Lộ từ khóa riêng tư vẫn là nguyên nhân chính gây mất tiền mã hóa

Các vụ đánh cắp tiền mã hóa vẫn chủ yếu bắt nguồn từ việc lộ “từ khóa riêng tư”

Theo báo cáo quý 3 năm 2025 do công ty bảo mật blockchain SlowMist công bố, nguyên nhân hàng đầu dẫn đến các vụ đánh cắp tiền mã hóa vẫn đến từ việc “từ khóa riêng tư” và cụm từ khôi phục bị rò rỉ. Trong quý này, tổng cộng ghi nhận 317 vụ việc, phần lớn trong số đó có nguyên nhân rất đơn giản: người dùng bất cẩn làm lộ thông tin đăng nhập hoặc sử dụng thiết bị không an toàn.

SlowMist đã sử dụng dữ liệu từ dịch vụ truy vết tài sản người dùng MistTrack để đưa ra thống kê nói trên. Cụ thể, chỉ có 10 trường hợp tiền bị đánh cắp được thu hồi hoặc đóng băng, với tổng giá trị khoảng 3,73 triệu USD (tương đương khoảng 51,8 tỷ đồng). Điều này cho thấy khả năng khôi phục tài sản khi đã bị giả mạo là rất giới hạn.

Một điểm đáng chú ý trong báo cáo là các hình thức tấn công không cần dùng đến kỹ thuật cao cấp. Thay vào đó, phần lớn hacker chỉ đơn giản tận dụng lỗ hổng trong “thông tin xác thực cơ bản”. Một trong những thủ đoạn phổ biến là rao bán “ví cứng” giả mạo, trong đó đã cài sẵn cụm khôi phục hoặc được thiết kế để tự động gửi thông tin người dùng ra bên ngoài. Ngay khi nạp tài sản vào thiết bị này, tài sản sẽ lập tức bị rút hết mà không cần thêm bất kỳ hành động nào.

Trước tình trạng trên, SlowMist khuyến cáo người dùng nên mua ví cứng từ “cửa hàng chính hãng”, tránh sản phẩm có sẵn tờ ghi cụm khôi phục, đồng thời luôn tạo “từ khóa riêng tư” trực tiếp trong thiết bị. Ngoài ra, người dùng cũng nên thử “giao dịch thử với số tiền nhỏ” trước khi sử dụng ví cho mục đích chính thức. Việc kiểm tra kỹ bao bì và tránh sử dụng thiết bị có sẵn cụm khôi phục được xem là một phần quan trọng trong quy trình an toàn.

Báo cáo còn cảnh báo về sự gia tăng của các cuộc tấn công bằng thủ đoạn “lừa đảo và kỹ thuật xã hội”. Một số vụ việc lợi dụng chuẩn EIP-7702 mới cho phép xác thực ủy quyền linh hoạt đã khiến người dùng mất cảnh giác. Khi xác nhận các giao dịch "trông có vẻ bình thường", nạn nhân vô tình ký các hợp đồng cho phép hacker toàn quyền rút tài sản.

Một vụ khác khai thác nền tảng LinkedIn để tiếp cận các ứng viên tìm việc, sau đó dụ họ cài đặt trình “điều khiển camera”, thực chất là mã độc. Một nạn nhân đã bị chiếm đoạt tới 13 triệu USD (gần 180,7 tỷ đồng) chỉ vì hacker kiểm soát “trình mở rộng Chrome” ngay trong cuộc gọi Zoom.

Một số hình thức tấn công truyền thống như giả mạo Google Ads hay sao chép giao diện DeFi vẫn rất phổ biến, gây thiệt hại lên đến “hàng triệu USD”. Thậm chí, các đường link Discord cũ hoặc đã hết hạn vẫn bị hacker lợi dụng để giả mạo cộng đồng, lừa gạt người dùng. Trong một vụ cụ thể, hacker giả danh dự án Aave đã đánh cắp khoảng 1,2 triệu USD (tương đương 16,68 tỷ đồng) thông qua một nền tảng giả.

Ngoài ra, báo cáo cũng ghi nhận các cách thức tấn công tinh vi hơn, như hiển thị ô nhập dữ liệu giống CAPTCHA, nhưng thực chất là cửa sổ yêu cầu nhập lệnh — dẫn dụ người dùng tự tay sao chép và chạy mã độc. Những dòng mã này khi được kích hoạt có thể trích xuất “từ khóa riêng tư”, cookies trình duyệt và toàn bộ dữ liệu ví cá nhân.

SlowMist bình luận rằng bản chất của các cuộc tấn công Web3 không nằm ở mức độ phức tạp về kỹ thuật mà nằm ở việc “khai thác sơ suất trong thói quen hàng ngày của người dùng.” Họ nhấn mạnh: “Chỉ cần kiểm tra lại một lần nữa, xác minh rõ nguồn gốc và tránh nhấp vào các liên kết đáng ngờ cũng đủ để ngăn đa số các thiệt hại.”

Với mức độ tinh vi ngày càng tăng của các cuộc tấn công vào tiền mã hóa, người dùng cần nâng cao cảnh giác và tuân thủ các biện pháp bảo mật cơ bản. Những lỗi đơn giản như quản lý “từ khóa riêng tư” không đúng cách có thể khiến người dùng mất đi số tiền hàng tỷ đồng. Đây là lời cảnh tỉnh cho toàn bộ cộng đồng người dùng blockchain và nhà đầu tư tiền mã hóa hiện nay.