Ý kiến của: Andrey Sergeenkov, nhà nghiên cứu, nhà phân tích và nhà văn
Những người sáng lập tiền điện tử yêu thích những lời hứa lớn: tài chính phi tập trung, ngân hàng không có ngân hàng và tự do khỏi các trung gian. Sau đó, hack xảy ra. Trong một số trường hợp, hàng tỷ biến mất chỉ sau một đêm
Vào ngày 21 tháng 2 năm 2025, Tập đoàn Lazarus của Bắc Triều Tiên đã đánh cắp 1,46 tỷ đô la từ Bybit. Họ đã gửi email lừa đảo cho nhân viên có quyền truy cập ví lạnh. Sau khi xâm phạm các tài khoản này, họ đã truy cập giao diện của Bybit và thay thế hợp đồng ví đa chữ ký bằng phiên bản độc hại của họ. Khi Bybit cố gắng chuyển tiền thông thường, các tin tặc đã chuyển hướng 499.000 Ether (ETH) đến các địa chỉ
Đây không chỉ là một lỗi của con người. Đây là một thất bại thiết kế. Một hệ thống cho phép nhân tố con người kích hoạt một vụ trộm cắp hàng tỷ đô la không phải là sáng tạo – nó vô trách nhiệm
Người dân không được bảo vệ
Chỉ trong 10 ngày, các tin tặc đã chuyển đổi tất cả 499.000 ETH thành quỹ không thể truy tìm được, sử dụng THORChain làm kênh chính của họ. Sàn giao dịch phi tập trung đã xử lý khoản hoán đổi kỷ lục 4.66 tỷ đô la trong một tuần nhưng không thực hiện biện pháp bảo vệ nào chống lại các hoạt động đáng ngờ
Ngành công nghiệp tiền điện tử đã tạo ra một hệ thống không thể bảo vệ người dùng ngay cả sau khi họ phát hiện ra một hành vi trộm cắp. Một số dịch vụ thực sự thu lợi từ tội ác này, thu phí hàng triệu đô la trong khi xử lý việc rửa tiền bị đánh cắp
Gần đây: SafeWallet phát hành báo cáo hack Bybit sau khi chết
Vào tháng 2 năm 2025, các nhà điều tra ZachXBT và Tanuki42 tiết lộ rằng người dùng Coinbase đã mất hơn 300 triệu đô la hàng năm do các cuộc tấn công kỹ thuật xã hội. Báo cáo của họ cho thấy 65 triệu đô la bị đánh cắp thông qua lừa đảo và các kỹ thuật thao túng xã hội khác vào tháng 12 năm 2024 và tháng 1 năm 2025. Theo các nhà điều tra, Coinbase đã thất bại trong việc giải quyết các lỗ hổng bảo mật đã biết trong các khóa API và hệ thống xác minh của họ khiến các cuộc tấn công nhắm mục tiêu con người này
ZachXBT đã trực tiếp chỉ trích sàn giao dịch vì có “các đại lý hỗ trợ khách hàng vô dụng” và không báo cáo đúng địa chỉ trộm cắp cho các công cụ giám sát blockchain, khiến tiền bị đánh cắp trở nên khó theo dõi hơn. Một kẻ lừa đảo thậm chí còn thừa nhận nhắm mục tiêu vào những người dùng giàu có, tuyên bố họ kiếm được ít nhất năm con số một tuần
Đây không phải là những trường hợp cá biệt. Cục Điều tra Liên bang Hoa Kỳ báo cáo rằng người dùng tiền điện tử thông thường đã mất hơn 5.6 tỷ đô la do gian lận vào năm 2023 và kỹ thuật xã hội đã thúc đẩy ít nhất một nửa trong số các kế hoạch này. Chỉ riêng người Mỹ đã mất khoảng 2 tỷ đô la – 3 tỷ đô la mỗi năm do các cuộc tấn công dễ bị tổn thương của con người. Với hơn 600 triệu người dùng tiền điện tử trên toàn thế giới, các ước tính thận trọng đưa ra thiệt hại cá nhân từ kỹ thuật xã hội ở mức 6 tỷ đô la – 15 tỷ đô la vào năm 2024
Rào cản đối với việc nhận con nuôi
Những lo ngại về bảo mật hiện được công nhận là rào cản chính đối với việc áp dụng bởi 37% người dùng tiền điện tử trên toàn thế giới. Trong khi đó, ngành công nghiệp tiếp tục thúc đẩy các tài sản đầu cơ rủi ro cao như memecoin, nơi người dùng trung bình thường mất tiền
Trong khi những người sáng lập quảng bá sự tự do tài chính, hàng triệu người thực sự mất tiền tiết kiệm của họ do các lỗ hổng mà ngành công nghiệp từ chối giải quyết. Chúng là triệu chứng của một vấn đề cơ bản: Các nhà xây dựng tiền điện tử chọn tiếp thị hơn bảo mật.
Khi thảm họa xảy ra và họ phải đối mặt với áp lực về các lỗi bảo mật, các nhà lãnh đạo tiền điện tử ẩn đằng sau nguyên tắc “mã là luật” của blockchain và đưa ra các lập luận triết học về chủ quyền tự chủ và trách nhiệm cá nhân. Ngành công nghiệp tiền điện tử thích đổ lỗi cho người dùng thông thường: “Không lưu trữ khóa trực tuyến”, “Kiểm tra địa chỉ trước khi gửi”, “Không bao giờ mở các tệp đáng ngờ.”
