Tin tức 
Thông tin Coin 
Về chúng tôi 
Trong bối cảnh ngành tiền mã hóa đang đối mặt với nhiều thách thức bảo mật ngày càng tinh vi, một báo cáo mới từ công ty an ninh mạng Scam Sniffer đã ghi nhận dấu hiệu tích cực khi tổng thiệt hại do các cuộc tấn công lừa đảo (phishing) trong năm 2025 đã sụt giảm mạnh. Tuy nhiên, cùng lúc đó, các hình thức tấn công mới, khó phát hiện hơn, cũng đang gia tăng – đòi hỏi người dùng phải cảnh giác hơn bao giờ hết với các rủi ro bảo mật liên quan đến tiền mã hóa.
Theo Scam Sniffer đưa tin ngày 24 (giờ địa phương), tổng thiệt hại do phishing liên quan đến tiền mã hóa trong năm 2025 đạt 83,85 triệu USD (khoảng 1.212 tỷ đồng), giảm mạnh 83% so với con số 494 triệu USD (khoảng 7.141 tỷ đồng) được ghi nhận trong năm 2024. Số lượng nạn nhân cũng giảm 68%, còn 106.106 người.
Phân tích cho thấy các vụ việc có quy mô lớn cũng sụt giảm rõ rệt. Cụ thể, các vụ việc có thiệt hại trên 1 triệu USD đã giảm từ 30 vụ năm 2024 xuống còn 11 vụ trong năm 2025. Trong đó, vụ việc lớn nhất xảy ra vào tháng 9 với thiệt hại 6,5 triệu USD, bằng khoảng ⅛ so với vụ lớn nhất năm trước.
Tuy nhiên, các chuyên gia tại Scam Sniffer cảnh báo rằng sự sụt giảm này không đồng nghĩa với việc rủi ro đã biến mất. Theo họ, lý do chính dẫn đến sự sụt giảm này là do "hoạt động của thị trường giảm sút dẫn đến lượng người dùng tham gia ít hơn", chứ không phải vì các mối đe dọa đã được loại trừ. Báo cáo chỉ ra rằng mối đe dọa từ các cuộc tấn công phishing vẫn đang tiếp tục, với các điểm nóng rơi vào những thời điểm thị trường sôi động.
Đáng chú ý, tháng 8 được ghi nhận là thời điểm có thiệt hại cao nhất với 12,17 triệu USD (khoảng 176 tỷ đồng), trong khi tháng 12 chỉ ghi nhận 2,04 triệu USD (khoảng 29,5 tỷ đồng). Giai đoạn quý 3 – khi thị trường có nhiều biến động – đã chiếm 29% tổng thiệt hại cả năm, với 31 triệu USD.
Năm 2025 cũng chứng kiến sự nổi lên của phương pháp tấn công mới nhắm vào tính năng kỹ thuật mới được phát triển trên mạng Ethereum(ETH): “EIP-7702”. Đây là một phần trong bản nâng cấp Pectra của Ethereum, tích hợp cơ chế “tài khoản trừu tượng” (Account Abstraction), cho phép người dùng thao tác như hợp đồng thông minh.
Tuy nhiên, tin tặc đã lợi dụng tính năng này để tiến hành tấn công bằng một chữ ký duy nhất, qua đó thực hiện nhiều tác vụ độc hại cùng lúc. Báo cáo cho thấy, trong tháng 8, đã có hai vụ tấn công lớn khai thác lỗ hổng từ “EIP-7702” gây ra tổng thiệt hại lên tới 2,54 triệu USD (khoảng 367 tỷ đồng). Ngoài ra, các phương thức lừa đảo sử dụng cơ chế ký tên phổ biến như “Permit” và “Permit2” vẫn đang là nguồn gây thiệt hại chính, chiếm đến 38% tổng thiệt hại quy mô lớn với khoảng 8,72 triệu USD.
Không chỉ dừng lại ở tấn công bằng chữ ký, tội phạm mạng còn gia tăng tấn công vào môi trường phát triển, như trường hợp xảy ra với Bybit trong tháng 2, gây chấn động toàn ngành. Nhóm tin tặc Lazarus – được cho là có liên hệ với Triều Tiên – đã lén cài phần mềm giả thiết kế với giao diện ví đa chữ ký (multi-signature) vào thiết bị của một lập trình viên. Cuộc tấn công này đã dẫn đến tổn thất lên tới 1,46 tỷ USD (khoảng 21.102 tỷ đồng).
bình luận: Vụ việc của Bybit cho thấy ranh giới giữa tấn công người dùng và thủ thuật xâm nhập tầng sâu vào cơ sở hạ tầng nội bộ đang ngày càng mờ nhạt. Các nhóm tin tặc giờ đây không chỉ nhắm vào ví cá nhân mà còn vào cả hệ thống phát triển phần mềm ví – khiến việc phòng thủ trở nên phức tạp hơn.
Dù tổng thiệt hại ghi nhận được có xu hướng giảm, Scam Sniffer cảnh báo rằng các cuộc tấn công không để lại dấu vết (ví dụ: chiếm đoạt khóa riêng, thao túng bằng kỹ thuật xã hội đặc biệt) đang có xu hướng gia tăng và khó bị phát hiện. Điều này đặt ra yêu cầu ngày càng cao đối với việc bảo mật thiết bị đầu cuối và cập nhật hiểu biết về các phương pháp tấn công hiện đại.
Hiện tại, tổng vốn hóa thị trường tiền mã hóa toàn cầu đạt khoảng 3.080 tỷ USD (khoảng 4.460 triệu tỷ đồng). Một khi hoạt động giao dịch sôi động trở lại, các rủi ro bảo mật – đặc biệt là từ các hình thức phishing tinh vi – có thể bùng phát mạnh mẽ trở lại.
bình luận: Đối với người dùng, việc kiểm tra kỹ nội dung hợp đồng trước khi ký, cảnh giác với các ứng dụng không đáng tin cậy và cập nhật thường xuyên kiến thức bảo mật là điều kiện tối thiểu để bảo vệ tài sản. Sự phát triển của các chuẩn ký hiệu như EIP-7702 hay Permit tuy giúp cải thiện trải nghiệm người dùng nhưng cũng đi kèm với nhiều rủi ro bảo mật mới.
Từ khóa: “phishing”, “tiền mã hóa”, “thiệt hại bảo mật”, “EIP-7702”, “Permit”, “Scam Sniffer”
Bình luận 0