Thiệt hại lừa đảo tiền điện tử năm 2025 còn 83 triệu USD, giảm 83%

Thiệt hại từ các vụ lừa đảo tiền điện tử, đặc biệt là các hình thức chiếm đoạt tài sản wallet drain (thoái ví - người dùng bị lừa mở quyền truy cập vào ví cho tội phạm) đã giảm sâu trong năm 2025.

Tuy vậy, các chuyên gia an ninh mạng cảnh báo hoạt động lừa đảo vẫn bám sát diễn biến của thị trường và liên tục biến hóa với những cách tấn công mới.

Theo báo cáo mới công bố của nền tảng bảo mật Web3 Scam Sniffer, tổng thiệt hại từ hình thức thoái ví trong năm 2025 chỉ còn khoảng 83,85 triệu USD, giảm tới 83% so với thiệt hại gần 494 triệu USD của năm 2024.

Số nạn nhân cũng giảm mạnh, xuống còn khoảng 106.000 người, tương đương giảm 68% so với năm trước. 

Dù con số thiệt hại sụt giảm rõ rệt, Scam Sniffer cho rằng hoạt động lừa đảo không giảm mà bám sát diễn biến của thị trường và liên tục biến hóa với những cách tấn công mới. 

Khi hoạt động giao dịch các loại tài sản số tăng cao, thiệt hại cũng gia tăng. Ngược lại, khi thị trường trầm lắng, mức độ tổn thất có xu hướng hạ nhiệt. Quý 3/2025, trùng với giai đoạn Ethereum (ETH) tăng giá mạnh nhất trong năm, cũng là thời điểm ghi nhận thiệt hại từ lừa đảo cao nhất, lên tới 31 triệu USD. Riêng hai tháng 8 và 9 đã chiếm gần 29% tổng thiệt hại của cả năm.

Báo cáo nhận định, khi thị trường sôi động, số lượng người dùng tham gia tăng cao thì số lượng nạn nhân thông thường cũng tăng lên. Nói cách khác, lừa đảo có thể phát sinh như một hệ quả tất yếu của sự gia tăng hoạt động giao dịch. Trong năm 2025, thiệt hại hàng tháng dao động từ mức thấp nhất 2,04 triệu USD (tháng 12) đến 12,17 triệu USD (tháng 8), khi thị trường đạt đỉnh sôi động.

Vụ lừa đảo lớn nhất trong năm xảy ra vào tháng 9, gây thiệt hại khoảng 6,5 triệu USD, vì người dùng bị lừa ký uỷ quyền cho tội phạm, để chúng toàn quyền rút tiền trong ví. Các cuộc tấn công dựa trên cơ chế này chiếm khoảng 38% tổng thiệt hại trong những vụ việc có giá trị trên 1 triệu USD.

Đáng chú ý, năm 2025 còn chứng kiến sự xuất hiện của một kiểu tấn công hoàn toàn mới, nảy sinh ngay sau khi mạng Ethereum được nâng cấp. Lợi dụng tiêu chuẩn kỹ thuật mới EIP-7702 của mạng Ethereum, kẻ xấu có thể thực hiện nhiều hành động gây hại chỉ nhờ một lần ký xác nhận của người dùng.

Nói cách khác, chỉ với một lần ký xác nhận sai lầm, người dùng có thể cho phép kẻ tấn công thực hiện hàng loạt thao tác phía sau, từ chiếm quyền kiểm soát tài khoản đến rút tài sản trong ví. Hai vụ việc tấn công chữ ký lớn liên quan đến tiêu chuẩn kỹ thuật EIP-7702 xảy ra trong tháng 8 đã gây thiệt hại tổng cộng 2,54 triệu USD, cho thấy giới tội phạm mạng thích nghi rất nhanh, thậm chí đi trước cả người dùng, mỗi khi hạ tầng kỹ thuật của blockchain có thay đổi.

Điểm đáng chú ý khác là số vụ lừa đảo gây thiệt hại lớn đã giảm mạnh. Trong năm 2025, chỉ ghi nhận 11 vụ lừa đảo có giá trị trên 1 triệu USD, giảm nhiều so với con số 30 vụ của năm 2024. Tuy nhiên, báo cáo cũng cảnh báo kẻ tấn công đang chuyển hướng sang chiến lược “mỗi vụ ít tiền nhưng đánh vào số đông”. Thiệt hại trung bình trên mỗi nạn nhân giảm xuống còn khoảng 790 USD, cho thấy trọng tâm đã chuyển từ những phi vụ lớn, sang nhắm vào nhà đầu tư nhỏ lẻ.

Theo Scam Sniffer, khi những mô hình lừa đảo cũ bị loại bỏ vì không còn phù hợp, cách thức lừa đảo mới lại nhanh chóng hình thành. 

Trong khi đó, theo số liệu của công ty bảo mật PeckShield, tổng thiệt hại liên quan đến tiền điện tử do tin tặc tấn công và khai thác lỗ hổng an ninh trong tháng 12 đã giảm xuống còn khoảng 76 triệu USD, thấp hơn 60% so với mức 194,2 triệu USD của tháng 11.

Dù PeckShield vẫn ghi nhận 26 sự cố lớn trong tháng, quy mô tổn thất nhìn chung đã chậm lại, cho thấy giá trị thiệt hại giảm nhưng hoạt động tấn công vẫn dai dẳng. Vụ việc gây tổn thất nghiêm trọng nhất là khoảng 50 triệu USD, trong đó kẻ xấu tạo ra các địa chỉ ví có ký tự gần giống với ví thật để đánh lừa người dùng chuyển nhầm tiền.