Các cuộc tấn công nhằm vào con người hiện là mối đe dọa nguy hiểm nhất của Web3, báo cáo cho biết

Nguồn: CryptoNewsNet Tiêu đề gốc: Các cuộc tấn công nhắm vào con người hiện là mối đe dọa nguy hiểm nhất của Web3, báo cáo cho biết Liên kết gốc: Một báo cáo gần đây của Kerberus, một công ty an ninh Web3, cho thấy rằng hành vi của con người hiện nay là rủi ro chính trong Web3. Giám đốc điều hành của công ty, Alex Katz, và Giám đốc công nghệ, Danor Cohen, đã chia sẻ những hiểu biết về lý do tại sao người dùng vẫn tiếp tục trở thành nạn nhân của các cuộc tấn công và những gì họ có thể làm để bảo vệ bản thân tốt hơn.

Lỗi Con Người Gây Ra Thiệt Hại Lớn Trong Web3

Trong báo cáo mới nhất có tiêu đề “Yếu Tố Con Người – Bảo Vệ Thời Gian Thực Là Lớp Bảo Mật Web3 Không Được Đề Cập (2025),” Kerberus đã tiết lộ rằng các cuộc tấn công tập trung vào con người là vector nguy hiểm nhất về cấu trúc trong Web3.

Báo cáo trích dẫn dữ liệu cho thấy một phần lớn tổn thất trong ngành xuất phát từ những sai lầm của người dùng. Khoảng 44% các vụ trộm tiền điện tử trong năm 2024 là do quản lý sai các khóa riêng. Một nghiên cứu khác chỉ ra rằng lỗi của con người liên quan đến khoảng 60% các vụ vi phạm bảo mật.

Với 820 triệu ví hoạt động vào năm 2025, bối cảnh mối đe dọa đang mở rộng nhanh chóng, và mọi người đều đang gặp rủi ro. Katz lưu ý rằng các tác nhân xấu đang nhắm đến cả người mới và người dùng có kinh nghiệm, nhưng với những lý do rất khác nhau.

“Người dùng mới rất hấp dẫn vì họ chưa hiểu được hành vi 'bình thường' của Web3 trông như thế nào,” anh ấy nói.

Thật thú vị, những người dùng lâu năm đang trở thành mục tiêu có giá trị cao hơn so với những người mới. Theo anh ấy:

“Người dùng kỳ cựu tương tác với nhiều dApps hơn, ký nhiều giao dịch hơn và chuyển nhiều khoản tiền hơn. Điều đó có nghĩa là một khoảnh khắc tự mãn có thể gây ra nhiều thiệt hại hơn. Vì vậy, nhóm có nguy cơ cao nhất hôm nay là bất kỳ ai cho rằng họ không gặp rủi ro.”

Cohen bổ sung rằng một trong những hiểu lầm lớn nhất trong Web3 là niềm tin rằng các sự cố bảo mật xuất phát từ việc người dùng không hiểu công nghệ. Phân tích của ông chỉ ra chiều hướng ngược lại. Mọi người bị hack vì hệ thống đặt ra một gánh nặng không thực tế lên họ.

“Người dùng nghĩ, 'Tôi quá thông minh để bị lừa, tôi biết cách hoạt động của ví – tôi an toàn.' Nhưng bối cảnh mối đe dọa thay đổi nhanh hơn người dùng. Kẻ tấn công không cố gắng để vượt qua ví của bạn; họ đang cố gắng vượt qua bạn. Và họ rất giỏi trong việc đó. Điều mà mọi người thường hiểu sai là Web3 đặt một gánh nặng nhận thức khổng lồ lên cá nhân. Người dùng không nên phải giải mã các tín hiệu kỹ thuật để giữ an toàn – bảo mật phải hoạt động tự động cho họ.”

Tại Sao Người Dùng Smart Web3 Luôn Bị Rút Hết Tài Khoản

Những rủi ro do con người gây ra vẫn tồn tại mặc dù chi tiêu cho an ninh đạt kỷ lục vào năm 2025. Báo cáo của Kerberus cho biết các dịch vụ liên quan đến tiền điện tử và các nhà đầu tư đã mất hơn 3,1 tỷ đô la do các cuộc tấn công và lừa đảo trong nửa đầu năm. Con số này đã vượt quá tổng số của cả năm 2024.

Con số đó bao gồm một vụ vi phạm lịch sử tại một sàn giao dịch lớn. Ngoại trừ điều này, các cuộc tấn công nhằm vào con người như lừa đảo qua email và kỹ thuật xã hội vẫn chiếm $600 triệu, tương ứng với 37% trong số 1,64 tỷ đô la còn lại trong các khoản thua lỗ.

Báo cáo chỉ ra rằng các cuộc tấn công này gia tăng khi việc áp dụng ngày càng nhiều và hoàn toàn vượt qua các biện pháp phòng thủ kỹ thuật. Điều này khiến cho các mô hình an ninh truyền thống khó có thể ngăn chặn chúng.

