Liệu tiền điện tử có thể bị hack? Blockchain, ví điện tử và các vụ hack.
Vậy, tiền điện tử có thể bị hack không? Có thể, nhưng cũng không hẳn. Để tôi giải thích.
Sổ cái blockchain, chính chuỗi dữ liệu mà mạng blockchain xác nhận, chưa từng bị tấn công. Chưa một lần nào trong suốt 17 năm. Mỗi tiêu đề lớn mà bạn từng đọc về các vụ tấn công tiền điện tử? Nó đã xảy ra ở một nơi khác. Sàn giao dịch. Cầu nối. Hợp đồng thông minh. Ứng dụng ví điện tử của ai đó. Những phần an toàn và những phần nguy hiểm cùng tồn tại trên màn hình của bạn, và hầu hết mọi người không thể phân biệt được chúng cho đến khi họ mất tiền.
Năm 2025 đã khiến vấn đề này trở nên nghiêm trọng đối với nhiều người. Theo bản cập nhật tháng 12 của Chainalysis về rủi ro công nghệ blockchain, chỉ riêng năm ngoái, tin tặc đã đánh cắp 3,4 tỷ đô la từ các dịch vụ tiền điện tử. CertiK thống kê được 3,35 tỷ đô la trong 630 vụ việc riêng biệt. TRM Labs đưa ra con số 2,87 tỷ đô la. Ba công ty, ba phương pháp, nhưng cùng một kết quả. Năm tồi tệ nhất trong lịch sử. Và hầu như không có vụ nào tác động đến chính các chuỗi khối.
Tôi sẽ hướng dẫn bạn chi tiết về nơi xảy ra vụ trộm, rủi ro thực sự mà bạn đang gặp phải và những việc bạn có thể làm để phòng tránh.
Liệu tiền điện tử có thể bị hack? Câu trả lời trực tiếp ngay từ đầu.
Vậy, tiền điện tử có thể bị hack theo nghĩa nào đó không? Tiền điện tử hoàn toàn có thể bị đánh cắp. Còn sổ cái blockchain lưu trữ nó thì hầu như không bao giờ bị đánh cắp.
Nghe có vẻ như một trò chơi chữ, nhưng không phải vậy. Khi mọi người nói "Bitcoin bị hack", họ thường ám chỉ một trong ba điều sau: tiền của ai đó bị đánh cắp từ sàn giao dịch, khóa riêng của ví bị xâm phạm, hoặc hợp đồng thông minh chạy trên chuỗi khối bị rút cạn tài nguyên. Không có cuộc tấn công nào trong số đó nhắm vào chính Bitcoin hay Ethereum. Cả hai lớp nền tảng này chưa bao giờ bị phá vỡ quy tắc đồng thuận, và cả hai đã hoạt động hơn một thập kỷ với hàng tỷ đô la giá trị thực đang chờ đợi bất kỳ ai đủ thông minh để phá vỡ chúng. Nhãn hiệu "blockchain không thể bị hack" chỉ đúng một nửa: bản thân chuỗi khối an toàn và có khả năng chống chịu, nhưng bề mặt xung quanh nó lại đầy rẫy các mục tiêu tấn công.
Hãy bắt đầu với sự phân biệt này vì nó sẽ thay đổi cách bạn suy nghĩ về phòng thủ. Nếu chuỗi là mắt xích yếu, thì không gì có thể cứu bạn. Vì các mắt xích yếu nằm ở phía trên chuỗi (quyền giám sát, quản lý khóa, hành vi người dùng, mã hợp đồng thông minh), nên thực tế bạn có quyền quyết định trong hầu hết các vấn đề đó.
Hiểu về bảo mật blockchain và cách thức hoạt động của các giao dịch.
Trước khi xem xét những gì có thể bị hỏng, hãy để tôi phác thảo những gì thực sự đang giữ cho hệ thống hoạt động. Hiểu về bảo mật blockchain phụ thuộc vào ba cơ chế chồng chéo nhau, và hầu hết mọi người chỉ biết về một trong số đó mà bỏ qua hai cơ chế còn lại.
Hãy bắt đầu với mã hóa và mật mã học. Mỗi giao dịch trên blockchain đều được ký bằng khóa riêng và xác minh bằng khóa công khai tương ứng. Nếu bạn muốn phá khóa, bạn đang sử dụng phương pháp tấn công vét cạn để tìm kiếm một số có 256 bit. Những con số như vậy dài hơn cả sự kết thúc nhiệt của vũ trụ và hoàn toàn bất khả thi trên bất kỳ máy tính cổ điển nào mà chúng ta biết cách chế tạo. Các chuỗi khối như Bitcoin mã hóa mọi chữ ký giao dịch theo cách này. Satoshi đã chọn ECDSA để mã hóa khóa vào năm 2008, và nó vẫn hoạt động hiệu quả cho đến nay.
