Báo cáo tìm thấy các cuộc tấn công nhắm vào con người hiện nay là mối đe dọa nguy hiểm nhất của Web3
Một báo cáo gần đây từ Kerberus, một công ty bảo mật Web3, cho thấy rằng hành vi con người hiện là nguyên nhân chính gây rủi ro trong Web3.
BeInCrypto đã có cuộc trao đổi với CEO của công ty, Alex Katz, và CTO, Danor Cohen, để hiểu lý do tại sao người dùng vẫn tiếp tục trở thành nạn nhân của các cuộc tấn công và họ có thể làm gì để tự bảo vệ mình tốt hơn.
Lỗi con người gây ra tổn thất lớn trong Web3, theo báo cáo của Kerberus
Trong báo cáo mới nhất có tiêu đề “The Human Factor – Bảo vệ thời gian thực là lớp bảo mật bị lãng quên của Web3 (2025)”, Kerberus đã tiết lộ rằng các cuộc tấn công tập trung vào con người là loại hình nguy hiểm nhất trong Web3.
Báo cáo trích dẫn dữ liệu cho thấy rằng một phần lớn tổn thất của ngành bắt nguồn từ lỗi của người dùng. Khoảng 44% các vụ trộm tiền điện tử trong năm 2024 là do quản lý không đúng cách các khóa riêng tư. Một nghiên cứu khác chỉ ra rằng lỗi con người chiếm khoảng 60% các vi phạm an ninh.
Với 820 triệu ví hoạt động vào năm 2025, bối cảnh mối đe dọa đang mở rộng nhanh chóng, và ai cũng có nguy cơ bị tấn công. Katz cho biết với BeInCrypto rằng những kẻ xấu đang nhắm mục tiêu cả người mới lẫn người có kinh nghiệm, nhưng với những lý do rất khác nhau.
“Người dùng mới thu hút vì họ chưa hiểu biết điều gì là hành vi bình thường trên Web3,” ông nói.
Đáng chú ý, giám đốc điều hành lưu ý rằng những người dùng lâu năm ngày càng trở thành mục tiêu có giá trị cao hơn so với người mới. Theo ông,
“Người dùng kỳ cựu tương tác với nhiều dApps hơn, ký nhiều giao dịch hơn và chuyển một lượng tiền lớn hơn. Điều đó có nghĩa là một khoảnh khắc sơ suất có thể gây ra thiệt hại lớn hơn rất nhiều. Vì vậy, nhóm dễ rủi ro nhất hiện nay là bất cứ ai tin rằng họ không dễ rủi ro.”
Cohen đã thêm rằng một trong những hiểu lầm lớn nhất trong Web3 là niềm tin rằng thất bại trong bảo mật xuất phát từ việc người dùng không hiểu công nghệ. Phân tích của ông chỉ ra ngược lại. Mọi người bị hack bởi vì hệ thống đặt gánh nặng không thực tế lên người dùng.
“Người dùng nghĩ rằng, ‘Tôi quá thông minh để bị hack, tôi biết cách ví hoạt động – Tôi an toàn.’ Nhưng bối cảnh mối đe dọa thay đổi nhanh hơn người dùng. Các hacker không cố gắng vượt qua ví của bạn, mà là vượt qua bạn. Và họ làm rất tốt điều đó. Điều mà mọi người hiểu sai là Web3 đặt một gánh nặng trí tuệ khổng lồ lên cá nhân. Người dùng không nên phải giải mã các tín hiệu kỹ thuật để an toàn – bảo mật phải hoạt động tự động cho họ,” ông đề cập.
Tại sao ngay cả người dùng Web3 thông minh vẫn bị mất tiền trong năm 2025
Những rủi ro từ con người này vẫn tồn tại mặc dù chi tiêu cho bảo mật đạt mức kỷ lục vào năm 2025. Báo cáo của Kerberus cho biết các dịch vụ liên quan đến tiền điện tử và nhà đầu tư đã mất hơn 3.1 tỷ USD do các vụ hack và lừa đảo trong nửa đầu năm. Đây đã là con số lớn hơn tổng số của cả năm 2024.
Con số này bao gồm vụ vi phạm lịch sử của Bybit. Loại trừ điều này, các cuộc tấn công nhắm vào con người như lừa đảo phishing và giả mạo xã hội vẫn chiếm 600 triệu USD. Đây là 37% trong tổng số 1.64 tỷ USD còn lại trong các tổn thất.
Báo cáo lưu ý rằng các cuộc tấn công này tăng theo sự gia tăng của người dùng và hoàn toàn vượt qua hệ thống bảo mật kỹ thuật. Điều này khiến các mô hình bảo mật truyền thống khó ngăn chặn chúng.
Trong khi các công ty đang đầu tư mạnh mẽ vào kiểm toán, theo dõi và kiểm tra mã, những kẻ tấn công ngày càng khai thác người dùng trực tiếp ở cấp độ giao dịch. Nhưng điều gì làm cho con người dễ bị tổn thương trước các cuộc tấn công này?
