Bom tấn Beosin | Phân tích bối cảnh bảo mật blockchain Web3 trong nửa đầu năm 2025
*Báo cáo này do Beosin và Footprint Analytics hợp tác sản xuất
1. Tổng quan về bối cảnh bảo mật blockchain Web3 trong nửa đầu năm 2025
Theo Beosin Alert, tổng thiệt hại do hack, lừa đảo lừa đảo và Rug Pull trong lĩnh vực Web3 trong nửa đầu năm 2025 sẽ vào khoảng 2,138 tỷ USD. Trong đó, có 90 cuộc tấn công lớn, với tổng thiệt hại khoảng 2,093 tỷ USD; Tổng thiệt hại của Rug Pull lên tới khoảng 3,2 triệu đô la; Tổng thiệt hại của các trò lừa đảo lừa đảo là khoảng 41,38 triệu đô la.
Dưới góc độ các loại dự án bị tấn công, sàn giao dịch đã trở thành loại dự án có số tiền thua lỗ cao nhất. Sáu cuộc tấn công vào sàn giao dịch đã gây ra tổng cộng thiệt hại hơn 1,591 tỷ USD, chiếm 74,4% tổng thiệt hại về cuộc tấn công.
Xét về số lượng tổn thất của mỗi chuỗi, Ethereum vẫn là chuỗi có số tiền tổn thất cao nhất và nhiều sự kiện tấn công nhất. 81 cuộc tấn công vào Ethereum đã gây ra thiệt hại 1,739 tỷ đô la, tương đương 81,3% tổng thiệt hại. Sui đã mất khoảng 224 triệu USD do sự cố Cetus Protocol, đứng thứ hai.
Về phương thức tấn công, nửa đầu năm chứng kiến các cuộc tấn công khai thác lỗ hổng hợp đồng thường xuyên nhất, với tổng cộng 63 cuộc tấn công, dẫn đến thiệt hại 408 triệu USD. Bybit là loại tấn công có tỷ lệ tổn thất cao nhất do 1,44 tỷ USD bị đánh cắp do lỗ hổng trong cơ sở hạ tầng của ví, chiếm 67,4% tổng thiệt hại của cuộc tấn công.
Về dòng tiền, chỉ một phần nhỏ (khoảng 238 triệu USD) số tiền bị đánh cắp bị đóng băng hoặc thu hồi trong nửa đầu năm và khoảng 71,2% số tiền bị đánh cắp vẫn đang lưu thông trong ví on-chain và chưa chảy vào các sàn giao dịch hoặc máy trộn.
2. Tổng quan các cuộc tấn công nửa đầu năm 2025
90 cuộc tấn công lớn đã dẫn đến tổng thiệt hại 2,093 tỷ đô la
Trong nửa đầu năm 2025, Beosin Alert đã phát hiện tổng cộng 90 cuộc tấn công lớn trong không gian Web3, với tổng thiệt hại là 2,093 tỷ USD. Trong số đó, có 2 sự cố an ninh thiệt hại hơn 100 triệu USD, 7 sự cố thiệt hại trong khoảng 10 triệu USD đến 100 triệu USD và 18 sự cố thiệt hại trong khoảng 1 triệu USD đến 10 triệu USD.
Các cuộc tấn công có thiệt hại vượt quá 10 triệu đô la (theo thứ tự bảng chữ cái):
● Bybit - 1,44 tỷ USD
Phương thức tấn công: Giao diện người dùng ví an toàn bị giả mạo nền tảng Chain: Ethereum
Vào ngày 21 tháng 2, sàn giao dịch tiền điện tử Bybit đã bị tấn công và khoảng 1,44 tỷ đô la tiền đã bị đánh cắp từ ví đa chữ ký Safe của nó. Bằng cách xâm nhập vào các máy chủ của Safe, tin tặc đã gieo mã độc thay thế các yêu cầu giao dịch thông thường, khiến người ký ký giao dịch bị giả mạo mà họ không biết.
