Tấn công “con người” dễ hơn tấn công mã nguồn, tỷ lệ thu hồi tiền bị đánh cắp trong Web3 hiện đã dưới 10%
Tuyển chọn TechFlowTuyển chọn TechFlow
Tấn công “con người” dễ hơn tấn công mã nguồn, tỷ lệ thu hồi tiền bị đánh cắp trong Web3 hiện đã dưới 10%
Các cuộc tấn công hacker lặp đi lặp lại và tỷ lệ thu hồi dưới 10% là những rào cản chính khiến các nhà đầu tư tổ chức đến nay vẫn ngần ngại tham gia thị trường.
Chuyên sâu báo cáo Web3Tác giả: Tiger Researcher
Biên dịch: AididiaoJP, Foresight News
Các điểm trọng yếu
- Tính đến tháng 4 năm 2026, các vụ tấn công hacker vào hệ sinh thái Web3 vẫn tiếp diễn liên tục; riêng trong tháng 4 đã ghi nhận 12 sự cố.
- Tỷ lệ tấn công kỹ thuật xã hội (social engineering) tăng dần theo từng năm, chiếm tới 74,7% tổng thiệt hại do hacker gây ra trong quý I năm 2026. Việc tấn công con người dễ hơn nhiều so với tấn công mã nguồn.
- Kể từ năm 2020, tỷ lệ trung bình hàng năm các khoản tiền bị đánh cắp được thu hồi luôn dưới mức 10%. Khác với tài chính truyền thống, Web3 không thể ngăn chặn việc đánh cắp trực tiếp trên chuỗi — tiền bị rút ngay khi vụ tấn công xảy ra.
- Sau vụ tấn công trị giá 1,5 tỷ USD nhằm vào sàn Bybit, sàn này vẫn duy trì hoạt động bình thường và không để nhà đầu tư chịu tổn thất nào, nhờ vào cơ chế phối hợp giữa các sàn và quỹ dự trữ sẵn có. Trong khi đó, các dự án DeFi một khi tài sản rời khỏi giao thức thì hoàn toàn không còn thời gian đệm để phản ứng.
- Việc các vụ tấn công hacker lặp đi lặp lại cùng tỷ lệ thu hồi dưới 10% là rào cản then chốt khiến nhà đầu tư tổ chức vẫn chưa dám bước vào thị trường. Web3 hiện nay không cần thêm lý thuyết, mà cần những cơ chế vận hành có cấu trúc rõ ràng và khả năng chịu trách nhiệm minh bạch.
Các vụ tấn công hacker vẫn đang tiếp diễn
Giao thức cầu nối chéo chuỗi @hyperbridge (kết nối Polkadot và Ethereum) đã bị tấn công.
Kẻ tấn công lợi dụng lỗ hổng trong logic xác minh bằng chứng để giả mạo tin nhắn chéo chuỗi, dẫn đến việc đúc trái phép khoảng 1 tỷ token DOT được bridged trên Ethereum. Theo xác nhận, tổng thiệt hại của người dùng trên các chuỗi Ethereum, Arbitrum, Base và BNB Chain lên tới 2,5 triệu USD.
Trước khi xảy ra vụ tấn công vào cầu nối chéo chuỗi Polkadot, giao thức DeFi @DriftProtocol đã phải chịu một đợt tấn công nghiêm trọng trị giá 295,7 triệu USD. Một tổ chức hacker liên quan đến Triều Tiên đã dành sáu tháng để xây dựng lòng tin với các thành viên trong đội ngũ phát triển, sau đó giành quyền kiểm soát quản trị — đây là một cuộc tấn công kỹ thuật xã hội cực kỳ tinh vi. Tether sau đó đề xuất gói hỗ trợ trị giá 127,5 triệu USD, nhưng tổng số tiền hỗ trợ lên tới 147,5 triệu USD vẫn còn rất xa mới đủ bù đắp toàn bộ thiệt hại 295,7 triệu USD.