“Con người dễ bị tổn thương vì mỗi vụ lừa đảo đều được thiết kế để khai thác những con đường tắt tâm lý tự nhiên — sự khẩn cấp, quyền lực, sự quen thuộc, nỗi sợ bị hụt mất, hay sự thoải mái với thói quen. Đó không phải là những điểm yếu, chúng là những bản năng giúp chúng ta hoạt động trong cuộc sống hàng ngày. Công nghệ không thể thay đổi tâm lý con người, nhưng nó có thể bắt lấy khoảnh khắc khi tâm lý bị vũ khí hóa,” Cohen chi tiết.
Ông nhấn mạnh rằng hình thức bảo vệ mạnh mẽ nhất không phải là dựa vào người dùng để tránh sai lầm thông qua giáo dục, mà là ngăn chặn các hành động có hại kịp thời trước khi thiệt hại xảy ra.
“Đó là lý do tại sao phát hiện thời gian thực quan trọng như vậy. Nếu bạn có thể cảnh báo người dùng tại đúng khoảnh khắc lòng tin của họ bị lợi dụng, bạn có thể ngăn chặn hầu hết các tổn thất trước khi chúng xảy ra,” Cohen bổ sung.
Giám đốc điều hành nhấn mạnh rằng mong đợi một người dùng thông thường phân biệt được giữa dApp độc hại, airdrop hay trang mint là không thực tế. Các nền tảng giả mạo hiện đại thường trông giống hệt với các nền tảng hợp pháp. Điều này làm cho chúng gần như không thể phân biệt.
Ông thêm rằng người dùng có thể bấm vào các liên kết phishing nhiều lần. Họ không làm vậy vì bất cẩn, mà vì các cuộc tấn công được thiết kế để lừa dối.
Ngay cả những cảnh báo thời gian thực đôi khi cũng có thể xuất hiện như là các cảnh báo sai, làm nổi bật sự tinh vi của các vụ lừa đảo này.
“Người dùng không nên bị buộc phải kiểm tra chi tiết. Gánh nặng phải chuyển sang các công cụ phân tích ý định và hành vi theo thời gian thực,” Cohen gợi ý.
Báo cáo cũng cho biết rằng những cuộc tấn công này khai thác các khoảnh khắc khi người dùng không thể đánh giá rủi ro. Nó có thể xảy ra khi ai đó kiểm tra ví của họ trong khi bị phân tâm tại công việc, phản ứng với một tin nhắn khẩn cấp nói rằng tài khoản của họ sẽ bị đóng băng, hoặc phê duyệt một giao dịch vào cuối một ngày dài khi họ mệt mỏi.
Theo các phát hiện, phản ứng của ngành chủ yếu là thêm nhiều cảnh báo và bước xác minh hơn. Nhưng cách tiếp cận này thường phản tác dụng vì “mệt mỏi bảo mật”. Khi người dùng trở nên quen với việc nhận các cảnh báo liên tục — nhiều trong số đó là cảnh báo sai làm chậm họ lại — khả năng đưa ra quyết định cẩn thận của họ bị giảm sút dưới áp lực liên tục.
3 hành động người dùng có thể thực hiện để an toàn hơn trong Web3
Để giảm thiểu tổn thất trong thực tế, Katz đã tiết lộ ba thực hành mà người dùng có thể áp dụng. Ông khuyên người dùng nên:
- Dừng lại trước khi ký: Phần lớn các thỏa hiệp xảy ra trong vòng chưa đầy mười giây. Dành ra một chút thời gian để đọc kỹ yêu cầu hoặc xác nhận rằng yêu cầu có phù hợp với hành động dự định không có thể ngăn chặn phần lớn các cuộc tấn công thành công.
- Tách biệt tài sản có giá trị cao khỏi hoạt động hàng ngày: Sử dụng nhiều ví khác nhau vẫn là một trong những cách bảo vệ hiệu quả nhất. Anh ấy gợi ý rằng người dùng nên giữ các khoản đầu tư dài hạn trong ví lạnh hoặc ví ít sử dụng và sử dụng một ví riêng cho việc khám phá, mint token và dApps. Việc phân chia này giúp hạn chế tổn thất có thể xảy ra.
- Dựa vào bảo vệ giao dịch theo thời gian thực: Vì nhiều mối đe dọa liên quan đến kỹ thuật xã hội hơn là khai thác kỹ thuật, người dùng có lợi từ các công cụ giải thích hành động on-chain trước khi chúng được hoàn tất. Lớp phòng thủ đơn này chặn đứng nhiều trò lừa đảo phức tạp hơn.
Ý định, anh ấy nhấn mạnh, không phải là biến người dùng thành chuyên gia an ninh, mà là xây dựng rào chắn ngăn chặn sai lầm trở thành tổn thất tài chính.
Bài viết đề xuất
