Blockchain và bài toán an toàn: 'Điểm nghẽn' của hệ sinh thái tài sản số

Tại hội thảo "An toàn dữ liệu tài chính trong kỷ nguyên AI" do Tạp chí Đầu tư Tài chính - VietnamFinance phối hợp cùng CTCP Đầu tư Thương mại và Phát triển Công nghệ FSI tổ chức, TS. Đỗ Văn Thuật (Giám đốc Giải pháp và Kiến trúc Blockchain, Công ty 1Matrix) đã đưa ra quan điểm về các vấn đề bảo mật cho hệ sinh thái tài sản số. Theo ông Thuật, tài sản số là một dạng tài sản được quy định trong Bộ luật Dân sự, tồn tại dưới dạng dữ liệu số và được tạo lập, lưu trữ, chuyển giao cũng như xác thực thông qua công nghệ số trên môi trường điện tử.

Khái niệm này bao trùm nhiều lớp tài sản khác nhau, từ tài sản ảo đến tài sản mã hóa. Điểm chung là khả năng sử dụng cho mục đích trao đổi hoặc đầu tư, song các loại tài sản này không bao gồm chứng khoán hay các dạng số hóa của tiền pháp định theo quy định pháp luật hiện hành.

Đáng chú ý, tài sản mã hóa sử dụng các công nghệ mật mã để xác thực trong toàn bộ vòng đời - từ phát hành đến lưu trữ và chuyển giao. Tuy nhiên, chính đặc tính phi tập trung và khó kiểm soát này cũng đặt ra bài toán lớn về an toàn hệ thống.

Rủi ro người dùng: Điểm yếu lớn nhất của hệ sinh thái blockchain

Một trong những điểm đáng lo ngại nhất của thị trường tài sản số hiện nay là rủi ro đến từ chính người dùng. Các hình thức lừa đảo ngày càng tinh vi, chia thành hai nhóm chính: lừa đảo thuần công nghệ và lừa đảo kết hợp yếu tố tâm lý.

Ở nhóm thứ nhất, các mô hình như "rug pull" (dự án huy động vốn rồi biến mất), token giả, hay các chiêu trò airdrop lừa đảo đang phổ biến. Trong khi đó, nhóm thứ hai bao gồm các hình thức Ponzi, phishing hoặc giả mạo bộ phận hỗ trợ nhằm đánh cắp tài sản.

Quy mô thiệt hại cho thấy mức độ nghiêm trọng của vấn đề. Chỉ riêng năm 2024, gần 150.000 khiếu nại liên quan đến crypto đã được ghi nhận, với tổng thiệt hại lên tới 9,3 tỷ USD, tăng 66% so với năm trước.

Trong vòng hai năm, thiệt hại đã tăng hơn 5 lần, trong khi số vụ việc tăng gần gấp ba. Đáng chú ý, xu hướng lừa đảo đang dịch chuyển từ các vụ quy mô lớn sang việc nhắm vào nhà đầu tư nhỏ lẻ - nhóm dễ bị tổn thương nhất trong hệ sinh thái.

Ở tầng ứng dụng, hợp đồng thông minh (smart contract) được xem là xương sống của hệ sinh thái blockchain. Tuy nhiên, đây cũng là nơi tập trung nhiều rủi ro kỹ thuật nhất.

Các lỗ hổng phổ biến bao gồm tấn công tái nhập (reentrancy), lỗi logic nghiệp vụ, sai sót trong phân quyền, thao túng dữ liệu oracle và rủi ro từ cơ chế nâng cấp hợp đồng. Ngoài ra, những lỗi như kiểm tra dữ liệu đầu vào không đầy đủ hay gọi hàm bên ngoài không kiểm soát cũng có thể bị khai thác.