● Cetus Protocol - 224 triệu USD
Phương thức tấn công: lỗ hổng hợp đồng Nền tảng chuỗi: Sui
Vào ngày 22 tháng 5, Giao thức DEX Cetus trên hệ sinh thái Sui đã bị tấn công và lỗ hổng của nó bắt nguồn từ lỗi triển khai của hoạt động dịch chuyển sang trái trong mã thư viện mã nguồn mở. Sau đó, với sự hợp tác của Quỹ Sui và các dự án sinh thái khác, 162 triệu đô la tiền bị đánh cắp trên Sui đã bị đóng băng thành công.
● Nobitex - 90 triệu USD
Phương thức tấn công: chưa rõ Nền tảng chuỗi: đa chuỗi
Vào ngày 18 tháng 6, Nobitex, sàn giao dịch tiền điện tử lớn nhất Iran, thông báo rằng họ đã bị tấn công và mất hơn 90 triệu đô la, liên quan đến nhiều loại tiền điện tử như BTC, ETH, Doge, XRP, SOL, TRX và TON. Một nhóm thân Israel có tên là "Gonjeshke Darande" đã nhận trách nhiệm về cuộc tấn công và mô tả nó là một cuộc tấn công chống lại cơ sở hạ tầng tiền điện tử của Iran.
● Phemex - 70 triệu USD
Phương thức tấn công: rò rỉ khóa riêng Nền tảng chuỗi: đa chuỗi
Vào ngày 23 tháng 1, khoảng 70 triệu đô la tài sản tiền điện tử đã bị đánh cắp từ ví nóng Phemex, một sàn giao dịch tiền điện tử có trụ sở tại Singapore, liên quan đến nhiều tài sản tiền điện tử như ETH, SOL, BTC, BNB, USDT, v.v.
● UPCX - 70 triệu USD
Phương thức tấn công: lỗ hổng kiểm soát truy cập Nền tảng chuỗi: Ethereum
Vào ngày 1 tháng 4, UPCX đã mất khoảng 70 triệu USD token do truy cập trái phép. Tin tặc đã nâng cấp hợp đồng ProxyAdmin của UPCX và sau đó thực hiện một tính năng cho phép quản trị viên rút tiền, dẫn đến việc tiền được chuyển từ ba tài khoản quản lý khác nhau.
● Infini - 49,5 triệu USD
Phương thức tấn công: lỗ hổng quản lý quyền Nền tảng chuỗi: Ethereum
Vào ngày 24 tháng 2, 49,5 triệu đô la đã bị đánh cắp từ Infini sau khi một nhà phát triển nội bộ đánh cắp tiền bằng cách nâng cấp hợp đồng bằng cách lừa nhóm bí mật giữ lại đặc quyền quản lý hợp đồng.
● Abracadabra Finance - 13 triệu USD
Phương thức tấn công: lỗ hổng hợp đồng Nền tảng chuỗi: Ethereum
Vào ngày 25 tháng 3, Abracadabra Finance, một giao thức cho vay phi tập trung, đã mất khoảng 13 triệu đô la khi đánh cắp khoảng 6.262 ETH do lỗ hổng hợp đồng.
● Cork Protocol - 12 triệu USD
Phương thức tấn công: lỗ hổng hợp đồng Nền tảng chuỗi: Ethereum
Vào ngày 28 tháng 5, Cork Protocol, một giao thức tài sản neo trên chuỗi Ether, đã bị tấn công và kẻ tấn công đã kiếm được lợi nhuận 12 triệu đô la thông qua một lỗ hổng logic trong hợp đồng của dự án (các thông số chính không được xác minh).
● BitoPro - 11.5 triệu USD
Phương thức tấn công: rò rỉ khóa riêng Nền tảng chuỗi: đa chuỗi
Vào ngày 2 tháng 6, sàn giao dịch tiền điện tử BitoPro đã đưa ra một thông báo xác nhận cuộc tấn công, nói rằng ví nóng của họ đã bị tin tặc tấn công trong quá trình nâng cấp hệ thống ví gần đây và chuyển tài sản tiền điện tử và dòng tiền chảy bất thường từ nhiều ví nóng trên chuỗi là khoảng 11,5 triệu đô la.
