Vào ngày 5 tháng 8 năm 2025, KuCoin đã phát hành kênh Security Weekly mới nhất của mình, trong đó nhấn mạnh một thực tế đáng buồn đối với hệ sinh thái Web3. Theo báo cáo, dựa trên dữ liệu từ công ty bảo mật blockchain SlowMist, các sự cố bảo mật trong tháng 7/2025 đã gây thất thoát khoảng147 triệu đô latổng thiệt hại. Những con số này không chỉ là một bản tổng kết đáng buồn; chúng là lời nhắc nhở rõ ràng rằng rủi ro không phải là điều bất thường trong thế giới tiền điện tử. Nó là một thực tế phức tạp và vốn có, ảnh hưởng đến mọi người tham gia, từ nhà phát triển đến người dùng thông thường.
Một cái nhìn sâu hơn về các vụ hack lớn trong tháng cho thấy ba loại rủi ro riêng biệt, cùng nhau định hình những thách thức về bảo mật của Web3.
Hợp đồng thông minh: Con dao hai lưỡi củaWeb3
Đối với nhiều người, lời hứa của Web3 nằm ở sự phụ thuộc vào mã không thể thay đổi. Nhưng như các sự cố trong tháng 7 đã chỉ ra, chỉ một lỗi logic duy nhất cũng có thể gây ra thảm họa. Nền tảng giao dịch phi tập trungGMXđã chịu thiệt hại hơn42 triệu đô lasau khi các kẻ tấn công khai thác một lỗ hổng tinh vi trong logic hệ thống Keeper của nó. Bằng cách thao túng cách giao thức xử lý vị thế bán và cập nhật giá, những kẻ tấn công đã làm tăng giá GLP, cho phép chúng hưởng lợi từ việc đổi giá trị lớn.
Tương tự, vụ hack cầu nối chuỗi chéo củaZKSwapđã dẫn đến thiệt hại5 triệu đô lado một lỗi cơ bản. Cơ chế bằng chứng không kiến thức—một tính năng bảo mật cốt lõi—thực sự không được xác minh, cho phép kẻ tấn công giả mạo bằng chứng rút tiền và vượt qua kiểm tra bảo mật quan trọng nhất của hệ thống. Trường hợp hợp đồng thông minh củaSuperRare, với một lỗi cấp thấp trong đó != đã được sử dụng thay vì ==, càng nhấn mạnh vấn đề này. [2] Những cuộc tấn công này làm nổi bật một sự thật quan trọng: trong một hệ thống được xây dựng dựa trên mã, ngay cả một lỗi nhỏ cũng có thể tạo ra một lỗ hổng bảo mật lớn.
Nguồn: @SlowMist_Team trên X (Twitter)
Từ Người Nội Bộ đến Keylogger: Mặt trận Tấn Công của Web3 Mở Rộng
Trong tháng 7, mặc dù mã nguồn thường là trọng tâm chính, xu hướng đáng báo động nhất là sự gia tăng tinh vi của các cuộc tấn công nhắm vào con người đứng sau các nền tảng. Đây chính là lúc những lỗ hổng của các hệ thống tập trung thực sự được phơi bày. VụCoinDCXbị hack, gây thiệt hại44,2 triệu USD, không phải là một cuộc tấn công trực tiếp vào ví của nền tảng mà là một vụ nội gián được thực hiện thông qua một kỹ sư phần mềm bị xâm nhập. Kẻ tấn công đóng giả làm nhà tuyển dụng tự do, cài đặt phần mềm keylogger trên máy tính của nhân viên, đánh cắp thông tin đăng nhập của anh ta và xâm nhập vào hệ thống nội bộ của sàn giao dịch. Việc bắt giữ kỹ sư sau đó cho thấy hậu quả nghiêm trọng của vi phạm này, và sự cố này cho thấy kỹ thuật xã hội vẫn là một phương thức tấn công hiệu quả cao. [1]
Một ví dụ khác là vụtấn công chuỗi cung ứng BigONE, trong đó tin tặc xâm nhập vào mạng lưới sản xuất của sàn giao dịch và thay đổi logic vận hành của hệ thống kiểm soát rủi ro, dẫn đến thiệt hại27 triệu USD. Vụ hackWOO X, làm mất14 triệu USDtừ chín tài khoản người dùng, cũng liên quan đến một cuộc tấn công lừa đảo có mục tiêu nhằm vào một thành viên trong nhóm. Những sự cố này nhấn mạnh rằng cho dù lưu trữ lạnh của một sàn giao dịch có an toàn đến đâu, cơ sở hạ tầng nội bộ của nó—và các nhân viên quản lý hệ thống—vẫn tạo ra một bề mặt tấn công đáng kể mà các kẻ xấu ngày càng chú ý khai thác.