Tiếp theo là quá trình băm. Mỗi khối giao dịch tiền điện tử được đưa qua một thuật toán như SHA-256. Mỗi khối mới sẽ nhúng mã băm của khối trước đó. Chỉ cần thay đổi một giao dịch duy nhất được lưu trữ ở đâu đó trong lịch sử, tất cả mã băm phía sau sẽ bị phá vỡ. Đó là lý do tại sao blockchain được gọi là bất biến. Không phải vì không ai muốn chỉnh sửa chúng, mà vì bạn không thể chỉnh sửa chúng mà không khiến toàn bộ chuỗi khối "phát tín hiệu".
Yếu tố thứ ba, yếu tố mà mọi người thường hiểu sai nhất, là sự đồng thuận. Hãy hình dung hàng ngàn nút độc lập trên mạng blockchain, tất cả đều chạy theo cùng một quy tắc, tất cả đều kiểm tra lẫn nhau. Không có tài khoản quản trị. Không có nút tạm dừng. Không có trụ sở chính mà bất kỳ ai cũng có thể tấn công. Để viết lại lịch sử, bạn cần phải có sức mạnh tính toán hoặc cổ phần lớn hơn đa số trung thực. Đó là điều mọi người muốn nói khi họ cho rằng blockchain phi tập trung hóa niềm tin. Một mạng blockchain phi tập trung không có một bên duy nhất nào để mua chuộc, triệu tập hoặc tấn công DDoS làm tê liệt.
Ghép ba yếu tố đó lại với nhau, bạn sẽ có được một điều khá ấn tượng: các giao dịch được xác nhận bởi blockchain về cơ bản là vĩnh viễn, và các kỹ thuật mã hóa cùng với cơ chế đồng thuận cùng nhau loại bỏ nhu cầu về ngân hàng trung ương, mà không cần đến ngân hàng. Đó là phần bảo mật. Phần không bảo mật là mỗi con người, mỗi sàn giao dịch, mỗi ứng dụng ví điện tử, mỗi hợp đồng thông minh nằm trên đó.
Bitcoin đã từng bị hack chưa? Lớp nền tảng vẫn còn nguyên vẹn.
Phiên bản ngắn gọn? Không.
Lớp 1 của Bitcoin chưa từng bị tấn công thành công. Chưa một lần nào trong suốt 17 năm. Lỗi? Có, đã được vá. Các nhánh rẽ phức tạp? Rất nhiều. Những tranh cãi không hồi kết trên Twitter về kích thước khối? Chắc chắn rồi. Nhưng sổ cái cốt lõi chưa bao giờ bị viết lại. Mỗi giao dịch mới chỉ được thêm vào chuỗi khối sau khi nó vượt qua các quy tắc tương tự đã bảo vệ chuỗi khối Bitcoin kể từ khối đầu tiên vào tháng 1 năm 2009.
Sáng kiến Tiền tệ Kỹ thuật số của MIT ghi lại mọi cuộc tấn công 51% đã biết vào các mạng Proof-of-Work. Hàng của Bitcoin thì trống. Hàng của mạng chính Ethereum cũng vậy. Vụ hack DAO nổi tiếng năm 2016? Đó là một lỗi trong một hợp đồng thông minh duy nhất chạy trên Ethereum, chứ không phải toàn bộ chuỗi. Hậu quả của vụ việc đó là lý do tại sao Ethereum và Ethereum Classic ngày nay tồn tại như hai mạng lưới không thể thống nhất cách giải quyết vấn đề.
Giờ đến phần kinh tế, điều này thậm chí còn thuyết phục hơn cả toán học. Các trang tin tức về tiền điện tử đã tính toán vào năm 2024 và ước tính chi phí cho một cuộc tấn công 51% vào Bitcoin vào khoảng 6 tỷ đô la. Phần cứng, điện năng, dịch vụ đặt máy chủ, tất cả mọi thứ. Rồi sao nữa? Ngay khi cuộc tấn công thành công, giá Bitcoin sẽ sụp đổ. Số tiền bị đánh cắp của bạn sẽ chỉ còn đáng giá một phần nhỏ. Trang trại ASIC của bạn sẽ trở thành một cái lò sưởi. Kẻ tấn công mua ở giá cao và bán ở giá thấp một cách có chủ đích. Đây là một trong những cách mất tiền đắt đỏ nhất từng được thiết kế.
Vậy nên, hành động thực sự không bao giờ diễn ra ở dưới đó. Nó luôn luôn ở tầng trên.
Tiền điện tử thực sự bị đánh cắp ở đâu?
Hãy hình dung hệ sinh thái tiền điện tử như một tòa nhà. Blockchain là nền móng. Phía trên nó là các hợp đồng thông minh, cầu nối, sàn giao dịch, người giám hộ, và trên cùng là người dùng với ví của họ. Hầu hết các vụ tấn công mạng mà bạn đọc được đều xảy ra ở một trong những tầng trên. Rất nhiều vụ tấn công diễn ra thông qua các trang web, plugin và công cụ của bên thứ ba, cuối cùng chiếm đoạt quyền kiểm soát tiền của bạn một cách âm thầm.
