Bạn có nghĩ rằng tài sản của mình an toàn chỉ vì bạn đã tránh được việc bị mất trắng do các vụ sụp đổ thị trường chứng khoán và những đợt tăng giá đột biến? Câu trả lời có thể khắc nghiệt hơn nhiều so với bạn tưởng tượng.

Nhìn lại cuối năm 2025, nếu chỉ nhìn vào biểu đồ nến, câu chuyện năm nay dường như là chu kỳ quen thuộc của thị trường tăng và giảm, đầy rẫy những thăng trầm. Nhưng đằng sau đường cong giá cả là một quỹ đạo khác, ngoạn mục hơn. Năm nay, các cuộc tấn công của tin tặc trở nên chính xác và nguy hiểm hơn. Theo thống kê chưa đầy đủ từ SlowMist Blockchain Hack Archive và các nguồn trực tuyến khác, tính đến ngày 15 tháng 12, đã có 189 sự cố an ninh liên quan đến chuỗi khối và tiền điện tử trong suốt năm, với tổng thiệt hại tích lũy lên tới khoảng 2,689 tỷ đô la.

Tổng quan dữ liệu

Về mặt thời điểm, hầu hết các sự cố nghiêm trọng gây chết người trong năm nay đều xảy ra trong quý đầu tiên, trong khi ba quý tiếp theo, ngành công nghiệp phải đối mặt với nhiều sự cố an toàn nhỏ và vừa liên tục xảy ra.

Quý 1 ghi nhận 68 sự cố và thiệt hại ước tính khoảng 1,658 tỷ đô la, trở thành quý có số lượng và giá trị thiệt hại cao nhất trong năm. Trong đó bao gồm các sự cố trị giá hàng tỷ đô la, như vụ Bybit, đã nâng kỷ lục của quý này lên vượt qua các quý khác.

Quý 2 ghi nhận 52 sự cố với thiệt hại khoảng 465 triệu đô la; quý 3 ghi nhận 38 sự cố với thiệt hại khoảng 328 triệu đô la; và quý 4, kết thúc ngày 15 tháng 12, ghi nhận 31 sự cố với thiệt hại khoảng 238 triệu đô la.

Về giá trị tiền tệ, trong số 127 trường hợp báo cáo thiệt hại, khoảng một nửa (62 trường hợp) có số tiền dưới 1 triệu đô la. Những "trường hợp nhỏ" này, chiếm một nửa tổng số, có tổng giá trị khoảng 14,37 triệu đô la, chiếm một tỷ lệ không đáng kể (0,53%) trong tổng thiệt hại hàng năm. Cuộc khủng hoảng thực sự tập trung cao độ ở đỉnh của kim tự tháp.

Ba vụ tấn công mạng lớn, trong đó có vụ Bybit, gây thiệt hại hàng trăm triệu đô la, chiếm chưa đến 3% tổng số vụ tấn công, nhưng tổng giá trị của chúng lên tới khoảng 1,811 tỷ đô la, chiếm 67,35% tổng số vụ tấn công trong năm. Riêng vụ Bybit là một ví dụ điển hình, với thiệt hại lên tới 1,46 tỷ đô la, chiếm hơn một nửa (54,29%) tổng thiệt hại hàng năm. Đối với tin tặc, việc tấn công 100 dự án vừa và nhỏ ít sinh lời hơn nhiều so với một cuộc tấn công "điểm đơn" cấp cao vào một mục tiêu hàng đầu.

Trong số các sự cố còn lại, 42 sự cố gây thiệt hại từ 1 triệu đến 10 triệu đô la, chiếm 33,07% tổng số sự cố, với tổng thiệt hại khoảng 192 triệu đô la, tương đương 7,15%. Mười lăm sự cố gây thiệt hại từ 10 triệu đến 50 triệu đô la, chiếm 11,81% tổng số sự cố, với tổng thiệt hại khoảng 337 triệu đô la, tương đương 12,54%. Năm sự cố gây thiệt hại từ 50 triệu đến 100 triệu đô la, chiếm 3,94% tổng số sự cố, với tổng thiệt hại khoảng 334 triệu đô la, tương đương 12,42%.

