Khóa riêng tư là nguyên nhân lớn nhất sau gần 16,7 tỷ USD thiệt hại từ hack crypto

Vì sao các vụ hack crypto vẫn xảy ra dày đặc

Các vụ tấn công vào dự án crypto gần đây xuất hiện liên tục đến mức nhiều nhà đầu tư đã coi đó như tin tức quen thuộc. Tuy nhiên, điểm đáng chú ý là phần lớn thiệt hại không bắt nguồn từ việc blockchain hay smart contract bị phá vỡ.

Theo dữ liệu từ DeFiLlama, tổng số tiền bị thất thoát trong các vụ hack, khai thác DeFi và tấn công cầu nối đã lên tới 16,69 tỷ USD. Trong đó, khoảng 40% liên quan trực tiếp đến việc kẻ tấn công lấy được khóa riêng tư.

Nói cách khác, vấn đề lớn nhất không phải là mã nguồn nền tảng bị lỗi, mà là lớp bảo mật xung quanh khóa truy cập tài sản.

Khóa riêng tư là gì và vì sao nó trở thành điểm yếu

Mỗi ví crypto đều có hai thành phần quan trọng:

1. Khóa công khai, có thể chia sẻ để nhận tiền.
2. Khóa riêng tư, dùng để chứng minh quyền sở hữu và ký giao dịch.

Nếu một người dùng làm mất khóa riêng tư, sẽ không có cơ chế khôi phục như hệ thống ngân hàng truyền thống. Không có nút đặt lại mật khẩu, cũng không có bộ phận gian lận nào có thể can thiệp để lấy lại tài sản. Ai nắm được khóa thì người đó kiểm soát toàn bộ số tiền trong ví.

Các vụ xâm nhập liên quan đến khóa riêng tư thường rơi vào hai nhóm:

1. Tấn công đoán hoặc bẻ khóa để chiếm quyền kiểm soát khóa.
2. Khóa bị rò rỉ nhưng nguyên nhân cụ thể không xác định rõ.

Theo đánh giá hiện tại, hai dạng này chiếm khoảng 40% tổng thiệt hại do hack crypto từ trước đến nay.

Le Fan, nhà sáng lập kiêm CEO của Cysic, cho rằng đây không phải là thất bại của mật mã học. Theo ông, vấn đề nằm ở cách quản trị khóa mà ngành công nghiệp vẫn đang mô tả chưa đúng bản chất.

Ông cũng lưu ý rằng nếu công thức mật mã nền tảng còn nguyên vẹn thì không thể nói là thuật toán đã bị bẻ gãy.

Điểm yếu lớn nhất thường nằm ở vận hành

Một khóa riêng tư chỉ thật sự hữu ích khi nó được sử dụng trong môi trường sống, chẳng hạn trên máy chủ, trong dịch vụ đang chạy, hoặc đi kèm nhiều công cụ vận hành khác. Chính điều đó lại làm tăng rủi ro.

Le Fan nhấn mạnh rằng khi một khóa phải luôn sẵn sàng để ký giao dịch, nó sẽ tồn tại trong môi trường có nhiều thành phần nhạy cảm khác như kho lưu trữ bí mật, phụ thuộc phần mềm và đội ngũ vận hành. Khi một mắt xích trong chuỗi này bị xâm nhập, khóa có thể bị lộ theo.

Wish Wu, đồng sáng lập kiêm CEO của Pharos, cũng cho rằng nguyên nhân nằm ở thiết kế hệ thống ban đầu của blockchain. Phần lớn hạ tầng được xây dựng theo mô hình một người dùng, một khóa, tức chỉ cần một khóa là có thể kiểm soát toàn bộ tài sản.

Mô hình này khác xa với các nguyên tắc bảo mật quen thuộc trong tài chính truyền thống, nơi thường có nhiều lớp kiểm soát, phân tách trách nhiệm và yêu cầu phê duyệt từ nhiều bên.

Wu cho rằng hệ sinh thái blockchain hiện nay còn mở rộng thêm nhiều bề mặt tấn công mới, bao gồm:

1. Hệ thống cloud.
2. Công cụ bên thứ ba.
3. Tài khoản mạng xã hội.
4. Con người trực tiếp vận hành các hệ thống đó.

Theo ông, chỉ cần một trong các điểm này bị xâm nhập, toàn bộ quy trình có thể bị lợi dụng.

Bài học từ vụ Bybit năm 2025

Cả Wu và Fan đều dẫn vụ Bybit hồi tháng 2 năm 2025 như một ví dụ điển hình cho việc bề mặt tấn công đã mở rộng đến đâu.

Trong sự cố này, kẻ tấn công đã xâm nhập chuỗi cung ứng phần mềm của một công cụ phát triển bên thứ ba. Từ đó, mã độc được chèn vào giao diện web của ví, khiến lãnh đạo công ty vô tình ký vào giao dịch làm thất thoát 1,5 tỷ USD Ethereum.

Sự việc cho thấy rủi ro không chỉ đến từ hợp đồng thông minh hay blockchain gốc, mà còn đến từ các công cụ phụ trợ quanh nó.

Ngành crypto đang làm gì để giảm rủi ro

Theo Wu, thị trường đang dần chuyển hướng sang các biện pháp phòng vệ mạnh hơn, nhưng mức độ triển khai vẫn chưa đồng đều.

Một số giải pháp đang được chú ý gồm:

1. Ví dùng tính toán đa bên, hay MPC.
2. Account abstraction, đi kèm cơ chế khôi phục xã hội.
3. Đăng nhập bằng passkey.
4. Ví phần cứng được ép buộc sử dụng trong một số quy trình.
5. Quy trình chuẩn hóa quản trị khóa cho đội ngũ vận hành.

Tuy vậy, vấn đề là nhiều giải pháp trong số này vẫn chỉ được thêm vào như tính năng tùy chọn, thay vì được tích hợp từ đầu ở cấp giao thức.

Theo Wu, nhiều blockchain vẫn xem bảo mật như một lớp bổ sung, thay vì xem đó là nguyên tắc thiết kế cốt lõi.

Hướng đi tiếp theo: giảm phụ thuộc vào một khóa duy nhất

Điểm mấu chốt, theo Fan, là ngành cần bớt phụ thuộc vào một khóa đơn lẻ.

MPC và threshold signing giúp chia nhỏ quá trình ký giao dịch, để không có thời điểm nào toàn bộ khóa nằm gọn ở một chỗ. Điều này khiến kẻ tấn công khó lấy được thứ gì đó có giá trị chỉ bằng một lần đột nhập.

Account abstraction cũng đang được xem là hướng đi quan trọng. Công nghệ này cho phép ví hoạt động giống tài khoản do smart contract điều khiển, từ đó người dùng có thể thiết lập các quy tắc riêng như:

1. Hạn mức chi tiêu.
2. Danh sách địa chỉ được phép.
3. Cơ chế người giám hộ dự phòng.

Nhờ vậy, ngay cả khi một phần hệ thống bị lộ, tài khoản vẫn khó bị rút sạch ngay lập tức.

Wu cho rằng bảo mật cần được xem là một quá trình liên tục, chứ không phải chỉ là một lần kiểm toán rồi để đó.

Ông cũng nhấn mạnh rằng an toàn phải được đưa vào toàn bộ vòng đời sản phẩm, từ phát triển, triển khai đến vận hành. Đồng thời, lớp con người vẫn là điểm yếu thường gặp nhất, nên văn hóa bảo mật, nhận thức và đào tạo cần được coi là tuyến phòng thủ đầu tiên.