Các vụ tấn công mạng vào sàn giao dịch tiền điện tử: Những vụ trộm lớn nhất và cách để giữ an toàn
Hãy quên chiếc xe tẩu thoát đi. Những vụ trộm sinh lời nhất trên thế giới hiện nay đều diễn ra trên cơ sở một chiếc máy tính xách tay, một nhân viên bị lừa và một địa chỉ ví mà không ai có thể lấy lại được. Các vụ tấn công sàn giao dịch tiền điện tử đã âm thầm trở thành loại tội phạm trực tuyến sinh lợi nhất, và mức thua lỗ vẫn không hề giảm. Chỉ riêng năm 2025, bọn trộm đã lấy đi khoảng 3,4 tỷ đô la từ các nền tảng tiền điện tử, tăng 55% chỉ trong một năm, và một vụ trộm đã nuốt chửng gần một nửa số tiền đó. Giữ tiền điện tử trên sàn giao dịch đồng nghĩa với việc bạn đang đặt cược vào điều này, cho dù màn hình đăng ký có nói rõ điều đó hay không. Điều đáng mừng là: hầu hết các vụ việc đều bắt nguồn từ một vài sai lầm phổ biến. Tránh những sai lầm đó, bạn sẽ tránh được hầu hết các nguy hiểm.
Vì sao các sàn giao dịch tiền điện tử lại là mục tiêu hấp dẫn đến vậy
Hãy nghĩ xem một sàn giao dịch thực chất là gì. Đó là một công ty duy nhất nắm giữ hàng tỷ đô la tiền của người khác, phần lớn nằm trong các ví "nóng" kết nối internet để khách hàng có thể giao dịch lúc 3 giờ sáng. Đằng sau những ví đó là vài chục nhân viên nắm giữ chìa khóa, quyền truy cập và cả những điểm yếu vốn có của con người. Không có két sắt ngân hàng nào trên thế giới tập trung giá trị như vậy.
Đó chính là sự đánh đổi khó chịu nằm ở cốt lõi của tiền điện tử. Chính sự tập trung hóa khiến sàn giao dịch tiền điện tử dễ sử dụng lại biến nó thành một cái bẫy. Bạn có một ứng dụng thân thiện, giao dịch tức thì và nút đặt lại mật khẩu. Tin tặc chỉ cần nhắm vào một mục tiêu thay vì hàng chục triệu mục tiêu. Cướp ngân hàng, bạn chỉ lấy được bất cứ thứ gì trong ngăn kéo; cướp sàn giao dịch, bạn có thể lấy được tất cả mọi thứ cùng một lúc, rồi chuyển chúng đến nơi mà tòa án không thể tìm ra.
Việc hiểu rõ hai loại ví tiền điện tử mà một sàn giao dịch sử dụng là rất hữu ích. Ví lạnh được giữ ngoại tuyến và cực kỳ khó bị truy cập từ xa, nhưng tốc độ truy cập lại chậm. Ví nóng luôn trực tuyến để các giao dịch rút tiền có thể được xử lý ngay lập tức, đó chính là lý do tại sao chúng thường bị hao hụt nhiều nhất. Mỗi sàn giao dịch đều cân bằng cả hai loại ví này, và mỗi khi một loại nghiêng quá nhiều về sự tiện lợi, nó sẽ để lại nhiều lợi nhuận hơn cho những kẻ khác. Tổng số liệu hàng năm cho thấy sự cân bằng đó đã rơi vào đâu: theo Chainalysis , những kẻ trộm đã lấy đi khoảng 2,2 tỷ đô la vào năm 2024 và 3,4 tỷ đô la vào năm 2025, và con số này vẫn tiếp tục tăng lên.
Những vụ hack sàn giao dịch tiền điện tử lớn nhất, được xếp hạng
Danh sách này không chỉ là một "danh sách những kẻ đáng xấu hổ". Hãy đọc từ trên xuống dưới và bạn sẽ thấy toàn bộ bản chất của các cuộc tấn công thay đổi, từ những ví điện tử bị lộ thông tin một cách bất cẩn đến các nhóm tin tặc do nhà nước hậu thuẫn xâm nhập chuỗi cung ứng phần mềm. Thứ hạng chính là câu chuyện.