Các vụ tấn công hacker sau đó vẫn chưa dừng lại. Kể cả những vụ nhỏ hơn xảy ra sau sự kiện Drift, riêng trong tháng 4 đã có tổng cộng 12 vụ. Trong một ngành công nghiệp dựa trên tài chính lập trình được, các lỗ hổng bảo mật ngày càng tích tụ, khiến cả nhà đầu tư lẫn nhà đầu tư tổ chức ngày càng lo ngại.
Mục tiêu tấn công của hacker là con người
Vụ tấn công vào Drift Protocol bắt nguồn từ việc máy tính của một thành viên đội ngũ bị xâm nhập. Mục tiêu không phải là lỗ hổng hợp đồng thông minh hay lỗi hệ thống, mà chính là một con người.
Vấn đề lớn hơn nằm ở chỗ tỷ lệ tấn công kỹ thuật xã hội trong các sự cố hacker Web3 đang ngày càng gia tăng.
Năm 2021, tấn công kỹ thuật xã hội chiếm 28,7% tổng thiệt hại do hacker gây ra; con số này tăng lên 64,3% vào năm 2025 và đạt mức 74,7% trong quý I năm 2026. Các hình thức tấn công nhắm vào con người tiếp tục mở rộng, trong khi tỷ lệ khai thác lỗ hổng ở cấp độ mã nguồn lại tương đối giảm sút.
Do đặc tính mã nguồn mở của blockchain, ban đầu người ta từng kỳ vọng rằng lỗ hổng mã sẽ chiếm ưu thế. Nhưng thực tế cho thấy, kỹ thuật xã hội đã trở thành vector tấn công chủ đạo. Lý do rất đơn giản: xâm nhập một người đã có sẵn quyền truy cập dễ hơn nhiều so với việc tìm ra lỗ hổng trong mã nguồn.
Ngành công nghiệp truyền thống cũng tuân theo quy luật tương tự. Năm 2025, 70% các vụ tấn công hacker vào doanh nghiệp đều liên quan đến kỹ thuật xã hội — phương pháp này đã được chuyển thẳng sang lĩnh vực Web3.
Tuy nhiên, Web3 có một điểm khác biệt then chốt so với tài chính truyền thống: trong tài chính truyền thống, ngay cả khi tấn công thành công thì tiền cũng hiếm khi bị đánh cắp hoàn toàn; việc đóng băng tài khoản, hủy giao dịch hoặc can thiệp của tổ chức đều có thể phát huy tác dụng. Còn trong Web3, tài sản trong giao thức có thể bị rút trực tiếp trên chuỗi — một khi giao dịch đã được xác nhận thì không thể đảo ngược.
Đây chính là lý do vì sao Web3 trở thành mục tiêu hấp dẫn như vậy.
Tỷ lệ thu hồi liên tục giảm, thiệt hại không thể đảo ngược
Các vụ tấn công hacker vào giao thức DeFi mỗi năm gây thiệt hại hàng tỷ USD, nhưng tỷ lệ thực tế các khoản tiền bị đánh cắp được thu hồi lại liên tục giảm. Với sự xuất hiện của các nhóm tấn công do nhà nước hậu thuẫn như Lazarus Group (Triều Tiên), cùng các phương thức rửa tiền ngày càng phức tạp thông qua máy trộn tiền (mixer) và cầu nối chéo chuỗi, việc thu hồi tiền trở nên ngày càng khó khăn.
Nếu các khoản tiền bị đánh cắp có thể được thu hồi, ít nhất mức an toàn tối thiểu vẫn có thể được duy trì. Thế nhưng, tỷ lệ thu hồi của DeFi luôn ở mức cực thấp.
Kể từ năm 2020, tỷ lệ thu hồi trung bình hàng năm luôn dưới 10%. Vụ tấn công vào Poly Network năm 2021 với số tiền bị đánh cắp lên tới 611 triệu USD là ngoại lệ duy nhất — khi kẻ tấn công chủ động hoàn trả toàn bộ số tiền, giúp nâng cao đáng kể dữ liệu tỷ lệ thu hồi của năm đó. Loại bỏ sự kiện này ra, tỷ lệ thu hồi hàng năm đều duy trì ở mức thấp.