3. Loại dự án bị tấn công
CEX là loại hình dự án có mức lỗ cao nhất
Loại dự án có mức lỗ cao nhất trong nửa đầu năm là các sàn giao dịch tập trung, với sáu cuộc tấn công vào các sàn giao dịch tập trung gây ra tổng cộng hơn 1,591 tỷ USD, trong đó lỗ lớn nhất là Bybit, với khoản lỗ khoảng 1,44 tỷ USD. Phần còn lại của các khoản lỗ lớn hơn là Nobitex (khoảng 90 triệu đô la thua), Phemex (khoảng 70 triệu đô la thua) và Noones, BitoPro và Coinbase cũng bị tấn công.
Loại bị tấn công nhiều thứ hai là DeFi. Trong số đó, khoảng 224 triệu USD đã bị đánh cắp từ Cetus Protocol, chiếm 69,1% số tiền bị đánh cắp trong DeFi và phần còn lại của các dự án DeFi có khoản lỗ lớn hơn là Abracadabra Finance (13 triệu USD), Cork Protocol (khoảng 12 triệu USD), Resupply (khoảng 9,6 triệu USD), zkLend (khoảng 9,5 triệu USD), Ionic (khoảng 8,8 triệu USD), Alex Protocol (khoảng 8,37 triệu đô la).
Ngoài ra, 2 sự cố bảo mật đã xảy ra trong không gian thanh toán tiền điện tử, với khoản lỗ khoảng 120 triệu USD, đứng thứ ba trong số tất cả các loại dự án. Các loại dự án khác đã bị tấn công bao gồm: trình duyệt, hợp đồng token, cầu nối chuỗi chéo, bệ phóng Memecoin, v.v.
4. Số tiền tổn thất của mỗi chuỗi
Ethereum là chuỗi có số lượng tổn thất cao nhất và nhiều cuộc tấn công nhất
Như những năm trước, Ethereum vẫn là chuỗi công khai có mức lỗ cao nhất. 81 cuộc tấn công vào Ethereum đã gây ra thiệt hại 1,739 tỷ đô la, tương đương 81,3% tổng thiệt hại.
Chuỗi công khai có số lượng tấn công cao thứ hai là BNB Chain, với 33 cuộc tấn công gây thiệt hại tổng cộng khoảng 42,53 triệu USD. BNB Chain có số lượng lớn các cuộc tấn công on-chain và tổn thất tương đối nhỏ, nhưng so với cùng kỳ năm ngoái, số lượng tấn công và số lượng tổn thất đã tăng lên đáng kể, và số lượng tổn thất đã tăng 357%.
Arbitrum và Base lần lượt xếp thứ ba và thứ tư, với khoản lỗ lần lượt là 21,2 triệu đô la và 13,05 triệu đô la. So với cùng kỳ năm ngoái, số lượng các cuộc tấn công vào chuỗi Arbitrum đã tăng lên, nhưng số lượng tổn thất đã giảm 71,8%; Số lượng các cuộc tấn công chuỗi Base và số lượng tổn thất đã tăng lên đáng kể, và số lượng tổn thất đã tăng 294%.
5. Phân tích các phương pháp tấn công
70% các cuộc tấn công đến từ các lỗ hổng hợp đồng
Trong nửa đầu năm, đã có 63 cuộc tấn công chống lại các lỗ hổng hợp đồng, dẫn đến thiệt hại 408 triệu USD, loại tấn công lớn nhất ngoại trừ vụ trộm cắp của Bybit do lỗ hổng trong cơ sở hạ tầng ví. Trong nửa đầu năm nay, thiệt hại do vi phạm khóa riêng gây ra thấp hơn đáng kể so với cùng kỳ năm ngoái, nhưng tổng thiệt hại vẫn hơn 102 triệu USD.
Chia nhỏ theo lỗ hổng hợp đồng, ba lỗ hổng hàng đầu gây ra tổn thất là: lỗ hổng logic kinh doanh (356 triệu USD), lỗ hổng thuật toán (21,37 triệu USD) và lỗ hổng xác thực (12,7 triệu USD). Ba lỗ hổng hợp đồng hàng đầu là lỗ hổng logic nghiệp vụ (45 lần), lỗ hổng kiểm soát truy cập (7 lần) và lỗi thuật toán (5 lần).