Bybit 2025: Kỷ lục 1,5 tỷ đô la
Vào tháng 2 năm 2025, tin tặc đã rút khoảng 1,5 tỷ đô la Ethereum (Ether) từ Bybit chỉ trong một buổi chiều, vụ hack tiền điện tử lớn nhất từ trước đến nay, theo báo cáo của CNBC . Điều đáng lo ngại là: chúng không hề "đột nhập" vào Bybit. Chúng đã xâm nhập vào một máy tính của nhà phát triển tại Safe{Wallet}, công cụ ký điện tử của bên thứ ba mà Bybit sử dụng, và chèn mã độc vào giao diện để những người phê duyệt chuyển khoản nhìn thấy một giao dịch bình thường trong khi thực chất đang cho phép một giao dịch độc hại. Tập đoàn Lazarus của Triều Tiên đứng sau vụ việc này. Bybit, đáng khen là, đã bù đắp thiệt hại cho khách hàng bằng chính nguồn dự trữ của mình.
Lý do vụ việc này quan trọng không chỉ vì quy mô của nó: nó đánh dấu một sự thay đổi trong lĩnh vực bảo mật. Trong suốt một thập kỷ, lời khuyên tiêu chuẩn dành cho các sàn giao dịch là "bảo vệ khóa riêng của bạn và giữ phần lớn tiền trong kho lưu trữ ngoại tuyến", và Bybit đã làm đúng như vậy. Những kẻ tấn công chỉ đơn giản là chuyển hướng tấn công lên phía thượng nguồn, nhắm mục tiêu vào phần mềm mà sàn giao dịch tin tưởng chứ không phải chính sàn giao dịch. Đó là một vấn đề khó phòng thủ hơn nhiều, bởi vì giờ đây bảo mật của bạn chỉ mạnh mẽ bằng chính sự an toàn của mọi nhà cung cấp và công cụ trong chuỗi cung ứng. Mọi nền tảng lớn đều dành những tháng tiếp theo để kiểm tra phần mềm mà họ chưa từng nghĩ đến việc đặt câu hỏi.
Mt. Gox, Coincheck và những thảm họa ban đầu
Các vụ tấn công sàn giao dịch tiền điện tử trước đây thô thiển hơn, và cũng gây thiệt hại không kém. Lấy ví dụ Mt. Gox. Từng là sàn giao dịch tiền điện tử lớn nhất hành tinh, xử lý hầu hết các giao dịch Bitcoin trên thế giới, nó đã mất khoảng 850.000 BTC và sụp đổ vào năm 2014. Ngành công nghiệp vẫn đang khắc phục hậu quả đó. Coincheck bị tấn công vào năm 2018 với khoảng 530 triệu đô la NEM, và vì lý do ngớ ngẩn nhất: họ đã để token trong ví nóng mà không có bảo vệ đa chữ ký. FTX là trường hợp kỳ lạ nhất. Sự sụp đổ của nó vào năm 2022 chủ yếu là do gian lận, không phải do tấn công mạng, nhưng ngay trong đêm nó nộp đơn phá sản, ai đó đã rút khoảng 400 triệu đô la. Kẻ tấn công bên ngoài hay người nội bộ? Mọi người vẫn tranh luận về điều đó. Bảng dưới đây theo dõi những vụ tồi tệ nhất.
| Trao đổi | Năm | Ăn cắp | Điều gì đã thất bại |
|---|---|---|---|
| Bybit | 2025 | ~1,5 tỷ đô la | Giao diện ký kết của bên thứ ba bị xâm phạm |
| Coincheck | 2018 | ~530 triệu đô la | NEM được giữ trong ví nóng, không có nhiều chữ ký |
| Núi Gox | 2014 | ~850k BTC | Nhiều năm trộm cắp ví điện tử không bị phát hiện |
| DMM Bitcoin | 2024 | ~305 triệu đô la | Kỹ thuật xã hội nhắm vào nhân viên nhà cung cấp |
| KuCoin | 2020 | ~280 triệu đô la | Khóa riêng của ví nóng bị rò rỉ (đã khôi phục được 73%) |
| WazirX | 2024 | ~230 triệu đô la | Khai thác lỗ hổng nâng cấp đa chữ ký |
| FTX | 2022 | Khoảng 400 triệu đô la | Vụ tấn công mạng trong thời điểm sụp đổ |
Các vụ hack sàn giao dịch tiền điện tử thực sự diễn ra như thế nào?
Hãy quên đi hình ảnh trong phim về một thiên tài phá mã trong phòng tối. Hệ thống mã hóa bảo vệ tiền điện tử hầu như không bao giờ bị phá vỡ. Cái bị phá vỡ là mọi thứ xung quanh nó: các khóa mã hóa, nhân viên và phần mềm mà họ tin tưởng. Bỏ qua thuật ngữ chuyên ngành, hầu hết các vụ tấn công tiền điện tử đều bắt nguồn từ một trong hai lỗi sau.
