“Hack 3d: Báo cáo bảo mật quý 1 năm 2025” của CertiK đã được phát hành. Báo cáo này phân tích sâu sắc tình trạng bảo mật của lĩnh vực Web3.0 từ tháng 1 đến tháng 3 năm 2025. Trong quý đầu tiên của năm 2025, đã xảy ra 197 sự cố bảo mật với tổng thiệt hại khoảng 1,67 tỷ đô la Mỹ, tăng 303,4% so với quý trước. Sự cố Bybit gây ra thiệt hại khoảng 1,45 tỷ đô la Mỹ, làm dấy lên cuộc thảo luận rộng rãi về tính bảo mật của các sàn giao dịch tập trung.
Dữ liệu chính
Dữ liệu theo quý: Trong quý đầu tiên của năm 2025, có 197 sự cố bảo mật trên chuỗi trong ngành Web3.0, với tổng thiệt hại khoảng 1,67 tỷ đô la Mỹ. Tổng thiệt hại tăng khoảng 303,4% so với quý trước và số lượng sự cố bảo mật tăng 6.
Phương pháp tấn công: Trộm ví gây ra tổn thất tài chính nghiêm trọng nhất trong quý đầu tiên của năm 2025, với khoảng 1,45 tỷ đô la bị đánh cắp chỉ trong ba vụ việc. Hạng mục lớn thứ hai là rò rỉ khóa riêng tư (là một tiểu thể loại lỗ hổng ví), với 15 sự cố gây thiệt hại tổng cộng khoảng 140 triệu đô la. Các cuộc tấn công lừa đảo có số tiền tổn thất thấp hơn trên mỗi cuộc tấn công nhưng lại là những cuộc tấn công thường xuyên nhất, với 81 cuộc tấn công lừa đảo gây ra thiệt hại gần 16 triệu đô la trong quý này.
Phân phối trên chuỗi: Ethereum là blockchain gặp nhiều sự cố bảo mật nhất, với tổng cộng 98 cuộc tấn công, gian lận và khai thác lỗ hổng, gây thiệt hại tổng cộng khoảng 1,54 tỷ đô la Mỹ.
Thu hồi được tổn thất: Trong quý, chúng tôi đã thu hồi thành công 6,39 triệu đô la tiền bị đánh cắp, với tổng tổn thất thực tế đã điều chỉnh là khoảng 1,66 tỷ đô la. Chỉ có 0,4% số tiền bị đánh cắp được thu hồi trong quý này, thấp hơn nhiều so với mức 42,1% của quý trước, khiến mức lỗ ròng thực tế thậm chí còn nghiêm trọng hơn. Trên thực tế, không có khoản tiền bị đánh cắp nào được thu hồi thành công vào tháng 2 năm 2025.
Mức thiệt hại trung bình cho mỗi sự cố là khoảng 9,55 triệu đô la, và mức thiệt hại trung bình là khoảng 66.000 đô la.
Xu hướng bảo mật
Mặc dù tổng số tiền mất mát do lừa đảo trong quý này thấp hơn nhiều so với rò rỉ khóa riêng tư và trộm ví, nhưng số lượng sự cố lừa đảo vẫn cao hơn các phương thức tấn công khác. Những rủi ro phi tập trung do các cuộc tấn công lừa đảo tần suất cao và tổn thất thấp gây ra không còn có thể bị bỏ qua nữa.
Sự gia tăng của lừa đảo trực tuyến có thể liên quan đến các chiến thuật kỹ thuật xã hội ngày càng tinh vi, chẳng hạn như các ứng dụng phi tập trung (dApp) giả mạo, tiện ích mở rộng trình duyệt độc hại và mạo danh danh tính dựa trên deepfake, giúp người dùng dễ dàng tiết lộ thông tin nhạy cảm mà không hề hay biết.
Cuộc đua giữa đổi mới và tấn công đang diễn ra ngày càng nhanh hơn, và sự phát triển của các biện pháp phòng thủ an ninh không thể theo kịp các phương pháp tấn công ngày càng tinh vi. Tin tặc đang sử dụng kỹ thuật xã hội, AI, thao túng hợp đồng và các phương tiện khác để vượt qua các rào cản bảo mật. Khi việc áp dụng tài sản kỹ thuật số ngày càng tăng và định giá tài sản cũng tăng, CertiK dự đoán rằng số lượng tài sản kỹ thuật số bị đánh cắp có thể tiếp tục tăng.
Tuy nhiên, những tiến bộ trong công nghệ blockchain có thể thay đổi điều này trong tương lai. Những cải tiến về bảo mật như bằng chứng không kiến thức (ZKP), công cụ pháp y trên chuỗi và ví điện toán đa bên (MPC) được kỳ vọng sẽ cải thiện khả năng bảo vệ tổng thể và giảm mối đe dọa từ các phương pháp tấn công hiện có. Vài quý tiếp theo sẽ là giai đoạn thử nghiệm quan trọng đối với khả năng chống chịu rủi ro của ngành Web3.0.
