Báo cáo An ninh Web3 năm 2025: Tấn công chuỗi cung ứng trở thành mối đe dọa lớn nhất

Tác giả: Beosin

Lời giới thiệu

Báo cáo nghiên cứu này do Liên minh An ninh Blockchain khởi xướng, được các thành viên của Liên minh là Beosin, Footprint Analytics cùng hợp tác thực hiện, nhằm khám phá toàn diện về tình hình an ninh blockchain toàn cầu năm 2025. Thông qua phân tích và đánh giá thực trạng an ninh blockchain toàn cầu, báo cáo sẽ tiết lộ các thách thức và mối đe dọa an ninh hiện tại, đồng thời đề xuất các giải pháp và thực hành tốt nhất. An ninh blockchain và quản lý là các vấn đề then chốt trong sự phát triển của thời đại Web3. Thông qua nghiên cứu sâu và thảo luận trong báo cáo này, chúng ta có thể hiểu rõ hơn và ứng phó hiệu quả với những thách thức này, thúc đẩy tính an toàn và phát triển bền vững của công nghệ blockchain.

1. Tổng quan tình hình an ninh Web3 blockchain năm 2025

Theo giám sát của nền tảng Alert thuộc Công ty công nghệ an ninh và tuân thủ blockchain Beosin, tổng thiệt hại trong lĩnh vực Web3 năm 2025 do hacker tấn công, lừa đảo qua phishing và Rug Pull của các dự án đã lên tới 3,375 tỷ USD. Tổng số vụ việc an ninh lớn liên quan đến blockchain là 313, trong đó có 191 vụ hacker tấn công, thiệt hại khoảng 3,187 tỷ USD; các vụ Rug Pull của dự án gây thiệt hại khoảng 11,5 triệu USD; các vụ lừa đảo phishing 113 vụ, thiệt hại khoảng 177 triệu USD.

Trong quý 1 năm 2025, thiệt hại lớn nhất chủ yếu đến từ vụ hacker tấn công của Bybit. Mặc dù thiệt hại do hacker tấn công giảm dần theo quý, nhưng so với năm 2024 lại tăng mạnh, mức tăng là 77.85%; thiệt hại từ phishing và Rug Pull của dự án đều giảm rõ rệt so với năm 2024, trong đó phishing giảm khoảng 69.15%, Rug Pull giảm khoảng 92.21%.

Các loại dự án bị tấn công trong năm 2025 bao gồm DeFi, CEX, công chain, cầu chéo chuỗi, NFT, nền tảng giao dịch Memecoin, ví, trình duyệt, gói mã của bên thứ ba, hạ tầng, robot MEV và các loại khác. DeFi vẫn là loại dự án bị tấn công nhiều nhất, 91 vụ tấn công gây thiệt hại khoảng 621 triệu USD. CEX là loại dự án gây thiệt hại lớn nhất về tổng số tiền, 9 vụ tấn công vào CEX gây thiệt hại khoảng 1,765 tỷ USD, chiếm 52.30% tổng thiệt hại.

Ethereum vẫn là chuỗi công lớn nhất về thiệt hại trong năm 2025, với 170 vụ an ninh trên Ethereum gây thiệt hại khoảng 2,254 tỷ USD, chiếm 66.79% tổng thiệt hại trong năm.

Về phương thức tấn công, vụ việc của Bybit chủ yếu do tấn công chuỗi cung ứng gây thiệt hại khoảng 1,44 tỷ USD, chiếm 42.67% tổng thiệt hại, là phương thức gây thiệt hại lớn nhất. Ngoài ra, khai thác lỗ hổng hợp đồng là phương thức tấn công phổ biến nhất, trong 191 vụ tấn công có 62 vụ xuất phát từ khai thác lỗ hổng hợp đồng, chiếm 32.46%.

2. Top 10 sự kiện an ninh lớn nhất năm 2025

Trong năm 2025, có 3 vụ an ninh gây thiệt hại trên 1 tỷ USD: Bybit (14,4 tỷ USD), Cetus Protocol (2,24 tỷ USD) và Balancer (1,16 tỷ USD). Tiếp theo là Stream Finance (930 triệu USD), cá mập Bitcoin (910 triệu USD), Nobitex (900 triệu USD), Phemex (700 triệu USD), UPCX (700 triệu USD), người dùng Ethereum (500 triệu USD), Infini (495 triệu USD).

Khác với các năm trước, trong 10 sự kiện an ninh lớn nhất năm nay xuất hiện 2 vụ thiệt hại lớn của cá nhân người dùng, nguyên nhân đều do tấn công xã hội / phishing. Mặc dù các loại tấn công này không gây thiệt hại lớn nhất về số tiền, nhưng tần suất ngày càng tăng hàng năm, trở thành mối đe dọa lớn đối với người dùng cá nhân.