Chainalysis đã tổng hợp số liệu năm 2024 và phát hiện ra rằng việc bị xâm phạm khóa riêng chiếm tới 43,8% tổng số tiền bị đánh cắp. Xâm phạm khóa riêng. Không phải lỗi hợp đồng thông minh. Mà là khóa. Ví cá nhân (không phải sàn giao dịch, không phải DeFi) chiếm 44% giá trị bị đánh cắp, tăng từ 7,3% vào năm 2022. Sau đó, vào năm 2025, TRM Labs cho biết 76% tổn thất đến từ những gì họ gọi là các cuộc tấn công cơ sở hạ tầng. Người ký bị xâm phạm. Nhà cung cấp dịch vụ đám mây. Máy tính xách tay của nhà phát triển. Kỹ thuật xã hội nhắm vào nhân viên hỗ trợ. Việc khai thác hợp đồng thông minh có còn xảy ra không? Có. Tin tặc có còn khai thác lỗ hổng trong các giao thức mới không? Thường xuyên. Nhưng chúng không còn là sự kiện chính nữa.
Tin tặc thường lần theo dòng tiền, và mục tiêu của chúng cũng thay đổi. DeFi thống trị từ năm 2021 đến năm 2023. Các dịch vụ tập trung và ví cá nhân chiếm lĩnh thị trường vào năm 2024 và 2025. Mô hình này mang tính kinh tế, dù khá nhàm chán. Một người ký tên bị xâm nhập tại một công ty phù hợp có thể chuyển nhiều tiền hơn bất kỳ cá nhân nào. Vì vậy, mục tiêu chính của tin tặc hiện nay không phải là người dùng thông thường. Họ là các kỹ sư, nhân viên hỗ trợ và nhà phát triển, những người nắm giữ chìa khóa quyền sở hữu tiền điện tử của người khác.
Tấn công ví điện tử: các chiêu trò lừa đảo liên quan đến khóa riêng tư và địa chỉ ví.
Ví tiền điện tử thực chất không lưu trữ tiền. Nó lưu trữ các khóa riêng tư kiểm soát việc di chuyển số tiền đó trên chuỗi khối. Mất khóa, mất tiền. Rò rỉ khóa, người khác sẽ có được tiền của bạn. Đó là mô hình hoạt động.
Ví điện tử được chia thành hai nhóm lớn. Ví nóng (hot wallet) tồn tại trên thiết bị có kết nối internet. Chúng bao gồm ứng dụng điện thoại, tiện ích mở rộng trình duyệt, số dư trên sàn giao dịch. Chúng tiện lợi nhưng dễ bị tấn công, vì bất kỳ phần mềm độc hại nào trên thiết bị hoặc trình duyệt bị xâm nhập đều là con đường mà tin tặc có thể truy cập để rút tiền từ ví. Ví lạnh (cold wallet), bao gồm ví phần cứng và các thiết lập không kết nối internet, lưu trữ khóa riêng tư của bạn ngoại tuyến; trong ví lạnh, khóa riêng tư được lưu trữ bên trong một con chip không bao giờ tiếp xúc với internet. Ví lạnh khó bị tấn công hơn nhiều, đó là lý do tại sao hầu hết những người nắm giữ ví nghiêm túc sử dụng chúng cho bất cứ thứ gì họ không có kế hoạch giao dịch trong tuần này.
Tấn công bằng địa chỉ ví giả mạo là một loại tấn công riêng biệt. "Tấn công đầu độc địa chỉ" xảy ra khi kẻ tấn công gửi một giao dịch nhỏ từ một địa chỉ ví trông gần như giống hệt với địa chỉ bạn thường xuyên sử dụng để gửi tiền. Bốn ký tự đầu tiên giống nhau, bốn ký tự cuối cùng giống nhau, chỉ khác phần giữa. Sau đó, khi bạn sao chép lịch sử giao dịch của mình, bạn vô tình dán nhầm địa chỉ giả mạo. Các nhà nghiên cứu của Đại học Carnegie Mellon đã phát hiện 270 triệu vụ tấn công kiểu này được ghi nhận trên các blockchain công khai, với tổng thiệt hại được xác nhận khoảng 83,8 triệu đô la. Vào tháng 12 năm 2025, một nhà giao dịch duy nhất đã mất 50 triệu đô la USDT do một vụ tấn công đầu độc địa chỉ kiểu này.
Điều khó chịu ở đây là: chuỗi khối hoạt động chính xác như thiết kế. Giao dịch đã được xác nhận. Không có vi phạm bảo mật, không có lỗ hổng, không có lỗi. Người dùng chỉ đơn giản là dán nhầm chuỗi ký tự.
