Tổn thất Web3 năm 2025 tăng vọt lên 4 tỷ USD, Triều Tiên chiếm hơn một nửa

Ngành công nghiệp Web3 đã trải qua một năm đầy biến động với tổng thiệt hại do các vụ tấn công mạng và lỗ hổng bảo mật lên tới gần 4 tỷ USD, theo báo cáo bảo mật thường niên 2025 của Hacken. Con số này đánh dấu mức tăng đáng kể so với năm 2024, với hơn một nửa tổng thiệt hại được quy cho các tác nhân đe dọa liên quan đến Triều Tiên. 

Báo cáo được chia sẻ với Cointelegraph cho thấy tổn thất đạt đỉnh hơn 2 tỷ USD trong quý đầu tiên của năm trước khi giảm xuống khoảng 350 triệu USD vào quý 4, nhưng Hacken cảnh báo xu hướng này phản ánh rủi ro vận hành mang tính hệ thống hơn là các lỗi mã nguồn đơn lẻ.

Điểm đáng chú ý nhất trong báo cáo là sự chuyển dịch rõ rệt trong nguồn gốc tổn thất. Các sự cố liên quan đến thất bại kiểm soát truy cập và đổ vỡ bảo mật vận hành chiếm khoảng 2,12 tỷ USD, tương đương gần 54% tổng thiệt hại năm 2025, trong khi các lỗ hổng hợp đồng thông minh chỉ gây ra thiệt hại khoảng 512 triệu USD. 

Vụ xâm phạm Bybit với giá trị gần 1,5 tỷ USD được xác định là vụ trộm đơn lẻ lớn nhất từng được ghi nhận, đóng góp chính vào việc các cụm liên quan Triều Tiên chiếm khoảng 52% tổng số tiền bị đánh cắp. 

Hacken mô tả năm 2025 như một năm mà “các con số xấu đi, nhưng câu chuyện nền tảng trở nên rõ ràng”, nhấn mạnh rằng lỗi hợp đồng thông minh tuy quan trọng nhưng các tổn thất lớn nhất và khó thu hồi nhất vẫn đến từ khóa yếu, người ký bị xâm nhập và quy trình rời quyền truy cập cẩu thả.

Khoảng cách giữa quy định và thực thi còn quá lớn

Yehor Rudystia, trưởng bộ phận pháp chứng tại Hacken Extractor, cho biết các cơ quan quản lý ở Mỹ, Liên minh châu Âu và các khu vực pháp lý lớn khác đang ngày càng nêu cụ thể các tiêu chuẩn bảo mật như kiểm soát truy cập theo vai trò, ghi nhật ký, quy trình tiếp nhận an toàn, lưu ký cấp định chế với mô hình bảo mật phần cứng hoặc đa chữ ký, cùng giám sát liên tục và phát hiện bất thường. 

Tuy nhiên, ông nhận định khi các yêu cầu quản lý mới chỉ đang trở thành nguyên tắc bắt buộc, nhiều công ty Web3 vẫn tiếp tục theo đuổi các thực hành thiếu an toàn trong suốt năm 2025, như không thu hồi quyền truy cập của nhà phát triển khi rời công ty, sử dụng một khóa riêng duy nhất để quản trị giao thức và không triển khai hệ thống phát hiện và phản ứng điểm cuối.

Yevheniia Broshevan, đồng sáng lập và CEO của Hacken, nhìn thấy cơ hội đáng kể để ngành nâng cao đường cơ sở an ninh, đặc biệt trong việc áp dụng các quy trình rõ ràng cho phần cứng ký chuyên dụng và công cụ giám sát thiết yếu. Bà kỳ vọng an ninh tổng thể sẽ cải thiện trong năm 2026 khi các cơ quan giám sát chuyển từ hướng dẫn sang yêu cầu cứng. 

Rudystia lập luận rằng các cơ quan quản lý cần bắt buộc chia sẻ tình báo đe dọa theo thời gian thực về các chỉ dấu liên quan Triều Tiên, yêu cầu đánh giá rủi ro tập trung vào các cuộc tấn công giành quyền truy cập bắt nguồn từ lừa đảo, kết hợp với chế tài tăng dần đối với việc không tuân thủ và cơ chế bảo vệ an toàn cho các nền tảng duy trì biện pháp phòng thủ chuyên biệt đối với mối đe dọa từ Triều Tiên.

Nguồn: phocapblockchain.net