10 sự cố an ninh hàng đầu năm 2025

Dựa trên số tiền thiệt hại được công bố, tác giả đã chọn ra mười trường hợp nghiêm trọng nhất trong năm. Mặc dù mười vụ việc này chỉ chiếm một tỷ lệ rất nhỏ trong tổng số vụ việc, nhưng chúng lại chiếm phần lớn tổng số tiền bị đánh cắp trong cả năm.

1. Vụ tấn công chuỗi cung ứng Bybit: 1,46 tỷ đô la Mỹ dưới dạng chữ ký điện tử giả mạo

1. Vụ tấn công chuỗi cung ứng Bybit: 1,46 tỷ đô la Mỹ dưới dạng chữ ký điện tử giả mạo

Đây là vụ tấn công mạng quy mô lớn nhất trong lịch sử Web3. Theo chuyên gia phân tích chuỗi khối ZachXBT và các báo cáo pháp y chính thức, vụ tấn công không trực tiếp bẻ khóa khóa riêng của Bybit, mà dường như là một hoạt động đầu độc chuỗi cung ứng do nhóm tin tặc khét tiếng Lazarus Group của Triều Tiên thực hiện. Những kẻ tấn công đã sử dụng các kỹ thuật tấn công phi kỹ thuật để xâm nhập vào máy tính của các nhà phát triển tại nhà cung cấp dịch vụ xác thực đa chữ ký Safe Wallet và cài đặt mã độc.

Khi nhóm Bybit thực hiện thao tác tổng hợp ví nóng và ví lạnh thông thường, giao diện người dùng (UI) bị can thiệp đã sử dụng thủ đoạn đánh lừa thị giác: màn hình hiển thị các địa chỉ chuyển khoản hợp lệ, nhưng logic hợp đồng thông minh bên dưới đã bị âm thầm thay thế bằng một cửa hậu độc hại. Điều này dẫn đến việc Bybit vô tình ký một giao dịch chuyển 499.000 ETH cho tin tặc.

Tuy nhiên, sau sự cố, Bybit đã nhanh chóng phát sóng trực tiếp và đưa ra tuyên bố, giải thích rằng để ngăn chặn cuộc tấn công lan rộng, Bybit ngay lập tức tạm ngừng tương tác với các ví bị ảnh hưởng trong khi vẫn duy trì các chức năng rút và gửi tiền bình thường để tránh tình trạng người dùng ồ ạt rút tiền do hoảng loạn. Chỉ một số giao dịch rút tiền có thể bị chậm trễ do lưu lượng truy cập tăng đột biến. Họ cũng xác nhận rằng chỉ có một ví lạnh ETH bị ảnh hưởng và tất cả các tài sản khác vẫn an toàn. Bybit nhấn mạnh rằng nền tảng của họ có đủ dự trữ và sẽ bù đắp đầy đủ các khoản lỗ của người dùng, đảm bảo tỷ lệ an toàn 1:1 cho tiền của người dùng.

2. Lỗ hổng hợp đồng Cetus: Một cái bẫy toán học DeFi trị giá 260 triệu đô la.

Cetus là một giao thức cung cấp thanh khoản quan trọng trong hệ sinh thái chuỗi công khai SUI. Phân tích sau đó cho thấy các hợp đồng thông minh của Cetus có vấn đề về độ chính xác của thư viện toán học (lỗi kiểm tra tràn) khi xử lý một số tham số nhất định.

Các hacker đã khai thác lỗ hổng logic này, đẩy giá trong pool xuống để tích lũy vị thế ở các vùng giá cao. Sau đó, chúng sử dụng lỗ hổng tràn bộ đệm để bơm thanh khoản được thổi phồng một cách giả tạo vào pool với chi phí token tối thiểu, cuối cùng rút sạch số tài sản trị giá 260 triệu đô la như thể bằng phép thuật. Tuy nhiên, đỉnh điểm của sự cố này không chỉ là cuộc tấn công mà còn là những nỗ lực giải cứu sau đó. Sau khi các hacker thành công và chuyển một số tiền giữa các chuỗi, các node xác thực của Sui đã nhanh chóng xác định và khóa khoảng 162 triệu đô la tài sản còn lại trên chuỗi do những kẻ tấn công để lại.