Không ai an toàn
Ngay cả các nhà lãnh đạo trong ngành cũng trở thành nạn nhân của các cuộc tấn công cơ bản tương tự. Vào tháng 1 năm 2024, người đồng sáng lập Ripple Chris Larsen đã mất 283 triệu XRP (XRP) do lưu trữ khóa riêng trong trình quản lý mật khẩu trực tuyến. Người sáng lập DeFiance Capital Arthur_0x đã mất 1.6 triệu đô la tiền mã thông báo không thể thay thế (NFT) và tiền điện tử chỉ bằng cách mở tệp PDF lừa đảo
Những người này không phải là những người mới bắt đầu ngây thơ – họ là những người sáng tạo và chuyên gia của chính hệ thống không thể bảo vệ ngay cả họ. Họ biết tất cả các quy tắc an ninh, nhưng yếu tố con người là không thể tránh khỏi. Nếu ngay cả các kiến trúc sư hệ thống cũng mất hàng triệu, người dùng bình thường có cơ hội gì?
Kiến thức về các quy tắc bảo mật không cung cấp sự bảo vệ hoàn toàn vì sốt, căng thẳng, thiếu ngủ hoặc đau khổ cảm xúc ảnh hưởng nghiêm trọng đến khả năng ra quyết định của chúng ta. Những kẻ tấn công liên tục kiểm tra các cách tiếp cận khác nhau, chờ đợi những khoảnh khắc khi người dùng trở nên dễ bị tổn thương. Họ phát triển chiến thuật của mình liên tục, tạo ra các kịch bản, mạo danh và tình huống khẩn cấp ngày càng thuyết phục
Bản chất không thể thay đổi của các giao dịch blockchain đòi hỏi các biện pháp bảo vệ đặc biệt – không ít hơn. Nếu người dùng không thể đảo ngược lỗi hoặc trộm cắp, hệ thống phải ngăn chặn chúng ngay từ đầu. Đổi mới thực sự có nghĩa là xây dựng các hệ thống hoạt động cho con người thực sự, không phải người dùng hoàn hảo về mặt lý thuyết. Ngân hàng đã học được bài học này qua nhiều thế kỷ. Các nhà xây dựng tiền điện tử phải học nó nhanh hơn.
Thay vào đó, các nhà lãnh đạo ngành dường như đã mất liên lạc với thực tế do sự giàu có cực đoan đổ vào họ một cách nhanh chóng. Họ đã tham gia vào câu chuyện PR của mình, miêu tả họ như những thiên tài và bắt đầu coi mình là những người có tầm nhìn xa trông rộng
Lời kêu gọi hành động
Vitalik Buterin thuyết trình cho khán giả của mình về việc bỏ phiếu trong các cuộc bầu cử và đánh bóng bản tuyên ngôn của mình, trong khi Justin Sun chi 6,2 triệu đô la cho một quả chuối cho một “trải nghiệm nghệ thuật độc đáo” – tất cả trong khi xây dựng một môi trường khiến những sai lầm nguy hiểm trở nên dễ mắc phải. Cách tiếp cận này về cơ bản là không trung thực. Bạn không thể tuyên bố sẽ cách mạng hóa tài chính trong khi cung cấp ít bảo mật hơn các hệ thống bạn đang thay thế
Sự xuất sắc kỹ thuật nào tồn tại trong các hệ thống cho phép trộm hàng tỷ đô la và gian lận có hệ thống đối với người dùng thông thường một cách dễ dàng như vậy? Là một chức năng cốt lõi, sự xuất sắc về kỹ thuật thực sự sẽ bao gồm bảo vệ người dùng khỏi tổn thất tài chính vĩnh viễn. Một hệ thống tài chính không thể bảo đảm tài sản của người dùng không tiến bộ về mặt kỹ thuật – về cơ bản nó không đầy đủ.
Đã đến lúc ngừng viết tuyên ngôn và quảng bá các pha nguy hiểm PR đáng ngờ được thiết kế để thu hút một lượng khán giả rộng lớn hơn và dễ bị tổn thương hơn. Bắt đầu xây dựng các biện pháp bảo vệ thực sự phù hợp với mức độ rủi ro mà người dùng của bạn phải đối mặt. Không có sự đổi mới blockchain nào quan trọng nếu người bình thường không thể sử dụng các hệ thống này mà không sợ tổn thất tài chính tức thì, vĩnh viễn.
Bất cứ điều gì ít hơn chỉ là thử nghiệm liều lĩnh với chi phí của người dùng được ngụy trang thành một cuộc cách mạng – một kế hoạch làm giàu cho những người sáng lập và người trong cuộc trong khi những người bình thường chịu mọi rủi ro.
Nếu ngành công nghiệp không giải quyết vấn đề này, các nhà quản lý sẽ giải quyết – và bạn sẽ không thích các giải pháp của họ. Những lập luận triết học của bạn về chủ quyền tự chủ sẽ không quan trọng khi giấy phép bị thu hồi và hoạt động ngừng hoạt động
Đây là sự lựa chọn mà các nhà xây dựng tiền điện tử phải đối mặt: Hoặc là tạo ra các hệ thống thực sự an toàn để biện minh cho tuyên bố của bạn về đổi mới tài chính hoặc xem các nhà quản lý chuyển đổi “công nghệ mang tính cách mạng” của bạn thành một dịch vụ tài chính được quản lý chặt chẽ khác. Đồng hồ đang tích tắc.
Ý kiến của: Andrey Sergeenkov, nhà nghiên cứu, nhà phân tích và nhà văn.
Bài viết này dành cho mục đích thông tin chung và không nhằm mục đích và không nên được coi là tư vấn pháp lý hoặc đầu tư. Các quan điểm, suy nghĩ và ý kiến được thể hiện ở đây chỉ là của tác giả và không nhất thiết phản ánh hoặc đại diện cho quan điểm và ý kiến của Cointelegraph