Mất chìa khóa và lộ thông tin ví điện tử.
Ai nắm giữ khóa riêng tư thì người đó kiểm soát tiền điện tử, chấm hết. Vì vậy, để đánh cắp tiền điện tử, kẻ tấn công thường nhắm thẳng vào khóa chứ không phải thuật toán bảo vệ chúng. Việc lộ khóa riêng tư chiếm 43,8% tổng số tiền bị đánh cắp trong năm 2024, là loại hình lớn nhất từ trước đến nay. Các sàn giao dịch để quá nhiều tiền trong ví nóng hoặc lưu trữ khóa một cách bất cẩn sẽ trao toàn bộ chiến lợi phẩm cho kẻ trộm ngay khi một máy chủ bị xâm nhập.
Kỹ thuật thao túng tâm lý và sự dịch chuyển chuỗi cung ứng
Phương thức tấn công mới hơn và đáng sợ hơn là con người. Các điệp viên Triều Tiên đã giả danh nhà tuyển dụng trên LinkedIn để cài đặt phần mềm độc hại vào máy tính của nhân viên — một lỗ hổng kỹ thuật xã hội, chính là cách vụ trộm Bitcoin trị giá 305 triệu đô la của DMM bắt đầu. Chúng đã tiêm mã độc vào các công cụ mà các sàn giao dịch dựa vào, như Bybit. Chúng lợi dụng các khóa API bị rò rỉ, chiếm đoạt cookie phiên và giả mạo nhân viên một cách thuyết phục đến mức khiến đồng nghiệp chấp thuận chuyển khoản. Giọng nói và video được làm giả (deepfake) hiện cũng xuất hiện trong các kế hoạch này, khiến lời khuyên cũ "chỉ cần xác minh đó có thực sự là sếp của bạn hay không" trở nên không đáng tin cậy. Tôi cứ quay lại điểm này vì ngành công nghiệp vẫn quảng cáo "mã hóa cấp độ quân sự" trong khi cánh cửa thực sự bị phá vỡ lại là một kỹ sư mệt mỏi nhấp vào một lời mời làm việc giả mạo. Hệ thống mã hóa thì hoàn hảo. Nhưng những người sử dụng nó thì không, và những kẻ tấn công đã nhận ra điều đó từ nhiều năm trước.
Triều Tiên: Những băng nhóm đứng sau các vụ trộm lớn nhất
Nếu có một điểm chung trong các vụ tấn công mạng vào sàn giao dịch tiền điện tử hiện đại, đó là: một quốc gia duy nhất đang gánh vác phần lớn trách nhiệm. Theo Chainalysis, các nhóm tin tặc của Triều Tiên, đứng đầu là Lazarus Group, đã đánh cắp ước tính 2,02 tỷ đô la chỉ riêng trong năm 2025, chiếm khoảng 76% tổng số tiền bị mất do các vụ xâm phạm dịch vụ trong năm đó. Tổng cộng, các nhà nghiên cứu tại TRM Labs ước tính số tiền mà chế độ này đã đánh cắp từ trước đến nay lên tới hơn 7,3 tỷ đô la.
Điều làm nên sự khác biệt của chúng là sự kiên nhẫn và quy mô. Đây không phải là những vụ cướp chớp nhoáng. Chúng thực hiện ít vụ tấn công hơn nhưng quy mô lớn hơn nhiều — dành nhiều tháng ẩn náu trong mục tiêu trước khi di chuyển, sau đó rửa tiền đánh cắp để tài trợ cho các chương trình vũ khí của một quốc gia bị trừng phạt. Tốc độ cũng không hề chậm lại: TRM Labs đã thống kê hơn 770 triệu đô la tiền điện tử bị đánh cắp trên toàn ngành chỉ trong bốn tháng đầu năm 2026, với Triều Tiên chịu trách nhiệm khoảng 76% thông qua chỉ hai vụ tấn công. Điều đó làm thay đổi hoàn toàn vấn đề. Các vụ trộm cắp tiền điện tử lớn nhất hiện nay là tội phạm nhà nước, chứ không phải là hành vi cơ hội của những kẻ đơn lẻ, và bạn đang đối đầu với một chính phủ có ngân sách chi trả. Đó là cuộc chiến mà các sàn giao dịch riêng lẻ liên tục thất bại.
Tiền điện tử bị đánh cắp đi về đâu và tại sao bạn hiếm khi lấy lại được?