Các vụ xâm phạm sàn giao dịch và những vụ tấn công mạng lớn nhất trong lĩnh vực tiền điện tử năm 2024-2025
Các sàn giao dịch là nơi lưu giữ phần lớn tài sản được ủy thác của ngành, và chúng vẫn là mục tiêu hàng đầu. Các vụ tấn công mạng vào tiền điện tử lớn nhất trong hai năm qua đều theo một mô hình rõ ràng: kẻ tấn công nhắm vào khóa riêng tư, chứ không phải mã nguồn.
| Sự cố | Ngày | Số lượng | Phương thức tấn công |
|---|---|---|---|
| Bybit | Ngày 21 tháng 2 năm 2025 | 1,4-1,5 tỷ đô la | Sự xâm nhập của nhà phát triển Safe{Wallet}, Lazarus Group |
| DMM Bitcoin | Ngày 31 tháng 5 năm 2024 | 305 triệu đô la | Vụ đánh cắp khóa riêng tư, có liên hệ với Triều Tiên. |
| Ứng dụng PlayD | Ngày 9-12 tháng 2 năm 2024 | 290 triệu đô la | Khai thác mỏ bạc hai giai đoạn |
| Giao thức trôi dạt | Ngày 1 tháng 4 năm 2026 | 285 triệu đô la | Solana DeFi, có liên hệ với CHDC Triều Tiên. |
| WazirX | Ngày 18 tháng 7 năm 2024 | 234,9 triệu đô la | Khai thác ví đa chữ ký, Lazarus Group |
| Cá voi (Sui) | Ngày 22 tháng 5 năm 2025 | 223 triệu đô la | Lỗi hợp đồng thông minh (đã khắc phục một phần) |
| Bộ cân bằng V2 | Ngày 3 tháng 11 năm 2025 | 128 triệu đô la | Khai thác nhóm đa chuỗi |
| Nobitex (Iran) | Ngày 18 tháng 6 năm 2025 | 80-90 triệu đô la | Nhà hoạt động tin tặc, tiền được cho là đã bị đốt. |
| Vốn rạng rỡ | Ngày 16 tháng 10 năm 2024 | 50 triệu đô la | Phần mềm độc hại trên ví phần cứng của nhà phát triển |
| GMX V1 | Ngày 9 tháng 7 năm 2025 | 42 triệu đô la | Tái nhập cảnh (quay lại để nhận tiền thưởng 5 triệu đô la) |
Hãy nhìn lại con số của Bybit một lần nữa. 1,4 tỷ đô la từ một vụ xâm phạm duy nhất. Nhiều hơn tất cả các chiến dịch lừa đảo bán lẻ trong năm 2025 cộng lại. Theo thông báo dịch vụ công cộng IC3 của FBI, tin tặc đã xâm nhập vào máy tính của nhà phát triển tại Safe{Wallet}, cơ sở hạ tầng đa chữ ký mà Bybit sử dụng. Chúng đã thay thế bằng mã độc. Những người ký thấy một giao dịch trông có vẻ hợp lệ, nhấp vào chấp thuận, và 401.347 ETH đã biến mất.
Giờ đây, điều đáng chú ý là các địa điểm giao dịch hàng đầu được quản lý bởi Hoa Kỳ đã có một chiến thắng kỳ lạ trong năm 2024 và 2025. Không phải là không có sự cố nào, mà chỉ là không có vụ trộm tiền nào thực sự xảy ra.
Coinbase bị tấn công mạng vào tháng 5 năm 2025. Tin tặc đã hối lộ các nhà thầu hỗ trợ tại một nhà cung cấp tên là TaskUs và lấy đi dữ liệu của 69.461 khách hàng. Chúng đòi 20 triệu đô la. Coinbase đã từ chối và thay vào đó tuyên bố phá sản. Không một khách hàng nào bị mất tiền điện tử.
Kraken đã tiết lộ một sự cố nội bộ vào tháng 2 năm 2025 ảnh hưởng đến khoảng 2.000 tài khoản (khoảng 0,02% người dùng). Binance được cho là đã vượt qua một nỗ lực tấn công kỹ thuật xã hội tương tự vào tháng 5 năm 2025. Không có trường hợp nào trong số này dẫn đến việc tài sản của khách hàng bị đánh cắp. Đó là một thành tích đáng kể, và đó là một trong những lý do tốt hơn để sử dụng các nền tảng được quản lý và bảo hiểm đầy đủ nếu bạn mua tiền điện tử thường xuyên.
Hợp đồng thông minh, DeFi và chiến thuật tấn công cầu nối.
Hợp đồng thông minh chỉ là mã code. Vậy thôi. Mã code chạy trên blockchain. Nếu mã code có lỗi, ai đó sẽ rút hết dữ liệu ra, và chuỗi khối vẫn vui vẻ xác nhận mọi giao dịch vì theo quan điểm của chuỗi khối, hợp đồng đã thực hiện đúng những gì được yêu cầu. Không phát hiện ra hành vi gian lận nào. Việc tấn công hợp đồng thông minh là lĩnh vực quen thuộc của tin tặc. Lỗi tái nhập. Sai sót trong toán học. Thao túng hệ thống Oracle. Lỗi logic ẩn sâu bên trong các giao thức cho vay. Về mặt kỹ thuật, đó là những thứ rất đẹp mắt nếu bạn nhìn kỹ. Nhưng như chúng ta đã thấy, đó không còn là nguyên nhân chính gây ra tổn thất nữa.