Để thu hồi khoản tiền khổng lồ này, cộng đồng Sui đã thông qua một đề xuất nâng cấp gây nhiều tranh cãi: Sui chính thức ủng hộ việc bổ sung hai giao dịch đặc biệt thông qua mã hóa cứng vào bản nâng cấp giao thức, trực tiếp buộc chuyển tài sản từ địa chỉ của hacker sang ví đa chữ ký do Cetus, Quỹ Sui và một công ty bảo mật cùng quản lý. Đề xuất đã được chấp thuận, và 162 triệu đô la đã được "tịch thu" thành công và được sử dụng để bồi thường cho người dùng. Kết hợp với các khoản vay từ quỹ, Cetus cuối cùng đã đạt được mức bồi thường đầy đủ cho những người dùng bị ảnh hưởng. Mặc dù đây là một hành động chính đáng để bảo vệ các nạn nhân, nhưng nó cũng đã phá vỡ vẻ ngoài "bất biến" của công nghệ blockchain.

3. Sai lầm logic của Balancer: Sai sót làm tròn số 128 triệu đô la.

Là một giao thức DeFi lâu đời, Balancer vẫn phải chịu một tổn thất lớn ở phiên bản V2 do một lỗ hổng logic. Phân tích cho thấy lỗ hổng này bắt nguồn từ một lỗi làm tròn hướng rất nhỏ; khi xử lý các giao dịch EXACT_OUT chứa các hệ số tỷ lệ không phải số nguyên, giao thức đã thực hiện làm tròn xuống không chính xác.

Những kẻ tấn công đã khéo léo khai thác sự khác biệt nhỏ này, liên tục thực hiện giao dịch chênh lệch giá bằng chức năng trao đổi hàng loạt, cuối cùng làm cạn kiệt các bể thanh khoản trên nhiều chuỗi bao gồm Ethereum, Arbitrum và Avalanche, dẫn đến tổng thiệt hại lên tới 128 triệu đô la. Cuộc tấn công này nhanh chóng gây ra hiệu ứng domino: để ngăn chặn lỗ hổng ảnh hưởng đến BEX của chính mình, Berachain đã tạm ngừng hoạt động mạng thông qua một đợt hard fork khẩn cấp; các giao thức như StakeWise và Beets, vốn phụ thuộc vào thanh khoản của Balancer, đã chịu thiệt hại nghiêm trọng.

4. Nobitex hứng chịu sự trấn áp cấp nhà nước: Một cuộc xung đột địa chính trị kỹ thuật số trị giá 90 triệu đô la.

Khi Nobitex chính thức công bố vụ việc, họ chỉ cung cấp mô tả sơ lược về thiệt hại tài chính và tác động đến hoạt động kinh doanh. Vụ việc xảy ra trong giai đoạn nhạy cảm của cuộc xung đột quân sự kéo dài 12 ngày giữa Iran và Israel. Kẻ tấn công, Predatory Sparrow, không cố gắng che đậy vụ việc hay rửa tiền, mà thay vào đó chuyển tiền đến các địa chỉ đáng xấu hổ được tạo ra thông qua các cuộc tấn công vét cạn (phần đuôi địa chỉ chứa các khẩu hiệu chống lại Lực lượng Vệ binh Cách mạng Iran (IRGC)).

Khi Nobitex chính thức công bố vụ việc, họ chỉ cung cấp mô tả sơ lược về thiệt hại tài chính và tác động đến hoạt động kinh doanh. Vụ việc xảy ra trong giai đoạn nhạy cảm của cuộc xung đột quân sự kéo dài 12 ngày giữa Iran và Israel. Kẻ tấn công, Predatory Sparrow, không cố gắng che đậy vụ việc hay rửa tiền, mà thay vào đó chuyển tiền đến các địa chỉ đáng xấu hổ được tạo ra thông qua các cuộc tấn công vét cạn (phần đuôi địa chỉ chứa các khẩu hiệu chống lại Lực lượng Vệ binh Cách mạng Iran (IRGC)).