Trong khi các công ty đầu tư mạnh vào việc kiểm toán, giám sát và đánh giá mã, những kẻ tấn công ngày càng khai thác trực tiếp người dùng ở cấp độ giao dịch. Nhưng điều gì khiến con người dễ bị tổn thương trước những cuộc tấn công này?

“Con người dễ bị tổn thương vì mọi trò lừa đảo đều được thiết kế để khai thác những lối tắt tâm lý tự nhiên — sự khẩn cấp, quyền lực, sự quen thuộc, nỗi sợ bỏ lỡ, hoặc sự thoải mái với thói quen. Đây không phải là những khiếm khuyết; chúng là những bản năng cho phép chúng ta hoạt động trong cuộc sống hàng ngày. Công nghệ một mình không thể thay đổi tâm lý con người, nhưng nó có thể nắm bắt khoảnh khắc khi tâm lý đang bị vũ khí hóa,” Cohen đã nêu rõ.

Ông nhấn mạnh rằng hình thức bảo vệ mạnh mẽ nhất không phải là dựa vào người dùng để tránh sai lầm chỉ thông qua giáo dục, mà là ngăn chặn các hành động có hại ngay lập tức trước khi thiệt hại xảy ra.

“Đó là lý do tại sao việc phát hiện thời gian thực lại quan trọng đến vậy. Nếu bạn có thể cảnh báo người dùng ngay tại thời điểm niềm tin của họ đang bị thao túng, bạn có thể ngăn chặn hầu hết các khoản thua lỗ trước khi chúng xảy ra.”

Giám đốc lưu ý rằng thật không thực tế khi mong đợi một người dùng bình thường có thể phân biệt được giữa một dApp độc hại, một airdrop hoặc một trang mint. Các nền tảng lừa đảo hiện đại thường mô phỏng rất gần với những nền tảng hợp pháp, khiến chúng gần như không thể phân biệt.

Người dùng có thể nhấp vào các liên kết lừa đảo nhiều lần không phải vì sự bất cẩn, mà vì các cuộc tấn công được thiết kế một cách có chủ ý để đánh lừa. Ngay cả các cảnh báo theo thời gian thực cũng đôi khi có thể xuất hiện như những tín hiệu dương giả, làm nổi bật tính chất tinh vi của những trò lừa đảo này.

“Người dùng không nên được kỳ vọng thực hiện kiểm tra pháp y. Gánh nặng phải chuyển sang các công cụ phân tích ý định và hành vi theo thời gian thực,” Cohen đã gợi ý.

Báo cáo cũng nêu rằng những cuộc tấn công này khai thác những thời điểm khi người dùng ít có khả năng đánh giá mối đe dọa nhất. Điều này có thể xảy ra khi ai đó kiểm tra ví của họ trong khi bị phân tâm tại nơi làm việc, phản ứng với một tin nhắn khẩn cấp cho rằng tài khoản của họ sẽ bị đóng băng, hoặc phê duyệt một giao dịch vào cuối một ngày dài khi họ đã mệt mỏi.

Theo các phát hiện, phản ứng của ngành công nghiệp chủ yếu là thêm nhiều cảnh báo và bước xác minh hơn. Nhưng cách tiếp cận này thường phản tác dụng do “mệt mỏi về an ninh.” Khi người dùng dần quen với những cảnh báo liên tục—nhiều trong số đó là cảnh báo sai gây cản trở họ—khả năng đưa ra quyết định cẩn thận của họ giảm sút dưới áp lực nhận thức liên tục.

3 Hành Động Người Dùng Có Thể Thực Hiện Để An Toàn Hơn

Để giảm thiểu tổn thất trong thế giới thực, Katz đã công bố ba phương pháp mà người dùng có thể áp dụng:

• Tạm dừng trước khi ký: Hầu hết các thỏa hiệp xảy ra trong vòng chưa đầy mười giây. Dành ra một chút thời gian để đọc thông báo hoặc xác nhận xem yêu cầu có phù hợp với hành động dự định hay không có thể ngăn chặn một phần lớn các cuộc tấn công thành công.
• Tách biệt tài sản có giá trị cao khỏi hoạt động hàng ngày: Sử dụng nhiều ví vẫn là một trong những biện pháp bảo vệ hiệu quả nhất. Người dùng nên giữ các tài sản dài hạn trong ví lạnh hoặc ví ít sử dụng và sử dụng ví riêng cho việc khám phá, đúc và dApps. Việc phân vùng này hạn chế thiệt hại tiềm tàng.
• Dựa vào bảo vệ giao dịch theo thời gian thực: Bởi vì nhiều mối đe dọa liên quan đến kỹ thuật xã hội hơn là khai thác kỹ thuật, người dùng được hưởng lợi từ các công cụ giải thích các hành động on-chain trước khi chúng được hoàn tất. Lớp bảo vệ đơn này chặn nhiều trò lừa đảo tinh vi hơn.

Ông nhấn mạnh rằng ý định không phải là biến người dùng thành các chuyên gia an ninh, mà là xây dựng các rào cản ngăn chặn sai lầm trở thành tổn thất tài chính.