Các cầu nối (bridge) tự bản thân chúng đã là một mớ hỗn độn. Về cơ bản, chúng hoạt động như sau: Bạn muốn chuyển token từ Ethereum sang, ví dụ, Arbitrum. Cầu nối sẽ khóa token của bạn trên Ethereum và tạo ra các bản sao "được đóng gói" ở phía bên kia. Điều này có nghĩa là cầu nối phải nằm trên một đống token thực khổng lồ ở đâu đó, được bảo vệ bởi một số ít người ký đa chữ ký hoặc một phần logic hợp đồng thông minh. Nếu một trong hai phía bị lỗi, cầu nối sẽ trống rỗng. Nghiên cứu của Chainlink ước tính tổng thiệt hại do cầu nối gây ra vào khoảng 2,8 tỷ đô la. Con số này tương đương khoảng 40 xu cho mỗi đô la bị hack trong Web3. Thật đáng tiếc.
Một vài vụ tấn công cầu nối đã tạo nên tiền lệ cho toàn bộ lĩnh vực này. Cầu nối Ronin, tháng 3 năm 2022: 625 triệu đô la, vì kẻ tấn công đã chiếm được 5 trong số 9 khóa xác thực. Mạng Poly, tháng 8 năm 2021: 612 triệu đô la thông qua lỗi gọi hợp đồng chéo, và sau đó, trong một diễn biến có lẽ kỳ lạ nhất trong lịch sử tiền điện tử, hacker đã trả lại phần lớn số tiền đó. Wormhole, tháng 2 năm 2022: 326 triệu đô la thông qua lỗ hổng xác minh chữ ký. Chuỗi Orbit, ngày 2 tháng 1 năm 2024: 81 triệu đô la sau khi chữ ký đa chữ ký 7/10 bị xâm phạm. Bảo mật cầu nối đã được cải thiện đáng kể sau tất cả những vụ đó. Tuy nhiên, vấn đề cốt lõi vẫn không thay đổi. Tài sản thế chấp khổng lồ được bảo vệ bởi các nhóm nhỏ người ký vẫn là món hời đối với bất kỳ ai có thời gian và động lực.
Triều Tiên, Lazarus và tội phạm mật mã có tổ chức
Một nhóm đối thủ liên tục xuất hiện trong các báo cáo sự cố này. Đó là Lazarus. Các nhóm này có liên hệ với nhà nước Triều Tiên, chủ yếu là chính Lazarus nhưng cũng có APT38, BlueNoroff, TraderTraitor và nhóm Famous Chollima mới nổi. Hãy coi họ như một cơ quan khai thác lỗ hổng bảo mật quy mô quốc gia nhỏ, được tài trợ đầy đủ và rất kiên nhẫn.
Những con số thật khủng khiếp. Năm 2024, Chainalysis đã truy vết được 1,34 tỷ đô la Mỹ từ 47 vụ tấn công đến từ CHDC Triều Tiên. Con số này chiếm 61% tổng giá trị tài sản bị đánh cắp trong năm đó. Năm 2025, con số này tăng vọt lên 2,02 tỷ đô la Mỹ, tăng 51% so với năm trước. Tổng giá trị tài sản bị đánh cắp liên quan đến Lazarus hiện đã vượt quá 6,75 tỷ đô la Mỹ kể từ năm 2017. Cả một quốc gia. Chỉ một nhóm tin tặc.
Họ thực sự làm gì? Cùng một kịch bản, lặp đi lặp lại. Tìm một kỹ sư mật mã. Hoặc một nhân viên hỗ trợ hợp đồng. Liên hệ với họ trên LinkedIn hoặc Telegram với một lời mời làm việc trông có vẻ thật. Gửi một "thử thách lập trình" hoặc một "ứng dụng ví" âm thầm cài đặt phần mềm độc hại. Thu thập thông tin đăng nhập. Chờ đợi. Sau đó rút tiền từ ví hoặc sàn giao dịch trong nhiều tuần hoặc nhiều tháng. Khi tiền đã rời đi, quá trình rửa tiền bắt đầu: các bộ trộn tiền, giao dịch xuyên chuỗi, các sàn giao dịch nhiều lớp xóa dấu vết hoạt động bất hợp pháp.
Vụ việc của Radiant Capital vào tháng 10 năm 2024 là một ví dụ điển hình. Một cựu nhân viên hợp đồng gửi một file PDF qua Telegram. Nhưng đó không phải là file PDF. 50 triệu đô la, mất trắng. Nhiều người ký tên bị lộ thông tin cùng lúc, vì tất cả đều xem "tài liệu" trên máy tính của riêng mình.
Gọi đây là một cuộc tấn công vào lĩnh vực tiền điện tử là không hiểu đúng bản chất vấn đề. Đây là một chiến dịch tình báo nhắm vào những cá nhân đang làm việc trong lĩnh vực tiền điện tử. Phần mềm diệt virus chỉ giúp được một chút. Sự đa nghi thái quá thì giúp được nhiều hơn.
51% các cuộc tấn công và rủi ro lý thuyết của blockchain
Tấn công 51%. Chắc hẳn bạn đã từng nghe thuật ngữ này. Vậy nó thực sự có nghĩa là gì?
Một bên nắm giữ hơn một nửa sức mạnh tính toán của mạng (trên cơ chế Proof-of-Work) hoặc số tiền được đặt cọc (trên cơ chế Proof-of-Stake). Với đa số đó, họ có thể đảo ngược các giao dịch gần đây hoặc kiểm duyệt các giao dịch mới. Đây là kiểu tấn công cơ chế đồng thuận kinh điển. Và trên thực tế, nó chỉ từng xảy ra trên các chuỗi khối nhỏ.