Nguồn: @SlowMist_Team trên X (Twitter)
Rủi ro do người dùng gây ra: Tuyến phòng thủ cuối cùng
Có lẽ những tổn thất đau lòng nhất là những tổn thất xuất phát từ sự thiếu giáo dục và nhận thức của người dùng. Báo cáo bao gồm một câu chuyện kinh hoàng về một người dùng bị mất4,35BTC—một số tiền đáng kể—sau khi mua mộtví lạnh giảtừ một người bán bên thứ ba trên một nền tảng thương mại điện tử [3]. Thiết bị được cài đặt sẵn là một cái bẫy, được thiết kế để rút tiền ngay khi chúng được chuyển vào. Câu chuyện này là một lời nhắc nhở mạnh mẽ rằng an ninh không chỉ là trách nhiệm của các nền tảng và giao thức.
Đối với người dùng thông thường, các rủi ro của Web3 là duy nhất. Họ không được bảo vệ bởi bảo hiểm cấp ngân hàng hoặc các phòng ban chống gian lận truyền thống. Bản chất phi tập trung của công nghệ đặt một gánh nặng trách nhiệm nặng nề lên cá nhân, làm cho sự cẩn trọng trong mọi thứ—từ việc muaví phần cứngđến xác minh chi tiết giao dịch—trở nên vô cùng quan trọng.
Kết luận: Trách nhiệm chung
Sự kiện an ninh tháng 7 năm 2025, như được trình bày chi tiết trong báo cáo của KuCoin, là một bản tóm tắt mạnh mẽ về những rủi ro vốn có của Web3. Những sự kiện này cho thấy hệ sinh thái đang bị thử thách đồng thời bởi các lỗi kỹ thuật trong hợp đồng thông minh, các cuộc tấn công do con người thực hiện vào các thực thể tập trung, và sự thiếu nhận thức dai dẳng của người dùng. Số tiền thiệt hại lên đến 147 triệu đô la là một hồi chuông cảnh tỉnh cho toàn ngành. Đây là một tín hiệu rõ ràng rằng an ninh không thể tiếp tục bị xem nhẹ. Thay vào đó, nó phải là một nỗ lực tích hợp và hợp tác, bao gồm các cuộc kiểm toán kỹ thuật chặt chẽ, các giao thức nội bộ nghiêm ngặt, và cam kết rộng rãi đối với việc giáo dục người dùng. Chỉ bằng cách giải quyết cả ba khía cạnh này, ngành công nghiệp mới có thể hy vọng xây dựng một tương lai số thực sự an toàn và bền vững.
Tham khảo
[1] FinanceFeeds - Kỹ sư phần mềm của CoinDCX bị bắt trong vụ trộm tiền điện tử với nội gián hỗ trợ trị giá 44 triệu đô la, ngày 31 tháng 7 năm 2025
[2] X(Twitter) - Cảnh báo SlowMist TI, ngày 28 tháng 7 năm 2025(https://x.com/SlowMist_Team/status/1949770231733530682)
[3] X(Twitter) - Trải nghiệm bị hack của một người dùng khi mua ví lạnh qua các kênh không chính thức, ngày 29 tháng 7 năm 2025(https://x.com/0xdizai/status/1949906538497528087)