2.1 tỷ USD bị đánh cắp trong crypto năm 2025

Mô hình $2.1B mà không ai muốn thấy

Cuối tuần trước, TRM Labs công bố báo cáo H1 2025: 2,1 tỷ USD bị đánh cắp từ hệ sinh thái crypto. Không phải do tấn công chuỗi brute-force hay việc rút ví whale, mà là những cuộc tấn công lặng lẽ: rò rỉ khóa riêng và lỗ hổ frontend.

Tôi đã xây dựng mô hình từ ngày đầu tại startup FinTech đầu tiên. Chúng tôi không theo trào lưu — chúng tôi theo dữ liệu chảy xuyên qua tầng kiến trúc. Các vectơ tấn công? Giao diện người dùng — nơi nhà phát triển tin tưởng vào bộ nhớ trình duyệt mà không có MFA, token phiên làm việc sống không được bảo vệ trong localStorage.

Hạ tầng mới là mục tiêu thực sự

Đây không phải là “trộm crypto” như truyền thông đại chúng mô tả. Đó là lỗi kiến trúc — sai sót được nhúng vào lớp UX của dApp. Một header CORS bị cấu hình sai có thể làm cạn kiệt kho báu nhanh hơn bất kỳ vụ tấn công blockchain.

Chúng tôi đo lường: trong 75 sự cố chính năm nay, hơn 80% bắt nguồn từ truy cập frontend + rò rỉ credential — không phải gian lận khai thác entropy, mà là hành vi con người ở quy mô lớn.

Vì sao điều này quan trọng (và vì sao bạn sẽ bỏ lỡ)

Chúng ta đang nói về việc mất khóa riêng trên ổ USB (một meme). Chúng ta đang nói về thành phần React với bí mật cứng coded đưa lên sản xuất vì “nó hoạt động địa phương.”

Tôi đã chạy lại mô hình ba lần — mỗi lần xác nhận: nếu bạn có thể truy cập nó mà không xác thực, bạn sẽ mất nó.

Thị trường không hoảng loạn khi ví bị rò rỉ — nó lý trí hóa nó.

Đến lượt của bạn ngay bây giờ

Kiểm tra công cụ phát triển dApp của bạn hôm nay. Nếu localStorage của bạn chứa token Bearer chưa mã hóa… thì bạn đã trở thành một phần dữ liệu.