Tháng 1 năm 2026, ngành công nghiệp tiền điện tử thiệt hại hơn 400 triệu USD do lỗ hổng bảo mật, lập kỷ lục mới trong một tháng. CertiK ghi nhận 40 vụ việc, trong đó ngày 16 tháng 1 có một vụ lừa đảo qua mạng đơn lẻ gây thiệt hại 2,84 tỷ USD (chiếm 71%), kẻ tấn công giả danh nhân viên dịch vụ khách hàng của Trezor để lừa đảo lấy đi mnemonic, trộm 1.459 BTC và 2,05 triệu LTC.
Vụ lừa đảo qua mạng lớn nhất lịch sử 2.84 tỷ USD bốc hơi trong chớp mắt
(Nguồn: Certik)
Trong các vụ trộm cắp tiền điện tử tháng 1 năm 2026, gây sốc nhất là vụ lừa đảo xã hội nhằm vào ví phần cứng. Ngày 16 tháng 1, một nhà đầu tư bị mất 2,84 tỷ USD do tấn công lừa đảo qua mạng, chiếm khoảng 71% tổng thiệt hại điều chỉnh trong tháng, trở thành vụ lừa đảo qua mạng lớn nhất trong lịch sử tiền điện tử về số tiền thiệt hại trong một lần.
Phương thức tấn công của kẻ xấu có vẻ đơn giản nhưng cực kỳ hiệu quả. Họ giả danh nhân viên dịch vụ khách hàng chính thức của ví phần cứng Trezor, liên hệ qua email hoặc tin nhắn lừa đảo, tuyên bố tài khoản gặp vấn đề an ninh cần xác minh. Dưới lời lẽ xã hội kỹ thuật tinh vi, nạn nhân bị dụ dỗ tiết lộ mnemonic khôi phục. Một khi kẻ tấn công có được mnemonic gồm 12 hoặc 24 từ này, họ kiểm soát hoàn toàn ví, không cần phải phá mã kỹ thuật.
Vụ trộm này khiến 1.459 BTC và 2,05 triệu LTC bị lấy đi ngay lập tức. Với giá thị trường lúc đó, thiệt hại về BTC khoảng 123 triệu USD (tính theo 84,000 USD mỗi BTC), về LTC khoảng 161 triệu USD (tính theo 78 USD mỗi LTC). Quy mô trộm cắp này rõ ràng cho thấy, nạn nhân có thể là nhà đầu tư hoặc tổ chức có lượng tài sản mã hóa lớn từ thời kỳ đầu.
Sau vụ việc của Trezor, số tài sản bị đánh cắp ngay lập tức chuyển lớn sang Monero (XMR). Monero là loại token chú trọng quyền riêng tư, có thể che giấu lịch sử giao dịch, khiến việc theo dõi dòng tiền trở nên cực kỳ khó khăn. Giao dịch quy mô lớn này đã đẩy giá thị trường của Monero tăng bất thường, phản ánh thách thức liên tục của các cơ quan quản lý trong việc đối phó với hoạt động rút vốn bất hợp pháp và rửa tiền bằng tiền ẩn danh.
Bài học từ vụ việc này rất sâu sắc: Ngay cả ví phần cứng an toàn nhất cũng vô hiệu khi an ninh người dùng bị vượt qua. Công nghệ mã hóa của Trezor không bị phá vỡ, vấn đề nằm ở chỗ người dùng đã giao nộp thông tin bảo mật quan trọng nhất — mnemonic — cho kẻ tấn công. Điều này nhấn mạnh tầm quan trọng của yếu tố con người trong các vụ trộm cắp tiền mã hóa, dù công nghệ có tiên tiến đến đâu cũng không thể ngăn chặn người dùng tự tiết lộ khoá.
Step Finance và Truebit gặp thiệt hại nặng nề
Ngoài vụ lừa đảo Trezor, tháng 1 còn xảy ra nhiều vụ tấn công lỗ hổng hợp đồng thông minh lớn. Ngày 31 tháng 1, Step Finance có trụ sở tại Solana bị tấn công thiệt hại 30 triệu USD, kẻ tấn công lợi dụng “lỗ hổng đã biết rộng rãi” để rút sạch nhiều kho bạc và ví phí, khiến 261,854 SOL bị chuyển đi.
Step Finance là nền tảng DeFi quan trọng trong hệ sinh thái Solana, cung cấp công cụ quản lý tài sản và phân tích. Vụ trộm này xảy ra đúng thời điểm hệ sinh thái Solana vừa trải qua giai đoạn tăng trưởng nhanh, dòng vốn đổ vào lớn. Kẻ tấn công chọn thời điểm này để ra tay, rõ ràng đã nhắm vào lượng tài sản khổng lồ tích tụ trên nền tảng.
Cụm từ “lỗ hổng đã biết rộng rãi” mang tính châm biếm. Nó ngụ ý rằng các lỗ hổng của Step Finance không phải là lỗi zero-day mới phát hiện, mà là điểm yếu đã được cộng đồng an ninh biết đến từ lâu. Tình huống này làm thiệt hại thêm phần đáng tiếc, vì có thể đã tránh được bằng kiểm tra an ninh kịp thời và vá lỗi.
