Nghiêm trọng: Tấn công tiền điện tử 2025 chiếm $2.02 tỷ USD

Trong năm 2025, các nhóm tấn công có tổ chức đã đạt một cột mốc nguy hiểm khi chiếm đoạt 2,02 tỷ USD tiền điện tử, thiết lập kỷ lục mới về hoạt động tấn công mạng trong một năm. Con số này phản ánh mức tăng 51% so với năm 2024, nâng tổng số tiền bị đánh cắp kể từ năm 2016 lên đến 6,75 tỷ USD. Xu hướng đáng báo động cho thấy dù số lượng cuộc tấn công ít hơn, các nhóm này vẫn đạt được những khoản lợi lớn hơn đáng kể nhờ các chiến dịch được lập kế hoạch kỹ lưỡng.

Ngành công nghiệp tiền điện tử đã chứng kiến tổng cộng hơn 3,4 tỷ USD bị đánh cắp trong năm 2025. Trong đó, các hoạt động của nhóm tấn công này chiếm tới 76% tổng số vụ xâm nhập dịch vụ. Điều này nhấn mạnh sự tập trung và hiệu quả của các chiến dịch tấn công nhắm vào tài sản kỹ thuật số.

Tình hình Đánh cắp Dữ liệu Cryptocurrency 2025

Năm 2025 đã đánh dấu một bước ngoặt về quy mô và tần suất các vụ đánh cắp dữ liệu trong lĩnh vực tiền điện tử. Các nhóm tin tặc đã thể hiện khả năng thích nghi và phát triển các phương pháp tấn công, tập trung vào việc tối đa hóa lợi nhuận từ mỗi chiến dịch.

Sự gia tăng đáng kể về giá trị tài sản bị đánh cắp cho thấy các biện pháp bảo mật hiện tại đang gặp thách thức lớn trước những chiến thuật ngày càng tinh vi. Các nhóm này không chỉ nhắm mục tiêu vào các sàn giao dịch lớn mà còn vào các dịch vụ Web3 và hệ sinh thái tiền điện tử rộng lớn hơn.

Phương thức Tấn công Mạng Tinh vi

Các nhóm tin tặc này đã đạt được những kết quả khổng lồ bằng cách triển khai hai chiến lược chính. Chúng cho thấy sự thay đổi trong cách tiếp cận từ các cuộc tấn công kỹ thuật thuần túy sang các phương pháp kỹ thuật xã hội và xâm nhập lâu dài.

Xâm nhập Nội bộ và Tuyển dụng Giả mạo

Đầu tiên, các tác nhân đe dọa đã tìm cách cài cắm nhân viên IT giả mạo vào các sàn giao dịch tiền điện tử, các đơn vị quản lý tài sản kỹ thuật số (custodian), và các công ty Web3. Mục tiêu là để có được quyền truy cập đáng tin cậy từ bên trong tổ chức, giúp chúng dễ dàng thu thập thông tin và thực hiện các hành vi độc hại.

Thứ hai, chúng đã bắt đầu sử dụng các kế hoạch tuyển dụng giả mạo. Các nhóm tin tặc này giả mạo là đại diện của các công ty Web3 và AI lớn để lừa đảo nhân viên trong các buổi phỏng vấn giả và sàng lọc kỹ thuật. Mục tiêu chính là đánh cắp thông tin xác thực, mã nguồn và quyền truy cập VPN từ các nhà tuyển dụng hiện tại của nạn nhân.

Các nhà nghiên cứu của Chainalysis đã lưu ý rằng những kẻ tấn công hiện đang đảo ngược phương pháp truyền thống của chúng. Thay vì chỉ xin việc, chúng giả mạo làm nhà tuyển dụng và tiến hành các quy trình tuyển dụng giả mạo được thiết kế để đánh cắp thông tin đăng nhập, mã nguồn và quyền truy cập VPN từ các nạn nhân.

Chiếm quyền thông qua Đầu tư Chiến lược

Ở cấp độ cao hơn, các nhóm tấn công này còn giả danh là các nhà đầu tư chiến lược hoặc người mua lại doanh nghiệp. Chúng sử dụng các cuộc họp giới thiệu dự án và quy trình thẩm định giả mạo để thu thập thông tin hệ thống nhạy cảm. Từ đó, chúng tìm kiếm các lỗ hổng hoặc điểm yếu để xâm nhập vào cơ sở hạ tầng có giá trị của mục tiêu.

