Số Vụ Hack Crypto Giảm, Nhưng Tấn Công Chuỗi Cung Ứng Đang Thay Đổi Bản Đồ Rủi Ro

Số Vụ Hack Crypto Giảm, Nhưng Tấn Công Chuỗi Cung Ứng Đang Thay Đổi Bản Đồ Rủi Ro

Trong vài năm gần đây, thị trường tiền mã hóa đã chứng kiến một xu hướng đáng chú ý: số lượng vụ hack trực tiếp vào các sàn giao dịch hay ví nóng (hot wallets) đang giảm dần. Theo dữ liệu từ Chainalysis và Immunefi, tổng giá trị tài sản bị đánh cắp trong các vụ hack crypto toàn cầu đã giảm hơn 50% trong năm 2023 so với năm 2022 — từ hơn 3,8 tỷ USD xuống còn khoảng 1,7 tỷ USD. Điều này có thể khiến nhiều người lạc quan cho rằng hệ sinh thái crypto đang trở nên an toàn hơn.

Tuy nhiên, đằng sau con số tích cực ấy là một mối đe dọa mới đang trỗi dậy: tấn công chuỗi cung ứng (supply chain attacks). Khác với những vụ hack truyền thống nhắm trực tiếp vào nền tảng lưu trữ tài sản, các cuộc tấn công dạng này khai thác lỗ hổng ở những phần mềm hoặc dịch vụ mà dự án crypto phụ thuộc — như thư viện mã nguồn mở, công cụ phát triển, hoặc thậm chí là hệ thống CI/CD (continuous integration/continuous deployment). Kẻ tấn công không cần xâm nhập trực tiếp vào hệ thống bảo mật của một sàn giao dịch; thay vào đó, chúng tiêm mã độc vào một thành phần nhỏ trong chuỗi phát triển, và khi hàng chục, hàng trăm dự án sử dụng lại thành phần đó, hậu quả lan rộng như hiệu ứng domino.

Một ví dụ điển hình là vụ việc liên quan đến Warp Finance hồi cuối năm 2023. Dự án DeFi này không bị hack do lỗi hợp đồng thông minh, mà vì một gói npm (Node Package Manager) mà nhóm phát triển sử dụng đã bị chiếm quyền kiểm soát bởi tin tặc. Mã độc được chèn vào gói này sau đó tự động rút tiền từ ví multisig của dự án — nơi vốn được coi là “an toàn tuyệt đối”. Tương tự, vào đầu năm 2024, một lỗ hổng trong thư viện phổ biến dành cho Solidity (ngôn ngữ lập trình hợp đồng thông minh trên Ethereum) đã buộc hàng loạt dự án phải khẩn trương cập nhật để tránh rủi ro bị khai thác hàng loạt.

Điều này cho thấy một thực tế mới: an toàn trong crypto không còn chỉ là câu chuyện về private key hay xác thực hai lớp. Nó giờ đây liên quan đến toàn bộ hệ sinh thái phần mềm hỗ trợ — thứ mà nhiều đội ngũ xây dựng dự án, đặc biệt là các startup nhỏ, thường mặc định là “đáng tin cậy” chỉ vì nó được cộng đồng mã nguồn mở sử dụng rộng rãi.

Hơn nữa, xu hướng “composability” (khả năng kết hợp các giao thức với nhau) trong DeFi càng làm gia tăng rủi ro chuỗi cung ứng. Một giao thức A gọi hàm từ giao thức B, vốn lại phụ thuộc vào thư viện C — nếu C bị xâm nhập, cả A và B đều có thể sụp đổ. Trong thế giới tài chính truyền thống, các tổ chức thường có quy trình kiểm toán phần mềm bên thứ ba rất nghiêm ngặt. Nhưng trong crypto, tốc độ ra mắt sản phẩm thường được ưu tiên hơn độ an toàn, và nhiều nhóm phát triển thiếu nguồn lực để kiểm tra từng dòng mã họ “kéo về” từ GitHub.

---

Nhưng liệu mối lo về tấn công chuỗi cung ứng có đang bị phóng đại?

Một góc nhìn thận trọng hơn cho rằng, dù tấn công chuỗi cung ứng là mối đe dọa thật, nhưng mức độ ảnh hưởng hiện tại vẫn còn hạn chế so với các vector tấn công truyền thống. Phần lớn các vụ mất tiền lớn trong lịch sử crypto — như Mt. Gox (2014), Coincheck (2018), hay FTX (2022) — đều bắt nguồn từ quản trị kém, kiểm soát nội bộ lỏng lẻo, hoặc gian lận có chủ đích, chứ không phải do lỗ hổng kỹ thuật trong phần mềm bên thứ ba.

Hơn nữa, cộng đồng mã nguồn mở trong crypto cũng đang phản ứng nhanh chóng. Các nền tảng như OpenZeppelin, Tenderly, hay thậm chí GitHub đều đã triển khai tính năng cảnh báo sớm về các gói phần mềm khả nghi. Nhiều dự án lớn hiện nay áp dụng mô hình “dependency pinning” — tức là cố định phiên bản phần mềm họ sử dụng — để tránh tự động cập nhật lên phiên bản độc hại. Ngoài ra, các quỹ bảo hiểm phi tập trung (DeFi insurance protocols) như Nexus Mutual hay Sherlock cũng bắt đầu đưa rủi ro chuỗi cung ứng vào phạm vi bảo hiểm, giúp giảm thiệt hại tài chính nếu sự cố xảy ra.

Quan trọng hơn, tấn công chuỗi cung ứng đòi hỏi trình độ kỹ thuật cao và thời gian chuẩn bị dài. Không phải nhóm tin tặc nào cũng đủ khả năng để chiếm quyền kiểm soát một thư viện phổ biến mà không bị phát hiện. Trong khi đó, các lỗ hổng do lỗi logic trong hợp đồng thông minh — vốn chiếm hơn 60% các vụ hack DeFi theo báo cáo của CertiK — vẫn là mối đe dọa gần và rõ ràng hơn nhiều.

Do đó, thay vì hoảng loạn trước một “mối đe dọa mới”, người dùng và nhà phát triển nên duy trì tư duy cân bằng: cảnh giác với mọi lớp rủi ro, từ quản trị, vận hành, đến kỹ thuật. An toàn trong crypto không bao giờ là đích đến, mà là một quá trình liên tục thích nghi — đặc biệt khi ranh giới giữa “bên trong” và “bên ngoài” hệ thống ngày càng mờ nhạt.

Cuối cùng, dù số vụ hack có giảm, điều đó không đồng nghĩa với việc thị trường đã an toàn. Nó chỉ cho thấy kẻ xấu đang thay đổi chiến thuật — và chúng ta cũng phải thay đổi cách phòng thủ.