Hành động này đã trực tiếp khiến số tiền trở nên không thể sử dụng và không thể thu hồi, về cơ bản tạo ra một "vùng đất bị tàn phá kỹ thuật số" trên chuỗi khối. Mục đích của nó rất rõ ràng: không phải vì tiền, mà là để làm tê liệt huyết mạch tài chính của Iran và làm nhục đối thủ. Cuộc tấn công cũng dẫn đến việc rò rỉ mã nguồn của Nobitex, tiết lộ "con dao hai lưỡi" của nền kinh tế tiền điện tử của Iran: mã nguồn cho thấy Nobitex có một "cửa hậu" được tích hợp sẵn dành cho cơ quan thực thi pháp luật, cho phép giám sát người dùng thông thường mà không cần lệnh; đồng thời, nó thiết kế logic bảo vệ quyền riêng tư cụ thể cho các VIP (thường là các quan chức hoặc thực thể cấp cao bị trừng phạt) để giúp họ né tránh các lệnh trừng phạt quốc tế và sự giám sát chống rửa tiền.

5. Quyền truy cập UPCX bị đánh cắp: Bế tắc thanh khoản trị giá 70 triệu đô la.

Đây là một vụ tấn công mạng thoạt nhìn có vẻ ngoạn mục, nhưng thực chất lại là một vấn đề nan giải. Vào ngày 1 tháng 4, Cyvers đã phát hiện những bất thường trong tài khoản quản lý của chuỗi thanh toán công khai UPCX.

Các tin tặc được cho là đã giành được quyền quản trị và, bằng cách nâng cấp hợp đồng ProxyAdmin và gọi hàm withdrawByAdmin, đã rút 18,4 triệu token UPC từ ba tài khoản quản lý cùng một lúc, với giá trị sổ sách lên tới 70 triệu đô la. Tuy nhiên, theo dữ liệu của CoinGecko, nguồn cung lưu hành của UPCX tại thời điểm đó chỉ khoảng 4 triệu token. Điều này có nghĩa là tin tặc sở hữu lượng token gấp 4,6 lần tổng nguồn cung lưu hành.

6. Ví nóng Phemex bị xâm phạm: 70 triệu đô la bị đánh cắp trên nhiều chuỗi.

Ngày 23 tháng 1, sàn giao dịch tiền điện tử Phemex có trụ sở tại Singapore đã hứng chịu một cuộc tấn công mạng quy mô lớn, gây thiệt hại lên tới 70 triệu đô la. Các nhà phân tích an ninh tin rằng thủ phạm có thể là nhóm tin tặc TraderTraitor có liên hệ với Triều Tiên. Nhóm tấn công đã thể hiện sự chuyên nghiệp và khả năng thực thi xuất sắc: đồng thời chuyển tài sản trên nhiều chuỗi khối công khai, bao gồm ETH, Solana và Polkadot, sử dụng ít nhất tám địa chỉ, và hành động của chúng được nhắm mục tiêu rất cao.

Nhóm tấn công ưu tiên chuyển đổi các tài sản có thể đóng băng như USDC và USDT thành ETH, sau đó cũng lấy đi các loại tiền điện tử nhỏ chỉ trị giá vài trăm đô la. Sau đó, Phemex, tận dụng khoản dự trữ khoảng 1,8 tỷ đô la của mình, đã tiến hành thanh toán bồi thường và khôi phục dịch vụ, tạm thời ổn định hoạt động của nền tảng.

7. Ví nóng Bitcoin Turk chịu tổn thất lớn thứ hai với số tiền lên tới 54 triệu đô la.

Đối với BitTorque, sàn giao dịch tiền điện tử lớn nhất Thổ Nhĩ Kỳ, sự cố này là một cơn ác mộng quen thuộc. Mười bốn tháng trước, sàn giao dịch này đã trải qua một cuộc cải tổ quản lý lớn sau vụ trộm 55 triệu đô la từ ví nóng của họ. Bi kịch lại xảy ra, khi tin tặc dễ dàng truy cập vào khóa riêng của bảy chuỗi khối và cuỗm đi khoảng 54 triệu đô la.

Điều đáng tiếc nhất trong vụ việc này không phải là số tiền liên quan, mà là sự lặp lại của cùng một sai lầm. Hai vụ trộm liên tiếp đều xuất phát từ việc quản lý kém khóa riêng của ví nóng. Đây là tin xấu nhất đối với người dùng, bởi vì bạn không bao giờ biết liệu nền tảng này đã thực sự rút kinh nghiệm hay chỉ đang chờ đợi vụ trộm tiếp theo.