Xu hướng ngành
Bất chấp những sự cố an ninh đáng kể, quý đầu tiên của năm 2025 đã chứng kiến một số diễn biến quan trọng về mặt quy định và chiến lược.
Ví dụ, chính phủ Hoa Kỳ đã công bố thành lập Quỹ dự trữ tiền điện tử chiến lược , nhằm mục đích đảm bảo lợi ích tài chính của Hoa Kỳ trong hệ sinh thái tài sản kỹ thuật số. Ngoài ra, Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã thành lập Lực lượng Đặc nhiệm Tiền điện tử , chuyển sang cung cấp hướng dẫn quản lý rõ ràng hơn thay vì chiến lược thực thi trước trước đây vốn cản trở sự đổi mới. Liên minh Châu Âu đã thông qua Đạo luật Thị trường Tài sản Kỹ thuật số (MiCA) để hoàn thiện các tiêu chuẩn kỹ thuật và thúc đẩy hơn nữa việc thực hiện quy định trong lĩnh vực tuân thủ Web3.0.
Đánh giá hàng quý
Đầu quý này, Giáo sư Gu Ronghui, nhà đồng sáng lập CertiK, đã sang Hàn Quốc để tiến hành trao đổi hợp tác chiến lược và chính thức ký biên bản ghi nhớ hợp tác chiến lược (MOU) với Sàn giao dịch tài sản kỹ thuật số Busan (Bdan) . Trong thời gian này, Giáo sư Gu cũng đã gặp gỡ các đối tác quan trọng của Hàn Quốc như Wemix, Kaia, United Games và GBBC để mở rộng hơn nữa phạm vi hợp tác. Đồng thời, Giáo sư Gu được mời trả lời phỏng vấn độc quyền với các hãng truyền thông nổi tiếng của Hàn Quốc là etoday và TokenPost , đồng thời bày tỏ hiểu biết sâu sắc của mình về thị trường Hàn Quốc, xu hướng quản lý toàn cầu mới và bố cục chiến lược của CertiK.
Trong sự kiện Hong Kong Consensus vào tháng 2, CertiK đã đồng tổ chức sự kiện “CertiK Space” cùng với OceanBase và OKLink . Trong sự kiện, Giáo sư Gu Ronghui đã được phỏng vấn và giải thích một cách có hệ thống về xu hướng đồng tiến hóa của công nghệ, kinh doanh và quy định ; Giáo sư Li Kang, Giám đốc Công nghệ của CertiK, đã phân tích các mối đe dọa do các phương pháp tấn công ngày càng phát triển của các tổ chức tin tặc gây ra .
Quý này, CertiK cũng đã hợp tác với Ant Cryptography để công bố công trình nghiên cứu mới nhất - xác minh chính thức các thành phần cốt lõi của hệ điều hành Asterinas , thu hút sự chú ý và đưa tin của nhiều đơn vị truyền thông uy tín như Phoenix.com, NetEase News và Sina Finance.
Quý này, CertiK cũng đã xuất bản một số bài viết phân tích kỹ thuật và khoa học phổ biến:
Bảo vệ dữ liệu Blockchain và tuân thủ quyền riêng tư: Đi sâu vào GDPR HIPAA
Sự đan xen giữa ánh sáng và bóng tối: Khám phá sự hỗn loạn trong hệ sinh thái token Ethereum
Bảo vệ tài sản và phòng ngừa rủi ro | Hướng dẫn bảo mật tài sản Web3.0 cho năm 2025
Cùng lúc đó, Giám đốc kinh doanh của CertiK là khách mời trên podcast của Cointelegraph, thảo luận sâu về sự cố Bybit và bảo mật Web3.0 .
Phần kết luận
CertiK có hiểu biết sâu sắc về ngành và đã cung cấp nhiều phân tích sự cố bảo mật, hướng dẫn bảo mật, báo cáo bảo mật hàng năm và hàng quý để cung cấp thông tin bảo mật quan trọng cho ngành. Sau khi báo cáo bảo mật được công bố, nó đã nhận được sự chú ý cao từ ngành và nhanh chóng được các phương tiện truyền thông cốt lõi trong lĩnh vực Web3.0 như CoinDesk và Cointelegraph đưa tin và trích dẫn.
Báo cáo hàng quý của CertiK cũng cung cấp phân tích chuyên sâu về các blockchain bị tấn công nhiều nhất, ba sự cố bảo mật lớn trong quý, xu hướng phát triển của Web3.0 và cung cấp cho người dùng và chủ dự án những đề xuất để cải thiện bảo mật.
Bạn có thể nhấp vào đây để đọc toàn bộ Hack 3d: Báo cáo bảo mật thường niên năm 2024 để có thêm phân tích, thông tin chi tiết và khuyến nghị toàn diện hơn.