Mọi người thường bám víu vào một câu chuyện an ủi: chắc chắn bọn hacker sẽ bị bắt và tiền sẽ được thu hồi. Nhưng điều đó hầu như không bao giờ xảy ra. Hãy xem điều gì xảy ra ngay khi tiền được chuyển đi. Bọn trộm sẽ chuyển chúng qua các máy trộn và cầu nối chuỗi chéo , chia nhỏ và xáo trộn lại, và chỉ trong vòng một giờ, dấu vết sẽ biến mất.
Có một vài ngoại lệ, và chúng chỉ chứng minh cho quy luật. Một hacker của Poly Network đã rút sạch 611 triệu đô la vào năm 2021, rồi trả lại gần như toàn bộ số tiền đó, vì những lý do mà cho đến nay vẫn chưa ai giải thích rõ. KuCoin đã thu hồi được phần lớn khoản lỗ năm 2020 bằng cách đóng băng tài khoản nhanh chóng và sử dụng bảo hiểm. Bybit thì vừa mới hoàn trả tiền cho người dùng. Đó là những người may mắn. Còn các chủ nợ của Mt. Gox thì sao? Họ vẫn đang chờ đợi hơn một thập kỷ trôi qua, với thời hạn hiện đã được lùi đến tháng 10 năm 2026 và hàng chục nghìn Bitcoin vẫn chưa được trả lại. Điều trớ trêu cay đắng là tất cả đều diễn ra trên một blockchain công khai, vì vậy các nhà phân tích có thể theo dõi số tiền bị đánh cắp biến mất trong thời gian thực mà không thể làm gì để ngăn chặn chúng. Hãy coi tiền đã lấy là tiền đã mất.
FTX đã để lại một vết sẹo có ích. Nó đã kéo ngành công nghiệp hướng tới bằng chứng dự trữ, một phương thức mã hóa công khai để sàn giao dịch chứng minh rằng họ thực sự nắm giữ số tiền điện tử mà họ tuyên bố. Liệu điều đó có ngăn chặn được việc hack? Không. Liệu nó có vạch trần sự phá sản âm thầm mà FTX đã che giấu trong nhiều tháng? Phần lớn là có. Vì vậy, khi một sàn giao dịch không công bố thông tin đó, hãy tự đưa ra kết luận của riêng bạn về lý do tại sao.
Cách bảo vệ tiền điện tử của bạn khỏi các vụ tấn công sàn giao dịch
Đây là phần mà các danh sách "những vụ hack lớn nhất" thường bỏ qua. Các vụ hack sàn giao dịch tiền điện tử hiếm khi nhắm mục tiêu trực tiếp vào người dùng thông thường, nhưng bạn vẫn có thể tự biến mình thành mục tiêu khó tấn công hơn nhiều. Hầu hết các thủ thuật này đều không hào nhoáng và mất khoảng một buổi chiều.
Tự quản lý và bảo quản lạnh
Nguyên tắc lâu đời nhất trong thế giới tiền điện tử vẫn đúng: không có khóa riêng, không có tiền riêng. Đối với bất kỳ thứ gì bạn đang nắm giữ mà không giao dịch tích cực, hãy chuyển nó ra khỏi sàn giao dịch và lưu trữ vào ví phần cứng hoặc phương tiện lưu trữ ngoại tuyến khác không bao giờ kết nối với internet. Viết cụm từ khôi phục ra giấy, cất giữ ở nơi an toàn và tuyệt đối không nhập nó vào trang web hoặc ứng dụng trò chuyện. Một chiếc ví phần cứng có giá khoảng 80 đô la sẽ bảo vệ bạn khỏi hầu hết các cuộc tấn công được mô tả ở trên — bởi vì khóa riêng của bạn đơn giản là không nằm ở nơi mà tin tặc đang tìm kiếm.
Khóa tài khoản giao dịch của bạn
Đối với số tiền bạn giữ trên sàn giao dịch, hãy tăng cường bảo mật tài khoản. Sử dụng ứng dụng xác thực hai yếu tố, tuyệt đối không dùng mã SMS vì chúng rất dễ bị đánh cắp thông qua việc đổi SIM. Thiết lập danh sách địa chỉ rút tiền được phép để tiền chỉ có thể chuyển về các ví bạn đã phê duyệt trước. Sử dụng mật khẩu dài, độc nhất và không trùng lặp với bất kỳ trang web nào khác. Đánh dấu trang URL của sàn giao dịch thật và chỉ đăng nhập thông qua trang đó, vì cách rẻ nhất để mất tất cả là nhập mật khẩu của bạn vào một trang web giả mạo trông rất giống thật. Coi bất kỳ email hoặc tin nhắn nào yêu cầu "xác minh tài khoản" là hành vi nguy hiểm cho đến khi được chứng minh ngược lại. Và hãy giữ một nguyên tắc đơn giản: đừng lưu trữ trên bất kỳ sàn giao dịch nào nhiều hơn số tiền bạn sẵn sàng mất.