Bitcoin Gold là ví dụ điển hình. Hai lần bị ảnh hưởng. Tháng 5 năm 2018, thiệt hại khoảng 18 triệu đô la do giao dịch bị chi tiêu hai lần. Tháng 1 năm 2020, thêm 70.000 đô la nữa. Ethereum Classic bị ảnh hưởng vào tháng 8 năm 2020, với 5,6 triệu đô la bị chi tiêu hai lần. Tại sao lại là những chuỗi này? Tốc độ băm (hash rate) thấp. Bạn có thể thuê đủ sức mạnh khai thác trong một ngày cuối tuần với vài chục nghìn đô la và thu về lợi nhuận.
Bitcoin là một thế giới hoàn toàn khác. Tốc độ băm (hash rate) của nó lớn hơn hàng nghìn lần. Trong khi đó, lượng ETH bị khóa trong staking của Ethereum lên đến hàng chục triệu. Về mặt lý thuyết, liệu ai đó có thể thực hiện tấn công 51% để chiếm đoạt toàn bộ hệ thống? Chắc chắn là có. Nhưng liệu điều đó có mang lại lợi ích tài chính? Không. Số coin bạn đánh cắp sẽ làm giảm giá trị của tài sản bạn vừa đánh cắp, và thiết bị khai thác hoặc số tiền bạn đang nắm giữ cũng trở nên vô giá trị ngay lập tức.
Còn những mối đe dọa lý thuyết nào khác không? Chúng tồn tại. Khai thác ích kỷ trên cơ chế Proof-of-Work. Các cuộc tấn công tầm xa vào cơ chế Proof-of-Stake. Cơ chế "không có gì để mất" trên một số thiết kế Proof-of-Stake ban đầu. Nhưng không có mối đe dọa nào thực sự gây ảnh hưởng đến một chuỗi blockchain thuộc top 20. Vì vậy, khi ai đó nói "Bitcoin không thể bị hack", thì đó là điều họ muốn nói. Lớp đồng thuận thì đúng, nhưng mọi thứ phía trên nó thì không.
Điện toán lượng tử là một ẩn số khó đoán, có thể xuất hiện trong vòng một thập kỷ nữa. Vitalik Buterin gần đây ước tính khả năng một cỗ máy lượng tử phá vỡ mật mã xuất hiện trước năm 2030 chỉ khoảng 20%. Adam Back từ Blockstream lại cho rằng điều đó còn phải mất hàng thập kỷ nữa. Theo ý kiến của các chuyên gia, khung thời gian mà mọi người đề cập đến nằm trong khoảng từ năm 2029 đến 2035.
Liệu có ai đang chuẩn bị không? Có. Solana đã chạy thử nghiệm chữ ký hậu lượng tử Layer-1 đầu tiên trên mạng thử nghiệm của mình vào tháng 12 năm 2025. Quỹ Ethereum có một nhóm chuyên trách về Hậu lượng tử đang nghiên cứu các lộ trình chuyển đổi. Vì vậy, ngành công nghiệp này không hề ngủ quên. Tuy nhiên, mọi việc vẫn chưa hoàn tất. Chưa có gì chống lại được công nghệ lượng tử được đưa lên mạng chính thức.
Lừa đảo qua email và các chiêu trò lừa đảo tiền điện tử phổ biến
Đây là sự thật phũ phàng. Hầu hết các vụ thua lỗ không liên quan đến những thủ đoạn tinh vi. Chúng chỉ đơn giản là do một người nhấp vào liên kết sai, ký vào giao dịch không hợp lệ, hoặc cố tình gửi tiền đến địa chỉ sai vì bị người khác bảo làm vậy. Báo cáo IC3 năm 2024 của FBI ghi nhận hơn 140.000 khiếu nại liên quan đến tiền điện tử, với tổng thiệt hại lên tới 9,3 tỷ đô la. Tăng 66% so với năm 2023. Riêng người Mỹ trên 60 tuổi đã mất 2,8 tỷ đô la trong 33.000 khiếu nại riêng biệt.
Riêng việc giết mổ lợn đã tiêu tốn 5,8 tỷ đô la. Đây là những vụ lừa đảo dài hạn. Ai đó nhắn tin riêng cho bạn trên ứng dụng hẹn hò. Hoặc WhatsApp. Hoặc Telegram. Họ rất thân thiện. Thực ra họ không quan tâm đến chuyện tình cảm. Rồi vài tuần sau, họ nhắc đến việc kiếm được tiền trên một "nền tảng giao dịch tuyệt vời". Bạn có muốn thử không? Bạn nạp một ít tiền. Bảng điều khiển hiển thị lợi nhuận. Bạn nạp thêm. Cuối cùng bạn cố gắng rút tiền và nền tảng yêu cầu phí thuế trước. Rồi thêm một khoản phí nữa. Sau đó người đó biến mất.
