàm `get_delta_a`, dẫn đến việc kiểm tra tràn số thất bại. Kẻ tấn công chỉ cần một token để đổi lấy lượng lớn tài sản trong nhóm thanh khoản , từ đó tạo điều kiện cho cuộc tấn công diễn ra.
Như thể hiện trong sơ đồ, `checked_shlw` được sử dụng để xác định xem việc dịch chuyển số u256 sang trái 64 bit có gây ra tràn số hay không. Các giá trị đầu vào nhỏ hơn 0xffffffffffffffff << 192 sẽ bỏ qua việc phát hiện tràn số, nhưng giá trị đầu vào có thể vượt quá giá trị tối đa của u256 sau khi dịch chuyển sang trái 64 bit (tràn số). `checked_shlw` vẫn sẽ xuất ra "không xảy ra tràn số" (false). Điều này sẽ đánh giá thấp nghiêm trọng số lượng token cần thiết trong các phép tính tiếp theo.
Hơn nữa, trong Move, phép toán số nguyên được thiết kế để ngăn ngừa tràn số và thiếu số, vì những điều này có thể dẫn đến hành vi không mong muốn hoặc các lỗ hổng bảo mật. Cụ thể: nếu kết quả của phép cộng và phép nhân quá lớn so với kiểu dữ liệu số nguyên, chương trình sẽ dừng giữa chừng. Nếu số chia bằng 0, phép chia sẽ dừng giữa chừng.
Đặc điểm độc đáo của phép dịch bit trái (<<) là nó không dừng giữa chừng khi xảy ra tràn số. Điều này có nghĩa là ngay cả khi số bit được dịch vượt quá dung lượng lưu trữ của kiểu số nguyên, chương trình sẽ không kết thúc, điều này có thể dẫn đến các giá trị sai hoặc hành vi không thể đoán trước.
6.2 Phân tích sự cố bảo mật trị giá 116 triệu đô la của Balancer
Vào ngày 3 tháng 11 năm 2025, giao thức Balancer v2 bị tấn công, gây thiệt hại khoảng 116 triệu đô la trên nhiều Chuỗi cho một số dự án, bao gồm cả giao thức phân nhánh của nó. Ví dụ, giao dịch của kẻ tấn công trên Ethereum là: 0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742
1. Kẻ tấn công đầu tiên thực hiện giao dịch tấn công thông qua chức năng hoán đổi hàng loạt, sử dụng BPT để hoán đổi lượng lớn token thanh khoản từ nhóm, khiến lượng dự trữ token thanh khoản của nhóm giảm xuống rất thấp.
2. Sau đó, những kẻ tấn công bắt đầu trao đổi token thanh khoản (osETH/WETH).
3. Sau đó, đổi token thanh khoản trở lại thành token BPT và lặp lại thao tác trên ở nhiều pool khác nhau.
4. Cuối cùng, hãy rút tiền để thu về lợi nhuận.
Phân tích lỗ hổng
ComposableStablePools sử dụng công thức bất biến StableSwap của Curve để duy trì sự ổn định giá giữa tài sản tương tự. Tuy nhiên, các phép toán chia tỷ lệ trong quá trình tính toán bất biến sẽ gây ra lỗi.
Hàm mulDown thực hiện phép chia số nguyên xuống phần nguyên dưới. Sai số chính xác này được truyền đến phép tính các bất biến, khiến giá trị tính toán thấp bất thường, tạo cơ hội cho kẻ tấn công trục lợi.
7. Phân tích các vụ án chống rửa tiền điển hình
7.1 Các biện pháp trừng phạt của Mỹ đối với băng đảng ma túy do Ryan James Wedding cầm đầu
Theo các tài liệu do Bộ Ngân khố Hoa Kỳ công bố, Ryan James Wedding và đội ngũ đã buôn lậu hàng tấn cocaine qua Colombia và Mexico rồi bán cho Hoa Kỳ và Canada. Tổ chức tội phạm của chúng sử dụng crypto để rửa tiền, từ đó tích lũy được một khối tài sản bất chính khổng lồ.
Sử dụng Beosin Trace, một công cụ theo dõi và điều tra trên Chuỗi thuộc sở hữu của Beosin, chúng tôi đã phân tích các địa chỉ crypto liên quan đến nhóm buôn bán ma túy của Wedding. Kết quả được hiển thị bên dưới:
Các địa chỉ được nắm giữ bởi ba công ty tổ chức đám cưới, TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP, TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6 và TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1, đã xử lý tổng cộng 266.761.784,24 USDT. Một số tài sản này đã bị Chính thức đóng băng, nhưng tài sản lớn đã được rửa tiền thông qua các địa chỉ giao dịch lần cao và chuyển khoản đa cấp, nạp tiền vào các nền tảng như Binance, OKX, Kraken và BTSE.
Nhóm Sokolovski sở hữu địa chỉ trên nhiều mạng blockchain(BTC, ETH, Solana, TRON, BNB Beacon Chain), và phân tích dòng tiền của họ có thể được xem trong báo cáo đầy đủ.
7.2 Vụ trộm GMX trị giá 40 triệu đô la
Vào ngày 10 tháng 7 năm 2025, GMX bị tấn công do lỗ hổng tái nhập, dẫn đến hacker thu lợi khoảng 42 triệu đô la. Cuộc điều tra của Beosin Trace về số tiền bị đánh cắp cho thấy địa chỉ của kẻ tấn công, 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355, đã sử dụng các giao thức DEX để trao đổi nhiều loại stablecoin và Altcoin lấy ETH và USDC sau khi thu lợi nhuận, và sau đó chuyển tài sản bị đánh cắp sang mạng Ethereum thông qua nhiều giao thức Chuỗi chéo.
