Công ty bảo mật tiền điện tử CertiK ước tính rằng các nạn nhân đã mất khoảng 101 triệu đô la do các cuộc tấn công 'wrench attack' liên quan đến tiền điện tử trong bốn tháng đầu năm 2026. Nếu xu hướng này tiếp tục với tốc độ hiện tại, tổng thiệt hại cho cả năm 2026 có thể lên tới hàng trăm triệu đô la. 

Các cuộc tấn công 'wrench attack', một thuật ngữ được sử dụng trong lĩnh vực an ninh mạng để chỉ các vụ tấn công vật lý và tống tiền có thể vượt qua cả những hệ thống bảo mật phần mềm vững chắc nhất, giờ đây đã trở thành một "vectơ đe dọa được thiết lập rõ ràng đối với những người nắm giữ tiền điện tử," công ty này viết.

Các chuyên gia cho biết năm 2025 là năm hoạt động mạnh nhất đối với các cuộc tấn công 'wrench attack' liên quan đến tiền điện tử được ghi nhận, với khoảng 70 vụ tấn công vật lý được báo cáo. Tuy nhiên, do tính chất của các cuộc tấn công này, nhiều vụ có thể không được báo cáo. 

Tính đến thời điểm hiện tại trong năm 2026, CertiK cho biết đã có 34 sự cố được xác minh trên toàn cầu, tăng 41% so với cùng kỳ năm 2025. Nếu ngoại suy, con số này tương đương với ước tính 130 sự cố và thiệt hại hàng trăm triệu đô la được dự kiến cho cả năm. 

Đáng chú ý, 28 trong số 34 vụ, tương đương 82%, các cuộc tấn công này đã được ghi nhận ở châu Âu. Trong khi đó, các mối đe dọa được báo cáo ở Hoa Kỳ trong quý đầu tiên đã giảm xuống còn ba vụ, từ chín vụ vào năm 2025, và ở châu Á giảm xuống còn hai vụ từ 25 vụ, CertiK cho biết. 

Pháp một lần nữa trở thành tâm điểm, với 24 vụ tấn công đã được ghi nhận tính đến thời điểm hiện tại trong năm 2025. Con số này so với 20 vụ trong suốt năm ngoái, vốn đã "chiếm ưu thế đáng kể trong bảng phân tích theo từng quốc gia."

Năm ngoái, Bộ Nội vụ Pháp đã gặp gỡ các nhà lãnh đạo ngành tiền điện tử trong nước để thảo luận về các lo ngại an toàn của họ sau vụ bắt cóc và tra tấn gây chú ý của đồng sáng lập Ledger David Balland và vợ ông.

CertiK chỉ ra một số yếu tố ảnh hưởng đến tỷ lệ các cuộc tấn công 'wrench attack' ở Pháp, bao gồm sự hiện diện của một số công ty hàng đầu trong ngành như Ledger và Binance, số lượng lớn các vụ rò rỉ dữ liệu nhắm vào quốc gia này, và "văn hóa khoe khoang và tự doxxing vẫn còn ăn sâu trong cộng đồng."

Cũng có một sự hiểu biết mới nổi về loại người thực hiện những tội ác này và phương thức hoạt động của chúng. CertiK lưu ý rằng các nhóm nhỏ từ 3 đến 5 người, thường là những người trẻ tuổi, thường được tuyển dụng qua Telegram hoặc Snapchat để hoạt động như một đội ngũ thực địa. Trong khi đó, những kẻ chủ mưu thường ở nước ngoài tại các địa điểm như Maroc, Dubai và Đông Âu. 

CertiK cho biết cũng đã có một sự chuyển dịch gần đây sang mô hình "nhắm mục tiêu dựa trên dữ liệu", giảm thiểu nhu cầu giám sát vật lý bằng cách mua thông tin như tên đầy đủ, địa chỉ nhà và hồ sơ tài chính của nạn nhân từ các nhà môi giới trực tuyến. 

"Chúng mua danh sách dữ liệu, chỉ đạo điều phối viên và nhận tiền trước khi rửa tiền," CertiK lưu ý.

Những kẻ tấn công cũng ngày càng nhắm mục tiêu vào "người trung gian" (proxies), với hơn một nửa số vụ việc trong năm nay liên quan đến "một thành viên trong gia đình của mục tiêu chính (vợ/chồng, con cái, cha mẹ già), hoặc là nạn nhân trực tiếp hoặc là một đòn bẩy gây áp lực."

Trong khi những kẻ tấn công đang chuyển sang sử dụng các công cụ trực tuyến để xây dựng hồ sơ nạn nhân, phần lớn hành vi trên thực địa vẫn không thay đổi. 

"Các kỹ thuật tiếp cận về cơ bản vẫn giống như năm 2025, với sự tồn tại mạnh mẽ của Vector Chuông cửa (nhân viên giao hàng, cảnh sát giả, v.v.) và Mồi nhử (các cuộc họp kinh doanh giả, giao dịch OTC giả, v.v.)," CertiK viết.