3. Các loại dự án bị tấn công

Sàn giao dịch tập trung trở thành loại dự án gây thiệt hại lớn nhất

Năm 2025, loại dự án gây thiệt hại lớn nhất là sàn giao dịch tập trung, 9 vụ tấn công vào sàn tập trung gây thiệt hại khoảng 1,765 tỷ USD, chiếm 52.30% tổng thiệt hại. Trong đó, sàn gây thiệt hại lớn nhất là Bybit, thiệt hại khoảng 1,44 tỷ USD. Các sàn khác có thiệt hại đáng kể gồm Nobitex (khoảng 90 triệu USD), Phemex (khoảng 70 triệu USD), BtcTurk (48 triệu USD), CoinDCX (44,2 triệu USD), SwissBorg (41,3 triệu USD), Upbit (36 triệu USD).

DeFi vẫn là loại dự án bị tấn công nhiều nhất, 91 vụ, gây thiệt hại khoảng 621 triệu USD, đứng thứ hai về thiệt hại. Trong đó, Cetus Protocol bị trộm cắp khoảng 224 triệu USD, chiếm 36.07% tổng số tiền bị trộm trong DeFi; Balancer thiệt hại khoảng 116 triệu USD. Các dự án DeFi có thiệt hại lớn khác gồm Infini (khoảng 49.5 triệu USD), GMX (khoảng 40 triệu USD), Abracadabra Finance (13 triệu USD), Cork Protocol (khoảng 12 triệu USD), Resupply (khoảng 9.6 triệu USD), zkLend (khoảng 9.5 triệu USD), Ionic (khoảng 8.8 triệu USD), Alex Protocol (khoảng 8.37 triệu USD).

4. Tình hình thiệt hại của các chuỗi

Ethereum là chuỗi gây thiệt hại lớn nhất và có nhiều sự kiện an ninh nhất

Giống các năm trước, Ethereum vẫn là chuỗi công gây thiệt hại lớn nhất và có số vụ an ninh nhiều nhất. 170 vụ an ninh trên Ethereum gây thiệt hại khoảng 2,254 tỷ USD, chiếm 66.79% tổng thiệt hại trong năm.

Chuỗi công thứ hai về số vụ an ninh là BNB Chain, với 64 vụ, gây thiệt hại khoảng 8,983 triệu USD. BNB Chain có nhiều vụ tấn công trên chuỗi, thiệt hại tương đối nhỏ, nhưng so với năm 2024, số vụ và thiệt hại đều tăng mạnh, mức tăng là 110.87%.

Base đứng thứ ba về số vụ an ninh, với 20 vụ, tiếp theo là Solana với 19 vụ.

5. Phân tích phương thức tấn công

Khai thác lỗ hổng hợp đồng là phương thức phổ biến nhất

Trong 191 vụ tấn công, có 62 vụ bắt nguồn từ khai thác lỗ hổng hợp đồng, chiếm 32.46%, thiệt hại tổng cộng 556 triệu USD, là loại phương thức gây thiệt hại lớn thứ hai sau tấn công chuỗi cung ứng của Bybit.

Phân loại theo loại lỗ hổng hợp đồng, gây thiệt hại nhiều nhất là lỗ hổng logic kinh doanh, tổng thiệt hại là 464 triệu USD. Các loại lỗ hổng hợp đồng phổ biến gồm: lỗ hổng logic kinh doanh (53 vụ), lỗ hổng kiểm soát truy cập (7 vụ), thiếu sót thuật toán (5 vụ).

Năm nay, số vụ rò rỉ khoá riêng tư là 20, tổng thiệt hại khoảng 180 triệu USD, giảm rõ rệt so với năm ngoái về số vụ và thiệt hại. Các sàn giao dịch, dự án và người dùng đã nâng cao ý thức bảo vệ khoá riêng tư.

6. Phân tích các vụ tấn công điển hình về an ninh

6.1 Phân tích vụ tấn công Cetus Protocol thiệt hại 2.24 tỷ USD

Tổng quan vụ việc

Ngày 22 tháng 5 năm 2025, DEX Cetus Protocol trên hệ sinh thái Sui bị tấn công, nguyên nhân do lỗi trong mã thư viện mã nguồn mở liên quan đến phép dịch trái (left shift). Ví dụ về giao dịch tấn công (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview), các bước tấn công đơn giản như sau:

1. Kích hoạt vay nhanh (flash loan): kẻ tấn công vay 10 triệu haSUI.

2. Tạo vị thế thanh khoản mới: mở vị thế mới với khoảng giá [300000, 300200].

3. Tăng thanh khoản: chỉ dùng 1 đơn vị haSUI nhưng nhận được giá trị thanh khoản lên tới 10,365,647,984,364,446,732,462,244,378,333,008.