Các mục còn lại trong menu bao gồm: lừa đảo rút tiền từ ví (các trang web giả mạo lừa bạn ký vào một văn bản chấp thuận độc hại), airdrop giả mạo, mạo danh quản trị viên Telegram và các cuộc tấn công hoán đổi SIM để đánh cắp mã xác thực hai yếu tố qua SMS của bạn.
Một tin tốt nhỏ. Thiệt hại do lừa đảo rút tiền từ ví điện tử đã giảm 83% trong năm 2025, xuống còn khoảng 83,85 triệu đô la, giảm so với khoảng 494 triệu đô la năm 2024 (dữ liệu của Scam Sniffer). Tại sao? Giao diện người dùng của ví điện tử đã được cải thiện. Hầu hết các ví điện tử hiện nay đều cảnh báo khi chữ ký cho phép chi tiêu token không giới hạn. Tuy nhiên, số lượng nạn nhân vẫn rất lớn.
Các thủ đoạn lừa đảo thay đổi nhanh hơn cả tốc độ giáo dục người tiêu dùng. Vì vậy, đừng học thuộc lòng các chiêu trò lừa đảo. Hãy học cách nhận biết chúng. Nếu người lạ đề cập đến giao dịch tiền điện tử, hãy coi đó là chiêu trò thao túng tâm lý. Nếu một lời nhắc mở ví yêu cầu bạn phê duyệt điều gì đó mà bạn không thể giải thích, hãy từ chối. Nếu quản trị viên Telegram nhắn tin riêng cho bạn đề nghị giúp đỡ, đó không phải là quản trị viên thật.
Bảo vệ tiền điện tử của bạn: những phương pháp tốt nhất và hiệu quả
Bảo vệ tiền điện tử của bạn không hề phức tạp; nó chỉ cần những thói quen tốt. Dưới đây là một tập hợp các biện pháp bảo mật và thực tiễn tốt nhất giúp bảo vệ bề mặt tấn công cho người dùng thông thường nắm giữ một lượng tiền điện tử đáng kể. Đây là những thực tiễn bảo mật mà hầu hết các mối đe dọa và rủi ro tiềm tàng đều có thể xoay quanh. Hãy tuân thủ một phương pháp an toàn cho mỗi biện pháp và bề mặt tấn công sẽ nhanh chóng bị thu hẹp. Tuân thủ chúng và bạn sẽ bảo vệ được tiền điện tử của mình trước phần lớn các cuộc tấn công thực tế.
| Lớp | Luyện tập | Tại sao điều đó lại quan trọng |
|---|---|---|
| Kho | Hãy sử dụng ví phần cứng cho bất cứ khoản tiền nào trên vài trăm đô la; giữ ví nóng để chi tiêu. | Khóa ngoại tuyến loại bỏ phương thức trộm cắp phổ biến nhất. |
| Hỗ trợ | Hãy viết cụm từ hạt giống lên giấy hoặc kim loại; tuyệt đối không được chụp ảnh, chụp màn hình, gửi email hoặc lưu trữ trên đám mây. | Các bản sao lưu đám mây của mã hạt giống thường xuyên bị phần mềm độc hại đánh cắp. |
| Trao đổi | Ưu tiên các sàn giao dịch được quản lý chặt chẽ và có lịch sử hoạt động minh bạch; sử dụng các địa điểm uy tín có quy trình xác thực hai yếu tố (2FA) bắt buộc. | Các địa điểm uy tín có trách nhiệm pháp lý và hệ thống kiểm soát nội bộ tốt hơn. |
| Xác thực hai yếu tố | Hãy sử dụng ứng dụng xác thực hoặc khóa phần cứng, không phải tin nhắn SMS. | Các cuộc tấn công hoán đổi SIM nhắm vào xác thực hai yếu tố (2FA) dựa trên số điện thoại. |
| Phê duyệt | Xem lại từng lời nhắc ký tên; thu hồi các quyền sử dụng token cũ thông qua Revoke.cash hoặc các công cụ tương tự. | Hầu hết các phần mềm hút tiền ảo đều dựa vào việc người dùng ký xác nhận không giới hạn số lần. |
| Giao dịch | Hãy xác minh toàn bộ địa chỉ người nhận, chứ không chỉ bốn ký tự đầu và bốn ký tự cuối. | Vô hiệu hóa các bẫy đánh cắp địa chỉ. |
| Vệ sinh | Hãy dành riêng một trình duyệt hoặc máy tính để sử dụng với các loại tiền điện tử có giá trị cao. | Giảm nguy cơ tiếp xúc với phần mềm độc hại khi duyệt web thông thường. |
| Nhận thức | Hãy coi mọi tin nhắn trực tiếp (DM) về tiền điện tử là lừa đảo cho đến khi có bằng chứng ngược lại. | Các nhà điều hành theo kiểu Lazarus nhắm mục tiêu cụ thể vào các chuyên gia tiền điện tử. |
Cách bảo vệ tiền điện tử của bạn trên ví phần cứng
Hai lưu ý về ví phần cứng. Ledger đã bị rò rỉ dữ liệu vào tháng 12 năm 2020, làm lộ 270.000 địa chỉ nhà của khách hàng, một lời nhắc nhở rằng ngay cả các công ty ví phần cứng cũng là mục tiêu tấn công dữ liệu (mặc dù không phải là mục tiêu tấn công tiền bạc). Một vụ rò rỉ khác vào tháng 1 năm 2026 thông qua đối tác thương mại điện tử Global-e của họ một lần nữa làm lộ dữ liệu liên hệ, chứ không phải cụm từ khóa bảo mật hay tiền bạc. Thiết bị của bạn vẫn là nơi an toàn nhất để lưu trữ khóa bảo mật; địa chỉ gửi thư của bạn, thật không may, lại không phải vậy.
