Mất mát do lừa đảo trong lĩnh vực mã hóa năm 2025 giảm mạnh 83%, nhưng các hacker đang chuyển hướng sang “quét rộng”

Theo báo cáo mới nhất của Scam Sniffer, nền tảng an ninh Web3, thiệt hại do lừa đảo liên quan đến ví tiền điện tử đã giảm 83% vào năm 2025, xuống còn 83,85 triệu USD. Tuy nhiên, sự giảm tổng thiệt hại này che giấu một xu hướng ẩn hơn: các hacker đang từ bỏ “săn cá voi” để chuyển sang chiến lược “quét lưới” nhắm vào người dùng bán lẻ.

Báo cáo chỉ ra rằng, hệ sinh thái vẫn còn sôi động, các phương tiện tấn công mới xuất hiện theo các nâng cấp của Ethereum, dự báo rằng an ninh và phòng thủ sẽ bước vào một giai đoạn phức tạp hơn. Trong khi đó, mặc dù tổng thiệt hại của hacker trong tháng 12 giảm 60% so với tháng trước, nhưng các cuộc tấn công lừa đảo vẫn là mối đe dọa liên tục, và hướng phát triển của chúng đáng để các nhà đầu tư bình thường cảnh giác hơn.

Bóng tối dưới cơn cuồng thị trường: Mối liên hệ chặt chẽ giữa thiệt hại lừa đảo và chu kỳ thị trường

Dù tổng thiệt hại hàng năm giảm mạnh, nhưng qua phân tích dữ liệu theo tháng, hoạt động lừa đảo bằng tiền điện tử vẫn không biến mất, mà còn thể hiện sự đồng bộ đáng kinh ngạc với biến động thị trường. Báo cáo Scam Sniffer tiết lộ rằng, thiệt hại do lừa đảo về bản chất là “hàm xác suất” của mức độ hoạt động của người dùng trên chuỗi — khi thị trường sôi động, các giao dịch trên chuỗi diễn ra thường xuyên, số lượng nạn nhân cũng tăng theo. Quy luật này đã được chứng minh rõ ràng trong quý 3 năm 2025. Quý này trùng hợp với đợt tăng giá mạnh nhất trong năm của Ethereum, và thiệt hại do lừa đảo đạt đỉnh 31 triệu USD, trong đó riêng tháng 8 và 9 đã đóng góp gần 29% tổng thiệt hại của cả năm.

Xét theo dữ liệu cụ thể, ảnh hưởng của thị trường nóng lạnh đến quy mô thiệt hại là rất rõ ràng. Trong tháng 12 thị trường bình lặng nhất, thiệt hại lừa đảo hàng tháng chỉ là 2,04 triệu USD; còn khi hoạt động thị trường đạt đỉnh vào tháng 8, con số này tăng vọt lên 12,17 triệu USD, chênh lệch gần sáu lần. Mối liên hệ mạnh mẽ này cảnh báo các nhà đầu tư: sự ồn ào của thị trường bò không chỉ là tiếng kèn báo hiệu sự tăng trưởng của cải, mà còn là tín hiệu săn mồi hoạt động mạnh nhất của các phần tử xấu. Nó nhắc nhở chúng ta rằng, sự cảnh giác về an ninh không thể lỏng lẻo vì tâm lý FOMO, mà ngược lại, cần nâng cao cảnh giác tối đa khi cảm xúc này lan rộng.

Phía sau các đợt tấn công theo chu kỳ này là hệ sinh thái “đạo tặc theo dịch vụ” đã trưởng thành và mang tính công nghiệp. Các công cụ tấn công và script có tính mô-đun, dễ tiếp cận, khiến ngay cả các tội phạm có năng lực kỹ thuật không cao cũng có thể phát động tấn công nhanh chóng khi thị trường nóng lên. Do đó, kết luận của báo cáo “hệ sinh thái đạo tặc vẫn còn hoạt động” không phải là lời nói quá, mà là mô tả khách quan về một thị trường đen thích nghi, theo đuổi lợi nhuận. Các đạo tặc cũ có thể rút lui do hành động của pháp luật hoặc do công nghệ lỗi thời, nhưng luôn có những vai trò mới nhanh chóng lấp đầy chỗ trống, chờ đợi chu kỳ thị trường tiếp theo.