Truebit báo cáo rằng, do lỗi tràn số, công ty thiệt hại 26,6 triệu USD, là thiệt hại trực tiếp lớn nhất trong tháng đối với mã hợp đồng. Lỗi tràn số là điểm yếu kinh điển trong hợp đồng thông minh, khi giá trị vượt quá giới hạn lưu trữ của biến, gây ra hành vi bất thường. Kẻ tấn công lợi dụng lỗ hổng này để tạo ra token vượt quá giới hạn, bỏ qua kiểm tra số dư hoặc thực hiện chuyển khoản trái phép.
Bảng xếp hạng thiệt hại lớn nhất trong các vụ trộm tiền điện tử tháng 1
Vụ lừa đảo Trezor: 2,84 tỷ USD (chiếm 71%)
Step Finance: 30 triệu USD
Truebit: 26,6 triệu USD
Swapnet: 13 triệu USD
Saga: 6,2 triệu USD
Makina Finance: 4,2 triệu USD
Những con số này phản ánh thực tế đáng lo ngại: dù là tấn công xã hội hay lỗ hổng kỹ thuật, các phương thức trộm cắp tiền mã hóa đều đang không ngừng tiến hóa, và các biện pháp phòng thủ thường chậm hơn.
Sai lầm con người và lộ khoá riêng là rủi ro lớn nhất
Dữ liệu của CertiK cho thấy, 40 vụ trộm tiền mã hóa đã ghi nhận gây thiệt hại khoảng 370 triệu USD. Những vụ việc này cho thấy, sai lầm của con người và lộ khoá riêng vẫn là rủi ro tài chính lớn nhất mà ngành mới nổi phải đối mặt. So với các cuộc tấn công phức tạp về hợp đồng, lừa đảo xã hội và phishing do nhắm vào điểm yếu của con người khó phòng tránh hơn.
Các vụ việc trong tháng này không phải là tấn công kỹ thuật phức tạp, mà chủ yếu là các vụ lừa đảo xã hội gây ảnh hưởng lớn. Xu hướng này cần cảnh giác, vì nó cho thấy kẻ tấn công nhận ra rằng, thay vì bỏ nhiều công sức để phá mã công nghệ, họ có thể trực tiếp lừa người dùng giao nộp khoá. Phương thức này có chi phí thấp, tỷ lệ thành công cao, và thường khó truy vết, truy tố.
Swapnet thiệt hại 13 triệu USD, Saga và Makina Finance lần lượt mất 6,2 triệu USD và 4,2 triệu USD. Dù thiệt hại thấp hơn nhiều so với vụ Trezor, nhưng phân tán trên các nền tảng và hợp đồng khác nhau, cho thấy mối đe dọa trộm cắp tiền mã hóa là hệ thống chứ không phải cá biệt.
Về mặt kỹ thuật, lỗ hổng hợp đồng thông minh liên tục gây tác động lớn đến thị trường. Lỗ tràn số, tấn công re-entrancy, bỏ qua quyền hạn vẫn còn được khai thác, cho thấy nhiều dự án còn thiếu đầu tư vào kiểm tra an ninh. Thậm chí, hợp đồng đã qua kiểm toán cũng có thể chứa các lỗ hổng chưa phát hiện trong các logic phức tạp.
Khi ngành bước sang tháng 2, các số liệu này nhắc nhở rõ ràng rằng, ngay cả phần cứng mã hóa mạnh nhất cũng vô hiệu khi an ninh người dùng bị vượt qua. Vụ của Trezor chứng minh điều này: ví phần cứng có thiết kế an toàn, nhưng một khi người dùng giao mnemonic cho kẻ tấn công, mọi biện pháp kỹ thuật đều vô nghĩa.
Các biện pháp phòng ngừa trộm cắp tiền mã hóa
Đối mặt với mối đe dọa ngày càng nghiêm trọng, người dùng và nền tảng cần áp dụng các biện pháp an ninh chặt chẽ hơn. Đối với người dùng cá nhân, quan trọng nhất là không bao giờ tiết lộ mnemonic hoặc khoá riêng cho bất kỳ ai, dù họ có tự xưng là ai. Nhân viên dịch vụ khách hàng chính thức sẽ không yêu cầu cung cấp thông tin này, mọi yêu cầu như vậy đều là lừa đảo.
Đối với các nền tảng, kiểm tra an ninh định kỳ và chương trình thưởng lỗ hổng là điều không thể thiếu. Vụ Step Finance bị tấn công qua “lỗ hổng đã biết rộng rãi” có thể đã được phát hiện và vá lỗi kịp thời nếu có kiểm tra an ninh đúng cách. Nhiều dự án thành công đã xây dựng cơ chế giám sát an ninh liên tục, hợp tác với cộng đồng hacker mũ trắng để phát hiện lỗ hổng trước khi kẻ xấu khai thác.
Vai trò của các đồng tiền ẩn danh như Monero trong rửa tiền cũng gây chú ý của các cơ quan quản lý. Dù quyền riêng tư là giá trị cốt lõi của tiền mã hóa, nhưng khi bị sử dụng để che giấu hoạt động phạm pháp, nó sẽ đối mặt với áp lực từ quy định. Việc cân bằng giữa bảo vệ quyền riêng tư hợp pháp và chống tội phạm là thách thức lớn của ngành công nghiệp tiền mã hóa.
