Các dự án Web3 đã phải hứng chịu tổn thất khổng lồ lên đến 464,5 triệu USD do các cuộc tấn công và lừa đảo chỉ trong quý 1 năm 2026. Một báo cáo mới từ công ty bảo mật blockchain Hacken tiết lộ, kỷ nguyên “siêu tấn công” hàng tỷ đô la đang dần nhường chỗ cho hàng loạt vụ việc quy mô trung bình nhưng không kém phần nguy hiểm.
Báo cáo Q1 2026 của Hacken chỉ rõ, các cuộc tấn công lừa đảo (phishing) và kỹ thuật xã hội (social engineering) chiếm ưu thế tuyệt đối, gây thiệt hại 306 triệu USD trong tổng số 43 sự cố. Đáng chú ý, một vụ lừa đảo ví cứng trị giá 282 triệu USD chỉ riêng trong tháng 1 đã “quét sạch” 81% tổng thiệt hại của quý. Các lỗ hổng hợp đồng thông minh cũng không kém phần nguy hiểm, gây ra 86,2 triệu USD tổn thất. Trong đó, các thất bại về kiểm soát quyền truy cập, bao gồm việc lộ khóa riêng tư và lỗ hổng dịch vụ đám mây, đã khiến cộng đồng Web3 thiệt hại thêm 71,9 triệu USD. Mặc dù tổng thiệt hại quý này là thấp thứ hai kể từ năm 2023, một phần do không có vụ “siêu tấn công” nào sánh ngang với vụ Bybit mất 1,46 tỷ USD vào Q1 2025, nhưng quy mô và sự tinh vi của các cuộc tấn công vẫn là mối lo ngại hàng đầu. Yev Broshevan, Giám đốc điều hành và đồng sáng lập của Hacken, nhấn mạnh rằng phần lớn các thất bại đắt giá nhất đang xảy ra “bên ngoài lớp mã hoàn toàn,” tập trung vào các lớp vận hành và hạ tầng mà các cuộc kiểm toán truyền thống thường bỏ qua.
Sự thay đổi này đang thu hút sự giám sát chặt chẽ hơn từ các cơ quan quản lý và đối tác tổ chức. Các khung pháp lý như Quy định về Thị trường Tài sản Tiền điện tử (MiCA) và Đạo luật Khả năng Phục hồi Hoạt động Kỹ thuật số (DORA) tại Liên minh Châu Âu đang đi vào thực thi, nâng cao kỳ vọng về giám sát bảo mật liên tục và khả năng ứng phó sự cố.
**Mã lỗi cũ, cuộc gọi VC giả mạo và xâm nhập khóa riêng tư: Những chiêu trò không mới nhưng vẫn hiệu quả**
Broshevan chỉ rõ các vụ lừa đảo phishing 306 triệu USD, vụ gọi vốn VC giả mạo liên quan đến Triều Tiên gây thiệt hại 40 triệu USD cho Step Finance, và vụ xâm nhập dịch vụ quản lý khóa AWS trị giá 25 triệu USD tại Resolv Labs. Ngay cả khi lỗi nằm ở hợp đồng thông minh, những lỗ hổng tốn kém nhất thường xuất hiện trong các triển khai cũ và các loại lỗ hổng đã biết. Truebit đã mất 26,4 triệu USD vì một lỗi trong hợp đồng Solidity đã triển khai khoảng 5 năm trước, trong khi Venus Protocol bị tấn công theo kiểu “tấn công quyên góp” – một hình thức đã được ghi nhận từ năm 2022. Điều đáng báo động là ngay cả sáu dự án đã được kiểm toán, bao gồm Resolv với 18 lần kiểm toán và Venus với 5 công ty kiểm toán riêng biệt, vẫn phải chịu tổng thiệt hại 37,7 triệu USD. Điều này cho thấy, các giao thức có Tổng Giá Trị Khóa (TVL) cao hơn thường thu hút những kẻ tấn công tinh vi hơn, bất kể số lần kiểm toán.
**Các cơ quan quản lý toàn cầu siết chặt kỳ vọng về ứng phó sự cố**
Trong Q1, MiCA và DORA tại EU đã tiến sâu hơn vào giai đoạn thực thi tích cực. Cơ quan quản lý Dubai, Virtual Assets Regulatory Authority (VARA), đã thắt chặt các yêu cầu trong Sổ tay Quy tắc Công nghệ và Thông tin của mình. Singapore áp dụng các quy tắc về vốn phù hợp với Basel và quy tắc thông báo sự cố trong vòng một giờ. Cơ quan Quản lý Thị trường Vốn mới của Các Tiểu vương quốc Ả Rập Thống nhất đã tiếp quản việc giám sát tài sản kỹ thuật số liên bang với quyền hạn rộng hơn và hình phạt cao hơn. Hacken đã liên kết các chế độ này với một tiêu chuẩn mới cho các hệ thống “sẵn sàng tuân thủ quy định,” bao gồm các xác nhận bằng chứng dự trữ được hỗ trợ bởi đối chiếu nội bộ hàng ngày, giám sát onchain 24/7 trên các ví kho bạc và các vai trò đặc quyền, bộ ngắt mạch tự động trên các chức năng tạo và quản trị, cùng với đồng hồ thông báo sự cố được hiệu chỉnh theo tiêu chuẩn nghiêm ngặt nhất hiện hành. Báo cáo cũng chỉ ra các mục tiêu “thực tế” về nhận thức sự cố trong vòng 24 giờ, gắn nhãn trong vòng 4 giờ và chặn trong 30 giây. Các mục tiêu “tham vọng” thậm chí còn thấp hơn, chỉ 10 phút để phát hiện và 1 giây để chặn, dựa trên dữ liệu Laundering Race năm 2025 của Global Ledger.
Ở cấp độ con người, Hacken cảnh báo về các nhóm tin tặc Triều Tiên là mối đe dọa hoạt động nhất quán. Vụ mất 40 triệu USD của Step Finance và vụ xâm nhập hạ tầng của Bitrefill tiếp tục chứng minh chiêu trò quen thuộc của chúng: tiếp cận VC giả mạo, sử dụng công cụ cuộc gọi video độc hại và xâm nhập điểm cuối của nhân viên, đã rút khoảng 2,04 tỷ USD từ ngành này vào năm 2025.
tienso.org cam kết đưa tin độc lập và minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của tienso.org và nhằm cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự mình xác minh thông tin.