Lựa chọn sàn giao dịch tiền điện tử an toàn hơn
Không phải sàn giao dịch nào cũng có rủi ro như nhau, và những sàn còn hoạt động tốt đều có những thói quen đáng để kiểm tra trước khi bạn gửi dù chỉ một xu. Một nền tảng uy tín sẽ lưu trữ phần lớn tài sản kỹ thuật số trong kho lạnh, công bố bằng chứng dự trữ để bạn có thể xác minh sự tồn tại của tiền điện tử và vận hành quỹ bảo hiểm cho các trường hợp khẩn cấp. Ví dụ, Binance nắm giữ quỹ SAFU trị giá 1 tỷ đô la, gần đây đã được chuyển đổi thành 15.000 BTC, như một biện pháp hỗ trợ khách hàng.
| Cờ xanh | Dấu hiệu cảnh báo |
|---|---|
| Hầu hết tài sản được lưu trữ trong kho lạnh. | Thông tin bảo mật không rõ ràng hoặc không có thông tin nào được công bố. |
| Bằng chứng công khai về nguồn dự trữ | Không có bảo hiểm hoặc quỹ dự trữ. |
| Xác thực hai yếu tố (2FA) trên ứng dụng, danh sách cho phép rút tiền. | Đăng nhập chỉ bằng SMS, không có kiểm soát rút tiền. |
| Được quản lý chặt chẽ, kiểm toán thường xuyên, có bề dày kinh nghiệm. | Nhóm ẩn danh, "lợi nhuận" cực cao |
Vấn đề thẩm quyền pháp lý cũng rất quan trọng. Một sàn giao dịch được đăng ký và cấp phép tại một quốc gia có sự giám sát tài chính thực sự sẽ có nhiều rủi ro hơn nếu bỏ qua các quy định, và ít nhất cũng mang lại cho bạn một số cơ sở pháp lý nếu xảy ra sự cố. Một nền tảng do một nhóm ẩn danh điều hành mà không rõ nguồn gốc sẽ không cung cấp bất kỳ sự đảm bảo nào như vậy, và đó chính là những tổ chức thường bị phát hiện sau này dưới dạng các vụ lừa đảo rút tiền. Ngoài ra, việc phân tán tài sản trên nhiều sàn giao dịch cũng rất đáng cân nhắc, để một vụ vi phạm duy nhất không thể lấy đi tất cả những gì bạn sở hữu.
Tất cả những điều này không phải là sự đảm bảo. Bybit là một sàn giao dịch tập trung có uy tín, được quản lý chặt chẽ khi bị tấn công, và đó chính là điểm mấu chốt: uy tín làm giảm rủi ro, chứ không xóa bỏ hoàn toàn rủi ro. Nhưng những tín hiệu này làm tăng khả năng xảy ra rủi ro cho bạn, và một sàn giao dịch từ chối thảo luận về vấn đề bảo mật đang nói lên điều gì đó.
Tương lai của bảo mật sàn giao dịch tiền điện tử
Hệ thống phòng thủ đang dần được cải thiện. Các sàn giao dịch đang chuyển sang sử dụng ví MPC phân tách khóa để không một máy nào nắm giữ toàn bộ khóa, ký điện tử bằng phần cứng, kiểm toán hợp đồng thông minh cho các thành phần trên chuỗi và phần mềm mô phỏng giao dịch trước khi bất kỳ ai phê duyệt. Tất cả những điều này giúp giảm thiểu rủi ro vi phạm bảo mật. Tuy nhiên, không có gì khắc phục được điểm yếu nhất, đó vẫn là con người, những người có thể bị lừa gạt hoặc mua chuộc. Cho đến khi điều đó thay đổi, giả định an toàn nhất về các vụ tấn công sàn giao dịch tiền điện tử là bất kỳ sàn giao dịch nào cũng có thể là mục tiêu tiếp theo, và động thái thông minh nhất là giữ phần lớn tiền điện tử của bạn ở một nơi mà sàn giao dịch bị tấn công không thể tiếp cận.