Người sống sót là những bên có khả năng ứng phó
Không phải mọi dự án Web3 đều sụp đổ sau khi bị tấn công hacker. Khác với các dự án DeFi thường tan rã chỉ sau một lần tấn công, một số bên đã thành công trong việc vượt qua cú sốc.
Năm 2025, Bybit đã sống sót sau vụ tấn công trị giá 1,5 tỷ USD. Sự phối hợp giữa các sàn giao dịch và quỹ dự trữ đủ để bù đắp toàn bộ thiệt hại đã đóng vai trò then chốt. Dù không phải toàn bộ số tiền bị đánh cắp đều đã được thu hồi, điều quan trọng là sàn vẫn duy trì hoạt động bình thường và không để nhà đầu tư chịu bất kỳ tổn thất nào. Hầu hết các sàn giao dịch đều duy trì quỹ SAFU độc lập nhằm ứng phó với các vụ tấn công hacker và các sự cố bất ngờ khác.
Các dự án DeFi lại không có không gian đệm như vậy. Một khi giao dịch hoàn tất, tài sản trong giao thức sẽ biến mất ngay lập tức, không còn lối thoát. Con đường thực tế nhất để thu hồi là thương lượng với kẻ tấn công — tuy nhiên, kẻ tấn công gần như không có ý định thương lượng. Đối với các nhóm do nhà nước hậu thuẫn như Lazarus, thương lượng là điều hoàn toàn không thể.
Trong tài chính truyền thống, sau khi xảy ra tấn công, các tổ chức sẽ can thiệp: đóng băng tài khoản, điều tra, bảo hiểm và khởi kiện pháp lý lần lượt được triển khai. Trong Web3 thì không tồn tại bất kỳ cơ quan thẩm quyền nào có thể đảo ngược giao dịch đã được xác nhận. Đôi khi dự án có thể yêu cầu can thiệp ở cấp độ chuỗi để đóng băng tài sản, nhưng đóng băng không đồng nghĩa với hoàn trả.
Giới hạn cốt lõi vẫn tồn tại: trong Web3, một khi sai lầm xảy ra thì không thể hủy bỏ.
Làm thế nào để thuyết phục nhà đầu tư tổ chức trong kỷ nguyên tổ chức?
Chúng ta đang sống trong kỷ nguyên tổ chức. Dù chấp nhận hay không, xu hướng này do các tổ chức dẫn dắt và không thể đảo ngược.
Nếu các vụ tấn công hacker tiếp tục xảy ra và các dự án lần lượt sụp đổ, Web3 sẽ chẳng còn gì để trình bày trước các tổ chức. Hiện nay, sự quan tâm của các tổ chức đối với blockchain và DeFi đã rất cao. Hiệu quả vận hành trong quản lý tài sản, cấu trúc lợi nhuận mới và thị trường hoạt động 24/7 là những yếu tố vô cùng hấp dẫn.
Thế nhưng, nếu các dự án liên tục bị tấn công và phá sản, thì dù hiệu quả vận hành và cấu trúc lợi nhuận có hấp dẫn đến đâu cũng sẽ trở nên vô nghĩa. Dù lợi thế công nghệ có nổi bật đến đâu, tài sản nền tảng vẫn phải đảm bảo an toàn. Tỷ lệ thu hồi dưới 10% vẫn là một trong những lý do hàng đầu khiến nhà đầu tư tổ chức chọn đứng ngoài quan sát.
Một khi vốn tổ chức thực sự bước vào, quy mô thị trường sẽ vượt xa mức hiện tại rất nhiều. Chìa khóa mở cánh cửa này không phải là lợi thế công nghệ, mà là một khuôn khổ ứng phó đáng tin cậy. Việc ngành công nghiệp có thể vừa bảo vệ được tính phi tập trung, vừa thuyết phục thành công các tổ chức, sẽ quyết định Web3 có thể tiến vào giai đoạn tiếp theo hay không.
Web3 hiện nay không cần triết lý, mà cần những cấu trúc được thiết kế để đối mặt với thất bại, cùng các cơ chế vận hành được xây dựng trên nền tảng chịu trách nhiệm minh bạch.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@tiger_research