Vụ tấn công sàn giao dịch Bybit vào tháng 2 năm 2025, với tổng giá trị 1,5 tỷ USD bị đánh cắp, là một trong những vụ trộm tiền điện tử lớn nhất trong lịch sử. Sự cố này minh họa rõ nét cách các nhóm tin tặc đang chuyển từ nhiều cuộc tấn công nhỏ lẻ sang ít cuộc tấn công hơn nhưng gây thiệt hại lớn hơn rất nhiều. Tỷ lệ giữa các vụ hack lớn nhất và các sự cố thông thường hiện đã vượt qua 1.000 lần, đây là lần đầu tiên điều này xảy ra.

Quy trình Rửa tiền và Dấu hiệu Nhận biết trong An Ninh Mạng

Sau khi chiếm đoạt được tiền, các nhóm tấn công thực hiện một chu kỳ rửa tiền rõ ràng kéo dài 45 ngày mà các đội ngũ an ninh mạng có thể theo dõi. Quy trình này diễn ra theo ba giai đoạn riêng biệt, được thiết kế để gây khó khăn cho việc truy vết và ẩn danh nguồn gốc của tài sản.

Giai đoạn 1: Sơ tán Nhanh chóng (Ngày 1-5)

Trong năm ngày đầu tiên, số tiền bị đánh cắp được chuyển ngay lập tức qua các giao thức tài chính phi tập trung (DeFi protocols) và các dịch vụ trộn tiền (mixing services). Hoạt động trên các giao thức DeFi tăng vọt 370%, trong khi các dịch vụ trộn tiền tăng 135%. Giai đoạn này tạo ra lớp gây rối đầu tiên cho các nhà điều tra đang cố gắng truy vết dòng tiền.

Giai đoạn 2: Chuyển đổi và Di chuyển (Ngày 6-10)

Giữa ngày thứ sáu và thứ mười, chiến lược thay đổi. Các nhóm tin tặc bắt đầu sử dụng các sàn giao dịch có kiểm tra danh tính hạn chế (limited identity checks) và các cầu nối chuỗi chéo (cross-chain bridges) để di chuyển tài sản giữa các blockchain khác nhau. Các sàn giao dịch tập trung nhận được nhiều hơn 32% quỹ trong giai đoạn này, trong khi các dịch vụ trộn tiền tiếp tục hoạt động với cường độ giảm. Đây là giai đoạn chuyển tiếp quan trọng, nơi các quỹ bị đánh cắp bắt đầu di chuyển đến các điểm có khả năng chuyển đổi sang tiền mặt.

Giai đoạn 3: Tiền mặt hóa (Ngày 20-45)

Giai đoạn cuối cùng, từ ngày thứ 20 đến ngày thứ 45, tập trung vào việc chuyển đổi tiền điện tử thành tiền thật. Các sàn giao dịch không yêu cầu KYC (No-KYC exchanges) ghi nhận mức tăng 82%, trong khi các dịch vụ bảo lãnh bằng tiếng Trung như Tudou Danbao chứng kiến mức tăng 87%. Các nhà phân tích Chainalysis đã xác định rằng các nhóm tấn công này có xu hướng ưu tiên các dịch vụ rửa tiền bằng tiếng Trung, với tỷ lệ sử dụng cao hơn tới 1.753% so với các tội phạm mạng khác.

Mô hình Giao dịch và Hạn chế Vận hành

Các nhóm này cũng cấu trúc các khoản thanh toán khác biệt. Chúng giữ 60% các giao dịch chuyển tiền dưới 500.000 USD để tránh bị phát hiện. Trong khi đó, các nhóm tin tặc khác thường thích các giao dịch lớn hơn, từ 1 triệu USD đến 10 triệu USD. Mô hình đặc biệt này cho thấy những hạn chế trong hoạt động mà các tác nhân đe dọa đang phải đối mặt.

Sự phụ thuộc lớn của chúng vào các dịch vụ rửa tiền cụ thể bằng tiếng Trung và các nhà giao dịch OTC (over-the-counter) cho thấy sự tích hợp chặt chẽ với các mạng lưới tội phạm trong khu vực Châu Á – Thái Bình Dương. Những ưu tiên nhất quán này mang lại cơ hội phát hiện rõ ràng cho các cơ quan thực thi pháp luật và các đội ngũ an ninh mạng để xác định và có thể chặn đứng các quỹ bị đánh cắp trước khi chúng hoàn toàn biến mất vào hệ thống tài chính toàn cầu. Việc hiểu rõ các mô hình tấn công mạng và rửa tiền này là yếu tố then chốt để xây dựng các biện pháp phòng thủ hiệu quả.