8. Tài khoản Infini Access bị đánh cắp: 50 triệu đô la bị đánh cắp bởi những kẻ đánh bạc.

Ban đầu, nhóm đã cố gắng chiêu mộ các hacker bằng cách đưa ra thông báo trên chuỗi khối và treo thưởng 20%, nhưng khi cuộc điều tra đi sâu hơn, một sự thật gây sốc đã được phơi bày: đó không phải là sự xâm nhập từ bên ngoài, mà là hành vi đánh cắp của một kỹ sư cốt lõi.

Theo các tài liệu tòa án đang lan truyền trên mạng, bị cáo đầu tiên, Chen Shanxuan (kỹ sư hợp đồng cốt lõi tại Infini), đã lạm dụng chức vụ bằng cách giữ quyền quản trị viên cấp cao trong quá trình triển khai hợp đồng, đồng thời khai man với nhóm rằng quyền truy cập đa chữ ký đã được chuyển giao. Bị cáo đã tích lũy khoản nợ khổng lồ do nghiện giao dịch hợp đồng đòn bẩy cao và cờ bạc trực tuyến trong thời gian dài. Trước vụ việc, anh ta đã nhiều lần vay tiền từ đồng nghiệp và thậm chí liên hệ với những người cho vay nặng lãi bất hợp pháp.

Do áp lực nợ nần, ông ta đã lạm dụng quyền lực và rút sạch 50 triệu đô la trong két sắt. Ông ta đã đổi USDC lấy DAI rồi lấy ETH, cố gắng rửa tiền thông qua việc trộn lẫn các loại tiền điện tử. Phong cách quản lý tạm bợ, dựa trên sự tin tưởng này một lần nữa khẳng định một trong những giá trị cốt lõi của tiền điện tử: Đừng tin tưởng, hãy xác minh!

Do áp lực nợ nần, ông ta đã lạm dụng quyền lực và rút sạch 50 triệu đô la trong két sắt. Ông ta đã đổi USDC lấy DAI rồi lấy ETH, cố gắng rửa tiền thông qua việc trộn lẫn các loại tiền điện tử. Phong cách quản lý tạm bợ, dựa trên sự tin tưởng này một lần nữa khẳng định một trong những giá trị cốt lõi của tiền điện tử: Đừng tin tưởng, hãy xác minh!

9. Lỗ hổng quản lý của CoinDCX: Vấn đề trị giá 44,2 triệu đô la do nhận việc làm tự do

Sàn giao dịch CoinDCX của Ấn Độ vừa bị ảnh hưởng bởi một vụ khủng hoảng "nội bộ" kỳ lạ. Tin tặc đã thực hiện một giao dịch thử nghiệm nhỏ trị giá 1 USDT vào sáng sớm, sau đó tẩu thoát với số tài sản trị giá 44,2 triệu đô la Mỹ như một cú vỡ đập. Cảnh sát nhanh chóng xác định và bắt giữ nhân viên công ty Rahul Agarwal.

Các cuộc điều tra cho thấy Agarwal đã sử dụng máy tính xách tay do công ty cấp cho công việc cá nhân trong một thời gian dài, kiếm được khoảng 18.000 đô la tiền thu nhập ngoài giờ trong năm qua. Tuy nhiên, tài sản công ty bị lạm dụng này cuối cùng đã trở thành một "mồi nhử" (Trojan horse) được các hacker bên ngoài sử dụng để xâm nhập vào mạng nội bộ. Bảo mật điểm cuối của nhân viên và quy tắc ứng xử là những biện pháp phòng vệ quan trọng, mặc dù vô hình, mà các sàn giao dịch tuyệt đối không thể bỏ qua.

10. Lỗ hổng quản lý GMX: Một sự thất bại trị giá 42 triệu đô la, ngày càng trầm trọng hơn dù đã được sửa chữa.

Giao thức giao dịch phái sinh phi tập trung GMX V1 đã bị tấn công bởi một lỗ hổng kinh điển và lâu đời trong các cuộc tấn công hợp đồng thông minh: tấn công tái nhập (reentrancy). Các cuộc tấn công tái nhập khai thác sự chênh lệch thời gian trong logic hợp đồng để buộc "chen ngang" và khởi tạo lại lệnh gọi trước khi hệ thống hoàn tất việc tính toán cuối cùng. Trong trường hợp này, tin tặc đã thực hiện cuộc tấn công trong khoảng thời gian giữa việc hệ thống cập nhật số lượng vị thế và giá trung bình, buộc hệ thống phải sử dụng sai giá cũ để tính toán giá trị tài sản.