Tiến hóa chiến lược: Từ “săn cá voi” sang “quét lưới” để giảm cấp

Thay đổi nổi bật nhất trong lĩnh vực lừa đảo tiền điện tử năm 2025 không chỉ là giảm thiệt hại về số tiền, mà còn là sự chuyển hướng căn bản trong chiến lược tấn công. Trước đây, các hacker thường tập trung vào các vụ “bắn chính xác” nhằm vào cá nhân hoặc tổ chức có giá trị ròng cao, các vụ lớn hàng chục triệu USD, gây chấn động thị trường và được đưa tin rộng rãi. Tuy nhiên, dữ liệu năm nay cho thấy, mô hình “săn cá voi” đang suy yếu. Các vụ thiệt hại trên 1 triệu USD trong năm chỉ có 11 vụ, giảm mạnh so với 30 vụ của năm 2024.

Thay vào đó, là một chiến lược “quét lưới” kín đáo, liên tục và nhắm vào nhiều người dùng bán lẻ hơn. Sự chuyển đổi này thể hiện rõ nhất qua giảm đáng kể trung bình thiệt hại của mỗi nạn nhân. Năm 2025, trung bình mỗi nạn nhân mất khoảng 790 USD, so với trước đó, các vụ thiệt hại hàng chục, hàng trăm nghìn USD trong các năm trước đã trở thành quá khứ. Các hacker đã thay đổi logic hoạt động: thay vì mạo hiểm, dùng nguồn lực phức tạp để nhắm vào “cá mập” cảnh giác cao, họ sử dụng công cụ tự động, với chi phí biên cực thấp, để tấn công hàng nghìn người dùng bình thường cùng lúc. Dù tỷ lệ thành công không cao, nhưng quy mô lớn đủ để mang lại lợi nhuận tích lũy đáng kể.

Dữ liệu chiến lược tấn công quan trọng năm 2025

• Trung bình thiệt hại mỗi vụ: 790 USD (giảm rõ rệt, hướng tới người dùng bán lẻ)
• Số vụ lớn trên 1 triệu USD: 11 vụ (giảm 63% so với 30 vụ năm 2024)
• Thiệt hại lớn nhất trong năm: 6,5 triệu USD (sử dụng chữ ký Permit độc hại)
• Thiệt hại từ phương tiện tấn công mới EIP-7702: 2,54 triệu USD (chỉ trong tháng 8 có 2 vụ)

Chiến lược chuyển đổi này đặt ra thách thức mới cho hệ sinh thái an ninh. Các vụ trộm lớn thường nhanh chóng thu hút phản ứng phối hợp từ các dự án, sàn giao dịch và các công ty an ninh, qua theo dõi trên chuỗi và phong tỏa tài chính, làm khó cho hacker rửa tiền. Tuy nhiên, đối với các thiệt hại nhỏ vài trăm USD, nạn nhân thường không có đơn kiện, chi phí pháp lý và truy đuổi rất cao, hacker dễ dàng trốn tránh. Điều này đánh dấu việc lừa đảo qua mạng đang chuyển từ một mối đe dọa “dựa trên sự kiện tin tức” thành một rủi ro phổ biến, tồn tại như một “tiếng ồn nền” trong toàn bộ hệ sinh thái tiền điện tử, phạm vi tác hại không nhỏ.

Cải tiến công nghệ: Permit ký và EIP-7702 thành những mìn mới

Trong khi chiến lược tấn công “giảm cấp”, công nghệ tấn công lại liên tục “nâng cấp”, theo kịp tiến trình phát triển của các blockchain chính như Ethereum. Các ví dụ năm 2025 cho thấy rõ cách hacker nhanh chóng khai thác các giao thức và tiêu chuẩn mới để tấn công. Trong đó, các hình thức giả mạo dựa trên Permit và Permit2 vẫn là vũ khí sát thương lớn nhất. Vụ trộm lớn nhất trong năm xảy ra vào tháng 9, thiệt hại 6,5 triệu USD, chính là do ký Permit độc hại. Thống kê cho thấy, trong các vụ thiệt hại trên 1 triệu USD, có tới 38% liên quan đến tấn công bằng Permit.