Một số nhà giao dịch thắc mắc liệu ví lạnh có thể bị hack hay không. Câu trả lời thẳng thắn là một ví lạnh được sử dụng đúng cách, lưu trữ an toàn, với cụm từ hạt giống được sao lưu chính xác, là biện pháp phòng vệ mạnh mẽ nhất dành cho bất kỳ cá nhân nào muốn nắm giữ tiền điện tử trong thời gian dài. Các lỗi thường do con người gây ra: chụp ảnh cụm từ hạt giống, các trang web lừa đảo dụ người dùng nhập cụm từ hạt giống, thông tin nhạy cảm được chia sẻ qua trò chuyện, hoặc mua "ví phần cứng" từ các chợ đồ cũ nơi ai đó đã khởi tạo sẵn thiết bị. Chỉ mua từ nhà sản xuất. Đây là tư thế bảo mật cơ bản mà mọi người nên áp dụng.
Nếu bị hack: mất cắp, khôi phục và những điều không nên làm
Nghi ngờ ví của bạn bị hack? Hãy hành động ngay lập tức. Việc đầu tiên: ngăn chặn thiệt hại. Tạo một ví hoàn toàn mới trên một thiết bị sạch, chuyển những gì còn lại trong ví cũ sang ví mới và lấy nốt số tiền còn lại trước khi kẻ trộm kịp lấy đi. Thứ hai: thu hồi mọi quyền chấp thuận token mà bạn đã từng cấp, bằng cách sử dụng Revoke.cash hoặc một công cụ tương tự. Thứ ba: ghi lại mọi thông tin. Mã băm giao dịch. Dấu thời gian. Ảnh chụp màn hình của mọi cuộc trò chuyện, email hoặc URL trông đáng ngờ. Toàn bộ dấu vết giao dịch. Hãy làm điều này trước bất cứ điều gì khác.
Giờ đến phần mà chẳng ai muốn nghe. Phục hồi. Đối với các vụ trộm cá nhân thông thường, chỉ dưới 10% số tiền điện tử bị đánh cắp được thu hồi. Tính minh bạch của blockchain cho phép các nhà điều tra theo dõi dòng tiền thông qua các bộ trộn và cầu nối, và điều đó rất tốt. Nhưng theo dõi không có nghĩa là phục hồi. Những chiến thắng lớn mà bạn đọc được (Tether đóng băng 3,29 tỷ USDT bất hợp pháp từ năm 2023 đến năm 2025, gấp khoảng 30 lần so với Circle đóng băng trong cùng khoảng thời gian; Anh tịch thu 61.000 BTC vào năm 2025; Cetus thu hồi được 162 triệu đô la trong số 223 triệu đô la bị mất) nổi tiếng chính xác vì chúng là những trường hợp ngoại lệ. Chúng đòi hỏi sự hợp tác từ một nhà phát hành stablecoin, một chính phủ hoặc một giao thức sẵn sàng can thiệp mạnh vào các đòn bẩy quản trị.
Những điều bạn không nên làm. Xin đừng thuê bất kỳ công ty "phục hồi tiền điện tử" nào nhắn tin riêng cho bạn một cách đột ngột. Hoặc công ty nào chạy quảng cáo trên Instagram. Hoặc công ty nào có trang đích đầy những lời chứng thực được trau chuốt từ người nổi tiếng. Toàn bộ ngành công nghiệp đó là một trò lừa đảo. Quá trình phục hồi thực sự chậm, nhàm chán, được thực hiện bởi cơ quan thực thi pháp luật với sự trợ giúp từ các công ty như Chainalysis hoặc TRM, và hầu như không bao giờ đảm bảo kết quả. Nếu ai đó đảm bảo với bạn sẽ lấy lại tiền? Hãy bỏ đi. Nếu họ yêu cầu đặt cọc trước khi họ nộp báo cáo? Hãy chạy trốn.
Nếu bạn ở Mỹ (hoặc cơ quan tương đương tại địa phương), hãy báo cáo với IC3 của FBI, với sàn giao dịch nếu có bất kỳ khoản tiền nào được chuyển qua đó, và với nhà phát hành stablecoin nếu có liên quan đến stablecoin. Việc đóng băng tài khoản của nhà phát hành đã trở thành một phương thức thu hồi thực sự. Theo Chainalysis, stablecoin hiện chiếm 84% tổng khối lượng tiền điện tử bất hợp pháp. Con số đó chính là lý do tại sao số lượng tài khoản Tether bị đóng băng tiếp tục tăng lên.