Trớ trêu thay, lỗ hổng bảo mật chết người này lại do chính nhóm GMX tạo ra vào năm 2022 khi đang khẩn trương sửa một lỗi. Do thiếu kiểm tra và giám sát đầy đủ, quả bom ba năm tuổi này cuối cùng đã phát nổ. May mắn thay, các hacker cuối cùng đã đồng ý với một thỏa thuận "mũ trắng" và trả lại phần lớn số tiền của họ.

phương pháp tấn công

Nếu phân tích các phương thức tấn công, ta thấy rằng các cuộc xâm nhập của tin tặc vào Web3 giống như một "cuộc chiến ba chiều" nhiều lớp. Các phương thức tấn công khác nhau phản ánh mức độ chuyên sâu về kỹ thuật và phạm vi phá hoại hoàn toàn khác nhau.

Các cuộc tấn công chuỗi cung ứng cho thấy mức độ tàn phá cực kỳ cao. Mặc dù chỉ có bốn cuộc tấn công như vậy được ghi nhận trong suốt năm, và ba trong số đó gây ra thiệt hại tương đối nhỏ, vụ Bybit (1,46 tỷ đô la) cho thấy bản chất đáng sợ của phương pháp tấn công này: nó vượt qua các biện pháp phòng thủ hợp đồng thông minh trên chuỗi, trực tiếp làm suy yếu cơ sở hạ tầng hoặc mã nguồn. Những cuộc tấn công như vậy thường cực kỳ khó thực hiện, nhưng một khi chúng xâm nhập thành công vào chuỗi cung ứng của các tập đoàn khổng lồ tập trung, hậu quả sẽ rất tàn khốc. Đây không phải là mối đe dọa thường xuyên nhất, nhưng nó là một thanh gươm Damocles treo lơ lửng trên ngành công nghiệp.

Các lỗ hổng trong hợp đồng và giao thức là chiến trường chính của tin tặc và các nhóm dự án. Đây là nguyên nhân phổ biến nhất gây ra các sự cố bảo mật, với 63 sự cố dẫn đến thiệt hại khoảng 675 triệu đô la. Đây là một "trò chơi kỹ thuật" điển hình: tin tặc cần phải thành thạo logic mã hóa để tìm ra các lỗi toán học hoặc logic. Mặc dù sức tàn phá của một sự cố đơn lẻ không lớn như vụ Bybit, nhưng vì một lượng lớn tiền được gửi vào các giao thức DeFi, ngay cả một vi phạm nhỏ cũng thường có thể mang lại hàng triệu đến hàng chục triệu đô la lợi nhuận bất chính.

Ngược lại, các cuộc tấn công tài khoản/giao diện người dùng giống như một hình thức quấy rối ngoại vi chi phí thấp. Mặc dù loại hình này có tới 57 trường hợp được ghi nhận (bao gồm cả các vụ hack Twitter và tấn công chèn mã nguồn giao diện người dùng), nhưng tổng thiệt hại được ghi nhận chỉ lên tới 17,74 triệu đô la. Các cuộc tấn công này thường sử dụng các phương pháp như chiếm đoạt lưu lượng truy cập và liên kết lừa đảo, và có rào cản kỹ thuật tương đối thấp. Mặc dù chúng tạo ra nhiều sự hoảng loạn nhất trên mạng xã hội, nhưng vì không thể truy cập trực tiếp vào kho lưu trữ trên chuỗi, nên thiệt hại thực tế mà chúng gây ra thường chỉ giới hạn ở mức "thiệt hại bề ngoài".

Hơn nữa, yếu tố con người không thể bị bỏ qua. Việc bỏ trốn, phá hoại nội bộ và rò rỉ khóa riêng cũng gây ra những tổn thất đáng kể. Quản lý luôn phải được ưu tiên; cho dù hệ thống có hoàn hảo đến đâu, người nắm giữ chìa khóa vẫn luôn là người không thể vá được lỗ hổng.