Theo danh sách OWASP Smart Contract Top 10 (2026), các nhóm rủi ro này tiếp tục là nguyên nhân chính gây ra các vụ tấn công quy mô lớn. Điều này cho thấy tuyên bố "code is law" chỉ đúng khi mã nguồn không có lỗi và mô hình rủi ro được hiểu đầy đủ.

Thực tế đã chứng minh mức độ thiệt hại có thể rất lớn. Nhiều vụ việc trong hệ sinh thái DeFi và blockchain đã gây thất thoát hàng trăm triệu USD. Các ví dụ tiêu biểu bao gồm vụ The DAO (292 triệu USD), Euler Finance (197 triệu USD), Mango Markets (116 triệu USD) hay các vụ tấn công cầu nối như Ronin (625 triệu USD) và Wormhole (320 triệu USD). Ở cấp độ sàn giao dịch, các sự cố như Mt. Gox (400 triệu USD), Coincheck (534 triệu USD) hay Bybit (1,5 tỷ USD) cho thấy rủi ro không chỉ nằm ở công nghệ mà còn ở quản trị và vận hành.

Rủi ro vận hành: Khi điểm yếu nằm ngoài blockchain

Một điểm đáng chú ý là nhiều tổn thất lớn không đến từ bản thân blockchain mà từ các yếu tố ngoài chuỗi (off-chain), như quản trị khóa, quy trình vận hành hoặc hạ tầng kỹ thuật.

Theo dữ liệu năm 2025, có tới 45 vụ tấn công liên quan đến hạ tầng và vận hành, gây thiệt hại khoảng 2,2 tỷ USD, tương đương trung bình 48,5 triệu USD mỗi vụ. Các điểm yếu thường nằm ở ví, giao diện người dùng (frontend) hoặc quy trình phê duyệt - những nơi dễ bị khai thác nhất.

Điều này dẫn đến một kết luận quan trọng: blockchain không thể tách rời an ninh mạng truyền thống. Hệ thống cần được bảo vệ theo mô hình nhiều lớp, bao gồm xác thực mạnh, phân tách vai trò, kiểm soát thay đổi và giám sát liên tục.

Trong quản lý tài sản số, lưu trữ là yếu tố then chốt. Ví nóng mang lại sự tiện lợi nhưng đi kèm rủi ro cao, trong khi ví lạnh phù hợp hơn cho lưu trữ dài hạn. Các mô hình như multisig hoặc MPC giúp phân tán quyền kiểm soát, giảm thiểu nguy cơ bị tấn công tập trung.

Các nguyên tắc cơ bản bao gồm tách biệt ví giao dịch và ví lưu trữ, không lưu trữ seed phrase trên môi trường trực tuyến, áp dụng hạn mức giao dịch và thiết lập cơ chế phê duyệt nhiều lớp.

Bên cạnh rủi ro kỹ thuật, hệ sinh thái tài sản số còn đối mặt với áp lực ngày càng lớn từ khung pháp lý, đặc biệt trong các vấn đề KYC/AML và giám sát dòng tiền.

Trường hợp của Binance là ví dụ điển hình. Sàn giao dịch này đã phải chấp nhận khoản phạt hơn 4,3 tỷ USD do vi phạm quy định chống rửa tiền, trong khi nhà sáng lập Changpeng Zhao phải từ chức CEO và chịu án tù. Sự kiện này cho thấy các nền tảng blockchain, dù hoạt động trong môi trường phi tập trung, vẫn không thể đứng ngoài hệ thống pháp lý toàn cầu.

Sự phát triển của tài sản số và blockchain đang mở ra nhiều cơ hội mới cho hệ thống tài chính. Tuy nhiên, những rủi ro về bảo mật, vận hành và tuân thủ đang trở thành "điểm nghẽn" lớn nhất. Để hệ sinh thái này có thể phát triển bền vững, các bên tham gia - từ nhà phát triển, doanh nghiệp đến cơ quan quản lý - cần phối hợp xây dựng một nền tảng an toàn hơn, với cách tiếp cận toàn diện và đa lớp.