6. Phân tích dòng tiền bị đánh cắp
Chỉ có 11,1% tài sản bị đánh cắp bị đóng băng và thu hồi
Theo phân tích nền tảng chống rửa tiền của Beosin KYT, khoảng 238 triệu USD trong số tiền bị đánh cắp trong nửa đầu năm 2025 đã bị đóng băng hoặc thu hồi, chiếm khoảng 11,1%.
Khoảng 97,89 triệu đô la tiền bị đánh cắp đã được chuyển đến các sàn giao dịch, chiếm khoảng 4,6%. Tổng cộng 278 triệu đô la (13.0%) đã được chuyển đến máy trộn: khoảng 19.46 triệu đô la đến Tornado Cash; 259 triệu đô la đã được chuyển cho các máy trộn khác. Trong nửa đầu năm 2025, đã có sự gia tăng đáng kể số tiền bị đánh cắp thông qua trộn tiền và rửa tiền so với năm ngoái.
7. Tổng hợp tình hình bảo mật blockchain Web3 nửa đầu năm 2025
So với nửa đầu năm 2024, tổng thiệt hại do hack, lừa đảo lừa đảo và Rug Pull trong nửa đầu năm nay đã tăng đáng kể, đạt 2,138 tỷ USD. Số lượng các cuộc tấn công và tổn thất trên các sàn giao dịch và hệ sinh thái chuỗi công khai chính thống đang tăng lên nói chung, và tình hình trong lĩnh vực bảo mật Web3 vẫn còn rất nghiêm trọng.
Cuộc tấn công gây thiệt hại lớn nhất trong nửa đầu năm là vụ trộm cắp Bybit, chiếm khoảng 67,4% thiệt hại. Dưới góc độ các loại dự án, các cuộc tấn công ở khắp các lĩnh vực Web3: sàn giao dịch, DeFi, ví cá nhân, cơ sở hạ tầng, hợp đồng token, nền tảng thanh toán, trình duyệt, nền tảng khởi chạy Memecoin, v.v. Mọi chủ sở hữu dự án/người dùng cá nhân Web3 cần cảnh giác về việc lưu trữ khóa riêng tư ngoại tuyến, sử dụng nhiều chữ ký, sử dụng các dịch vụ của bên thứ ba một cách thận trọng và tiến hành cập nhật quyền thường xuyên và đào tạo bảo mật cho nhân viên có đặc quyền.
Chỉ một phần nhỏ tài sản bị đóng băng hoặc thu hồi trong nửa đầu năm, cho thấy các nỗ lực quản lý và chống rửa tiền toàn cầu vẫn cần được tăng cường. Trong nửa đầu năm, tỷ lệ tiền bị đánh cắp do tin tặc chuyển sang sàn giao dịch giảm đáng kể, điều này liên quan đến việc sàn giao dịch tăng cường chống rửa tiền, xác định kịp thời các hành vi hack và hợp tác tích cực với các cơ quan thực thi pháp luật và các bên dự án để đóng băng tiền và tiến hành xác minh. Hiện tại, sự hợp tác giữa sàn giao dịch và các cơ quan thực thi pháp luật, các bên dự án và đội ngũ bảo mật đã đạt được kết quả rõ ràng, vì vậy tin tặc có nhiều khả năng cố gắng chọn nhiều loại máy trộn tiền để rửa tiền.
Trong số 90 cuộc tấn công trong nửa đầu năm, 63 vụ vẫn bị khai thác bởi các lỗ hổng hợp đồng và nhóm dự án nên tìm kiếm một công ty bảo mật chuyên nghiệp để tiến hành kiểm tra trước khi đi vào hoạt động. Là một trong những công ty bảo mật blockchain sớm nhất thế giới tham gia vào xác minh chính thức, Beosin tập trung vào hoạt động kinh doanh sinh thái "bảo mật + tuân thủ" và đã thành lập chi nhánh tại hơn 10 quốc gia và khu vực trên thế giới, bao gồm các sản phẩm tuân thủ blockchain "một cửa" + các dịch vụ bảo mật như kiểm tra bảo mật mã trước khi khởi chạy dự án, giám sát và chặn rủi ro bảo mật trong thời gian chạy dự án, khôi phục trộm cắp, chống rửa tiền tài sản ảo (AML) và đánh giá tuân thủ phù hợp với các yêu cầu quy định của địa phương.