Danh sách cứu cánh cho những người đam mê tiền điện tử

Đừng trở thành người giúp tin tặc đạt được chỉ tiêu KPI của chúng. Dưới đây là danh sách kiểm tra cứu cánh giúp bạn tồn tại lâu hơn trong thế giới Web3.

1. Người ta cho rằng ngay cả các nguồn thông tin chính thức cũng có thể gây hiểu nhầm.

Đừng nhấp vào các liên kết có nội dung "airdrop chính thức" hoặc "bồi thường khẩn cấp"! Twitter có thể bị hack, Discord có thể bị xâm nhập, và thậm chí tổng thống cũng có thể phát hành tiền giả.

Hãy xác minh thông tin trên trang web chính thức và trong các cộng đồng trực tuyến. Dành thêm một phút để xác nhận thông tin sẽ tốt hơn là mất 10 năm để thu hồi vốn đầu tư.

Đừng nhấp vào các liên kết có nội dung "airdrop chính thức" hoặc "bồi thường khẩn cấp"! Twitter có thể bị hack, Discord có thể bị xâm nhập, và thậm chí tổng thống cũng có thể phát hành tiền giả.

Hãy xác minh thông tin trên trang web chính thức và trong các cộng đồng trực tuyến. Dành thêm một phút để xác nhận thông tin sẽ tốt hơn là mất 10 năm để thu hồi vốn đầu tư.

2. Đối với các dự án không quen thuộc, chỉ sử dụng tài khoản phụ để tham gia.

Đừng kết nối với các DApp không quen thuộc hoặc những DApp bạn chưa từng nghe đến bằng ví chính dùng để lưu trữ số tiền lớn! Hãy chuẩn bị một ví chỉ với vài trăm USDT để thử nghiệm.

Nếu chúng ta hình thành thói quen tự cô lập, ngay cả khi một quả bom được thả xuống, nó cũng chỉ ảnh hưởng đến một số ít đơn vị, và căn cứ chính sẽ vẫn không bị tổn hại.

3. Tránh cấp quyền không giới hạn càng nhiều càng tốt, và định kỳ thu hồi quyền.

Không có thỏa thuận nào đáng để bạn giao phó toàn bộ tài sản của mình. Chỉ nhập số tiền trong hạn mức được cho phép; đừng nhập hạn mức không giới hạn để tiết kiệm xăng.

Hãy sử dụng Revoke.cash định kỳ để thu hồi bất kỳ quyền truy cập nào đã lâu không được sử dụng hoặc trông có vẻ không quen thuộc.

4. Ký kết chậm, nhiều lần xác nhận

Khi thấy hộp thoại chữ ký bật lên từ chú cáo nhỏ, đừng chỉ nhấn "xác nhận". Hãy tự hỏi mình ba câu hỏi: Giao dịch này thực chất đang làm gì? Địa chỉ trên hợp đồng có chính xác không? Nếu bị mất cắp, tôi có đủ khả năng chịu tổn thất không?

Nếu ai đó không thể trả lời câu hỏi, họ sẽ từ chối ký tên.

5. Cần tách biệt các khoản tiền: tiền để giao dịch và tiền để tiết kiệm.

Hãy đầu tư một phần tiền vào các sàn giao dịch, một phần vào ví trên chuỗi khối, và phân bổ tiếp tục trên các chuỗi khối khác nhau. Tài khoản giao dịch = tiền có thể truy cập linh hoạt (được đặt trên sàn giao dịch/ví nóng), trong khi tài khoản tiết kiệm = tiền ít được sử dụng (được đặt trong ví lạnh/ví đa chữ ký).

Đừng bao giờ nhấp vào các liên kết ngẫu nhiên hoặc cho phép các quyền không cần thiết trong tài khoản tiết kiệm của bạn. Đa dạng hóa không phải là để kiếm thêm tiền, mà là để có nguồn lực bù đắp ngay cả khi một phần tài khoản của bạn gặp rủi ro.

Hãy nhớ rằng, Web3 không thiếu cơ hội, nhưng lại thiếu những người luôn sẵn sàng đảm nhận các nhiệm vụ.