4. Rút thanh khoản: ngay lập tức rút nhiều lần để làm cạn kiệt pool thanh khoản.

5. Trả lại vay nhanh: hoàn trả vay và giữ lại khoảng 570 triệu SUI để thu lợi nhuận.

Phân tích lỗ hổng

Nguyên nhân chính của vụ tấn công nằm ở hàm get_delta_a trong đó lỗi trong thực thi checked_shlw khiến kiểm tra tràn số thất bại. Kẻ tấn công chỉ cần ít token để đổi lấy lượng lớn tài sản trong pool, từ đó thực hiện tấn công.

Hình dưới cho thấy, hàm checked_shlw dùng để xác định xem dịch trái u256 64 bit có gây tràn hay không, các giá trị nhỏ hơn 0xffffffffffffffff << 192 sẽ bỏ qua kiểm tra tràn, nhưng giá trị đầu vào sau dịch trái 64 bit có thể vượt quá giá trị tối đa của u256 (tràn), nhưng checked_shlw vẫn cho ra kết quả không tràn (false). Điều này dẫn đến việc tính toán sau đó sẽ ước lượng sai lượng token cần thiết rất nghiêm trọng.

Ngoài ra, trong Move, tính an toàn của phép tính số nguyên nhằm tránh tràn và âm tràn, vì tràn hoặc âm tràn có thể gây ra hành vi bất ngờ hoặc lỗ hổng. Cụ thể: nếu kết quả phép cộng hoặc nhân vượt quá kiểu số nguyên, chương trình sẽ dừng. Nếu chia cho 0, phép chia sẽ dừng. Tuy nhiên, phép dịch trái (<<) khi tràn sẽ không dừng, nghĩa là dù số lượng dịch vượt quá khả năng lưu trữ của kiểu số nguyên, chương trình vẫn tiếp tục, có thể dẫn đến giá trị sai hoặc hành vi không dự đoán được.

6.2 Phân tích vụ an ninh Balancer thiệt hại 1.16 tỷ USD

Ngày 3 tháng 11 năm 2025, giao thức Balancer v2 bị tấn công, bao gồm các dự án fork của nó trên nhiều chuỗi, tổng thiệt hại khoảng 1,16 tỷ USD. Ví dụ về giao dịch tấn công trên Ethereum: 0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1. Kẻ tấn công bắt đầu bằng chức năng hoán đổi hàng loạt, dùng BPT để đổi lấy token thanh khoản trong pool, làm giảm đáng kể dự trữ token trong pool.

2. Sau đó, kẻ tấn công bắt đầu hoán đổi token thanh khoản (osETH/WETH).

3. Tiếp theo, đổi token thanh khoản trở lại BPT, lặp lại nhiều lần qua các pool khác nhau.

4. Cuối cùng, thực hiện rút tiền để thu lợi nhuận.

Phân tích lỗ hổng

ComposableStablePools sử dụng công thức StableSwap của Curve để duy trì giá ổn định giữa các tài sản tương tự. Tuy nhiên, phép tính không đổi (invariant) khi thực hiện phép nhân chia có thể gây ra sai số.

Hàm mulDown thực hiện phép chia lấy phần nguyên, sai số này sẽ truyền vào tính toán invariant, làm giảm giá trị tính toán bất thường, tạo cơ hội lợi nhuận cho kẻ tấn công.

7. Phân tích các vụ điển hình về chống rửa tiền

7.1 Phân tích vụ tấn công của Ryan James Wedding và nhóm tội phạm ma túy Mỹ

Theo tài liệu của Bộ Tài chính Mỹ, Ryan James Wedding và nhóm của hắn vận chuyển hàng tấn cocaine qua Colombia và Mexico, tiêu thụ tại Mỹ và Canada. Tổ chức tội phạm của họ dùng tiền mã hóa để rửa tiền bất hợp pháp.

Thông qua công cụ theo dõi và điều tra trên chuỗi của Beosin Trace, phân tích các địa chỉ liên quan đến nhóm tội phạm của Wedding như sau:

Các địa chỉ của Wedding gồm TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP, TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6 và TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1 đã xử lý tổng cộng 266,761,784.24 USDT, trong đó một phần đã bị Tether chính thức phong tỏa, phần lớn còn lại đã qua nhiều lần chuyển đổi qua các địa chỉ giao dịch tần suất cao và chuyển nhiều bước, sau đó nạp vào các nền tảng như Binance, OKX, Kraken, BTSE.

Nhóm của họ Sokolovski sở hữu nhiều địa chỉ trên các mạng blockchain như BTC, ETH, Solana, TRON, BNB Beacon Chain, và luồng tiền của họ có thể xem trong báo cáo đầy đủ.