Nguy hiểm của ký Permit nằm ở chỗ nó tận dụng sự tiện lợi cho người dùng. Nó cho phép người dùng ký một lần để cấp quyền, giúp bên thứ ba thao tác token của họ mà không cần trả phí Gas cho từng giao dịch, nhằm nâng cao hiệu quả tương tác DeFi. Tuy nhiên, nếu người dùng vô tình ký một hợp đồng độc hại, hacker có thể rút sạch token trong ví mà họ không hay biết. Tính năng “ký một lần, cấp quyền vô hạn” này biến nó thành bẫy ưa thích của các cuộc lừa đảo mạng.

Điều cảnh báo mang tính dự báo hơn là sự xuất hiện của EIP-7702, tiêu chuẩn tấn công mới. Đây là tiêu chuẩn được giới thiệu cùng với nâng cấp Ethereum Pectra, nhằm tăng cường chức năng trừu tượng hóa tài khoản. Tuy nhiên, chỉ trong thời gian ngắn sau khi nâng cấp, hacker đã phát triển các phương án ký độc hại dựa trên EIP-7702. Điểm đáng sợ là nó cho phép hacker gói ghém nhiều thao tác nguy hiểm trong một ký của người dùng, ví dụ, trong một giao dịch bình thường, có thể đồng thời chứa các thao tác ủy quyền, chuyển tiền, thậm chí thay đổi quyền hạn. Hai vụ liên quan xảy ra vào tháng 8 năm 2025 đã gây thiệt hại tổng cộng 2,54 triệu USD, cho thấy tốc độ thích ứng của hacker với các thay đổi của giao thức. Đây không chỉ là lỗ hổng kỹ thuật, mà còn là vấn đề an ninh toàn hệ sinh thái: mỗi lần nâng cấp nhằm nâng cao hiệu suất và trải nghiệm người dùng đều có thể bị kẻ đen nắm bắt và biến thành vũ khí mới.

Các yếu tố đa chiều đằng sau giảm thiệt hại và bài học ngành

Sự giảm mạnh thiệt hại do lừa đảo trong năm 2025 không chỉ do một nguyên nhân đơn lẻ, mà là kết quả của sự phối hợp giữa hệ sinh thái, hạ tầng an ninh, giáo dục người dùng và môi trường thị trường. Trước hết, các sàn giao dịch lớn và nhà cung cấp ví đã liên tục nâng cao các biện pháp phòng thủ an ninh nội bộ trong những năm qua, như cảnh báo rủi ro cấp phép rõ ràng hơn, chặn các địa chỉ hợp đồng đáng ngờ, phổ biến chức năng mô phỏng giao dịch. Những biện pháp này tạo ra “gờ giảm tốc” trước khi người dùng thực hiện các thao tác quan trọng, ngăn chặn được nhiều click bờ.

Thứ hai, qua các chu kỳ thị trường và các vụ việc đau thương lan truyền, ý thức an toàn của cộng đồng người dùng tiền điện tử đã nâng cao rõ rệt. Ngày càng nhiều người bắt đầu dùng ví phần cứng để quản lý tài sản lớn, chủ động dùng các công cụ an ninh để kiểm tra hợp đồng trước khi tương tác, và cảnh giác với các thủ thuật như “chuyển khoản không phí Gas”, “nhận airdrop”. Văn hóa an toàn do cộng đồng thúc đẩy, chia sẻ các địa chỉ và tên miền đáng ngờ kịp thời, cũng tạo thành một mạng lưới phòng thủ quan trọng.

Thứ ba, xét về góc độ vĩ mô, các số liệu của PeckShield cho thấy, trong tháng 12 năm 2025, tổng thiệt hại của ngành tiền điện tử do hacker và khai thác lỗ hổng gây ra khoảng 76 triệu USD, giảm 60% so với tháng trước. Điều này cho thấy, tình hình an ninh chung của ngành đã được củng cố nhờ nỗ lực của các bên, và lừa đảo cũng chịu ảnh hưởng tích cực từ môi trường chung. Tuy nhiên, chúng ta cần tỉnh táo nhận ra rằng, tính “bền bỉ” của hoạt động tấn công vẫn chưa thay đổi. Ví dụ, hai vụ an ninh lớn nhất tháng 12 — một vụ tấn công địa chỉ trị giá 50 triệu USD và một vụ rò rỉ khoá đa chữ ký trị giá 27,3 triệu USD — vẫn cho thấy, dù là qua kỹ thuật xã hội hay lỗ hổng kỹ thuật, các khoản tiền lớn luôn đối mặt với nguy cơ.