Sau đó, khoảng 32 triệu ETH giá trị tài sản GMX bị đánh cắp đã được lưu trữ trong bốn địa chỉ mạng Ethereum sau:
0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7
0x69c965e164fa60e37a851aa5cd82b13ae39c1d95
0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3
0x639cd2fc24ec06be64aaf94eb89392bea98a6605
Khoảng 10 triệu đô la tài sản đã được lưu trữ tại địa chỉ 0xdf3340a436c27655ba62f8281565c9925c3a5221 trên mạng Arbitrum .
Phương thức rửa tiền trong vụ việc lần rất điển hình. Hacker đã sử dụng các giao thức DeFi, cầu nối xuyên chuỗi các phương pháp khác để che giấu và làm mờ đường đi của dòng tiền nhằm tránh bị các cơ quan quản lý và thực thi pháp luật theo dõi và đóng băng.
8. Tóm tắt Tình hình An ninh Blockchain Web3 năm 2025
Năm 2025, thiệt hại từ các vụ lừa đảo giả mạo danh Phishing) và các vụ "rút lui khỏi dự án" (project Rug pull) đều giảm đáng kể so với năm 2024. Tuy nhiên, các cuộc tấn công hacker vẫn diễn ra thường xuyên, gây thiệt hại vượt quá 3,1 tỷ đô la, trong đó sàn giao dịch vẫn chịu tổn thất nặng nề nhất. Trong khi đó, các sự cố bảo mật liên quan đến rò rỉ private key đã giảm. Các lý do chính dẫn đến sự thay đổi này bao gồm:
Sau các hoạt động hacker tràn lan năm ngoái, toàn bộ hệ sinh thái Web3 đang chú trọng hơn đến vấn đề bảo mật trong năm nay. Từ các nhóm dự án đến các công ty bảo mật, các nỗ lực đang được thực hiện trên nhiều khía cạnh, chẳng hạn như các hoạt động bảo mật nội bộ, giám sát Chuỗi theo thời gian thực, tăng cường tập trung vào kiểm toán bảo mật và tích cực học hỏi từ các sự cố khai thác lỗ hổng hợp đồng trong quá khứ. Nhận thức về bảo mật đang được tăng cường liên tục trong các lĩnh vực như lưu giữ private key và bảo mật hoạt động dự án. Khi việc khai thác lỗ hổng hợp đồng và đánh private key trở nên ngày càng khó khăn, hacker bắt đầu sử dụng các phương pháp khác, chẳng hạn như tấn công Chuỗi cung ứng và lỗ hổng giao diện người dùng, để lừa người dùng chuyển tài sản đến các địa chỉ do hacker kiểm soát.
Hơn nữa, với sự tích hợp giữa thị trường crypto và thị trường truyền thống, các mục tiêu tấn công không còn giới hạn ở DeFi, cầu nối xuyên chuỗi và sàn giao dịch, mà đã chuyển sang nhiều mục tiêu khác nhau như nền tảng thanh toán, nền tảng cá cược, nhà cung cấp dịch vụ crypto, cơ sở hạ tầng, công cụ phát triển và bot MEV. Trọng tâm của các cuộc tấn công cũng đã chuyển sang các lỗ hổng logic giao thức phức tạp hơn.
Đối với người dùng cá nhân, các cuộc tấn công Phishing/tấn công kỹ thuật xã hội và hành vi cưỡng ép tiềm tàng đặt ra mối đe dọa đáng kể đối với tài sản cá nhân của họ. Hiện nay, nhiều vụ tấn Phishing lừa đảo không được báo cáo hoặc ghi nhận do số tiền liên quan nhỏ và nạn nhân là người dùng cá nhân, dẫn đến việc đánh giá thấp dữ liệu của họ. Tuy nhiên, người dùng nên nâng cao nhận thức về cách phòng ngừa các cuộc tấn công như vậy. Hơn nữa, các phương pháp cưỡng ép bằng bạo lực, chẳng hạn như bắt cóc, nhắm vào người dùng crypto đã xảy ra nhiều lần trong năm nay. Người dùng phải bảo vệ thông tin nhận dạng cá nhân của mình và giảm thiểu việc công khai tài sản crypto của họ.
Nhìn chung, an ninh Web3 năm 2025 vẫn còn đối mặt với nhiều thách thức đáng kể, và các nhóm dự án cũng như người dùng cá nhân không thể chủ quan. Trong tương lai, an ninh Chuỗi cung ứng có khả năng trở nên tối quan trọng đối với an ninh Web3. Làm thế nào để liên tục bảo vệ các nhà cung cấp dịch vụ cơ sở hạ tầng khác nhau trong ngành và giám sát, cảnh báo về các mối đe dọa trong Chuỗi cung ứng là một thách thức lớn mà tất cả các bên trong ngành cần cùng nhau giải quyết. Hơn nữa, các cuộc tấn công Phishing/kỹ thuật xã hội dựa trên AI có khả năng tiếp tục gia tăng, đòi hỏi việc xây dựng một hệ thống phòng thủ đa lớp, thời gian thực và năng động, từ nhận thức cá nhân và các rào cản công nghệ đến sự hợp tác cộng đồng.
Tuyên bố miễn trừ trách nhiệm: Là blockchain, các bài viết được đăng tải trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời và không phản ánh lập trường của Web3Caff. Thông tin trong các bài viết chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hoặc đề nghị đầu tư nào. Vui lòng tuân thủ các luật và quy định hiện hành của quốc gia hoặc khu vực của bạn.
Chào mừng bạn đến với cộng đồng chính thức của Web3Caff : Tài khoản Twitter | Tài khoản Twitter nghiên cứu của Web3Caff | Nhóm độc giả WeChat | Tài khoản chính thức WeChat