7.2 Vụ trộm 40 triệu USD của GMX

Vào ngày 10 tháng 7 năm 2025, GMX bị tấn công do lỗ hổng tái nhập (reentrancy), hacker thu lợi khoảng 42 triệu USD. Beosin Trace theo dõi các khoản bị trộm phát hiện: địa chỉ hacker 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355 sau khi thu lợi đã đổi các loại stablecoin và altcoin thành ETH và USDC qua các giao thức DEX, rồi chuyển các tài sản bị trộm qua nhiều chuỗi khác nhau sang mạng Ethereum.

Sau đó, các khoản ETH trị giá khoảng 32 triệu USD trong số bị trộm được lưu trữ tại 4 địa chỉ Ethereum sau:

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

Khoảng 10 triệu USD còn lại được lưu trữ tại địa chỉ mạng Arbitrum: 0xdf3340a436c27655ba62f8281565c9925c3a5221.

Quá trình rửa tiền của vụ việc này rất điển hình, hacker dùng các giao thức DeFi, cầu chéo chuỗi để làm mơ hồ và che giấu luồng tiền, nhằm tránh bị các cơ quan quản lý, cơ quan thực thi pháp luật theo dõi và phong tỏa.

8. Tổng kết tình hình an ninh blockchain Web3 năm 2025

Năm 2025, thiệt hại do phishing, Rug Pull của dự án vẫn giảm rõ rệt so với năm 2024, nhưng hacker tấn công liên tục, tổng thiệt hại vượt quá 31 tỷ USD, trong đó loại dự án gây thiệt hại lớn nhất vẫn là sàn giao dịch. Các sự kiện liên quan đến rò rỉ khoá riêng tư cũng giảm, nguyên nhân chính gồm:

Sau các hoạt động hacker dữ dội năm ngoái, toàn bộ hệ sinh thái Web3 năm nay chú trọng hơn đến an toàn, từ phía dự án đến các công ty an ninh đều đã nỗ lực trong các lĩnh vực như vận hành an toàn nội bộ, giám sát chuỗi theo thời gian thực, chú trọng kiểm toán an ninh, rút kinh nghiệm từ các vụ khai thác lỗ hổng hợp đồng trong quá khứ, nâng cao ý thức bảo vệ khoá riêng tư và vận hành dự án an toàn hơn. Do độ khó khai thác lỗ hổng hợp đồng và lấy cắp khoá riêng ngày càng cao, hacker bắt đầu dùng các phương thức khác như tấn công chuỗi cung ứng, lỗ hổng frontend để lừa người dùng chuyển tài sản đến địa chỉ do hacker kiểm soát.

Ngoài ra, khi thị trường tiền mã hóa hòa nhập với thị trường truyền thống, mục tiêu tấn công không còn giới hạn ở DeFi, cầu chéo chuỗi, sàn giao dịch nữa, mà chuyển sang các mục tiêu như nền tảng thanh toán, nền tảng cá cược, nhà cung cấp dịch vụ mã hóa, hạ tầng, công cụ phát triển, robot MEV và các mục tiêu đa dạng khác, các phương thức tấn công cũng ngày càng phức tạp hơn về logic giao thức.

Với người dùng cá nhân, các tấn công xã hội / phishing và các hình thức đe dọa bạo lực có thể gây thiệt hại lớn về tài sản cá nhân. Hiện tại, nhiều vụ phishing liên quan đến số tiền nhỏ, nạn nhân chủ yếu là cá nhân, chưa được công khai hoặc ghi nhận, do đó thiệt hại thường bị đánh giá thấp. Người dùng cần nâng cao ý thức phòng tránh các loại tấn công này. Ngoài ra, các hình thức bắt cóc, đe dọa bạo lực đối với người dùng mã hóa cũng đã xuất hiện nhiều lần trong năm, người dùng cần bảo vệ tốt thông tin cá nhân và hạn chế tối đa việc công khai tài sản mã hóa của mình.

Tổng thể, an ninh Web3 năm 2025 vẫn đối mặt với nhiều thách thức nghiêm trọng, dự án và người dùng cá nhân không thể chủ quan. Trong tương lai, an toàn chuỗi cung ứng có thể trở thành trọng tâm của an ninh Web3. Việc liên tục bảo vệ các nhà cung cấp dịch vụ hạ tầng, giám sát và cảnh báo các mối đe dọa trong chuỗi cung ứng là thách thức lớn mà các bên trong ngành cần cùng nhau giải quyết. Đồng thời, các cuộc tấn công xã hội / phishing dựa trên AI có thể tiếp tục gia tăng, đòi hỏi xây dựng một hệ thống phòng thủ đa tầng, theo dõi, cảnh báo theo thời gian thực, linh hoạt từ ý thức cá nhân đến các biện pháp kỹ thuật và cộng đồng hợp tác để ứng phó hiệu quả.