Vì vậy, đối với nhà đầu tư bình thường, giai đoạn bình yên hiện tại chính là thời điểm tốt nhất để củng cố thói quen an toàn của chính mình. Không nên hiểu nhầm rằng dữ liệu giảm là dấu hiệu hết nguy cơ, mà phải xem đó là “cân bằng động” do chiến lược tấn công của hacker điều chỉnh và hệ thống phòng thủ của ngành nâng cao. Cân bằng này rất mong manh, và lần tới khi thị trường bùng nổ hoặc xuất hiện một mô hình công nghệ mới, nó có thể bị phá vỡ.

Các biện pháp phòng thủ tiên tiến: Hướng dẫn an toàn thực tế cho người dùng tiền điện tử

Đối mặt với các mối đe dọa lừa đảo ngày càng tinh vi và biến đổi chiến lược, chờ đợi nền tảng bảo vệ là không đủ, mà cần chủ động xây dựng hệ thống an toàn cá nhân. Trước hết, trong quản lý ủy quyền, cần giữ nguyên tắc tối giản và thường xuyên dọn dẹp. Ngừng sử dụng “ủy quyền vô hạn” ngay lập tức, chỉ cấp phép tối thiểu cần thiết cho các dự án DeFi hoặc NFT, và sau khi hoàn tất, lập tức thu hồi. Sử dụng các chức năng “Token Approval” của Etherscan hoặc các công cụ chuyên nghiệp như Scam Sniffer để kiểm tra và thu hồi các quyền không cần thiết định kỳ.

Thứ hai, hiểu rõ và cảnh giác với rủi ro ký mới là điều cực kỳ quan trọng. Với bất kỳ yêu cầu ký “Permit”, “Permit2” hoặc liên quan đến “EIP-7702”, người dùng cần dùng chức năng mô phỏng giao dịch của ví để xem trước toàn bộ các thao tác tiềm năng. Đừng để bị lừa bởi các câu nói như “tiết kiệm Gas” hoặc “tiện lợi một cú click”, và tuyệt đối từ chối các yêu cầu ký mà chưa hiểu rõ ý nghĩa đầy đủ. Nhớ rằng, trong thế giới tiền điện tử, mỗi lần ký của bạn đều như đóng dấu vào một tấm séc trống, phải chắc chắn biết rõ tấm séc đó sẽ được dùng để làm gì.

Cuối cùng, xây dựng kiến trúc phân lớp quản lý tài sản. Đây là chiến lược an ninh cấp tổ chức cá nhân. Giữ phần lớn tài sản dài hạn (như Bitcoin, Ethereum) trong ví phần cứng hoàn toàn ngoại tuyến, chỉ để một lượng nhỏ dùng cho giao dịch hàng ngày và tương tác trên chuỗi trong ví nóng (như MetaMask). Sử dụng môi trường trình duyệt hoặc thiết bị riêng biệt để thực hiện các hoạt động thường xuyên, tránh truy cập các trang web độc hại gây rò rỉ khoá riêng. Đồng thời, cảnh giác với các thủ thuật cũ như “địa chỉ bị đầu độc”, và trước khi chuyển khoản lớn, xác minh địa chỉ nhận qua nhiều kênh khác nhau để đảm bảo chính xác.

An toàn là một cuộc đua không có điểm dừng. Các hacker ngày càng kiên nhẫn, phân tán và tinh vi hơn. Là người dùng, chúng ta không thể kiểm soát được biến động thị trường hay ngăn chặn các phương tiện tấn công mới ra đời, nhưng có thể qua học hỏi có hệ thống và thao tác cẩn trọng, biến mình từ “nạn nhân” trong mô hình xác suất thành các nút bền vững trong hệ sinh thái an toàn. Dữ liệu giảm trong năm 2025 là một dấu mốc đáng khích lệ, nhưng nó còn là một tấm gương phản chiếu rõ ràng hướng phát triển của các mối đe dọa, để chúng ta có thể củng cố vững chắc hơn cho vùng đất số của chính mình.