Giao thức DeFi Conic Finance đã báo cáo bị đánh cắp 1.700 ETH, trị giá hơn 3,2 triệu đô la. Công ty bảo mật blockchain BlockSec đã theo dõi vụ việc, nói rằng một hacker không xác định khai thác lỗ hổng reentrancy vào sáng sớm hôm nay.

Conic đã nhanh chóng cảnh báo cơ sở người dùng thông qua Twitter, xác nhận vụ tấn công liên quan đến ETH Omnipool, đã ra mắt vào ngày 10 tháng 7 và chỉ ảnh hưởng đến các pool ETH.

Conic Finance, được biết đến với việc phân bổ tiền thông qua sàn giao dịch phi tập trung Curve bằng cách sử dụng các pool thanh khoản, đã bị tấn công theo hai hướng liên quan đến lỗ hổng và thao túng của một oracle giá.

Trong trường hợp này, kẻ tấn công đã vay một khoản vay nhanh trị giá 20.000 ETH đã stake, chuyển hướng khoản tiền này tới oracle giá của Conic, tạo điều kiện thuận lợi cho quá trình tấn công khai thác. Lỗ hổng bảo mật được sử dụng cùng với thao túng oracle giá của Conic, dữ liệu này được lấy từ hợp đồng thông minh chỉ đọc của bên thứ ba.

Trong một tweet, Conic đã cập nhật:

“Chúng tôi đang tiếp tục điều tra nguyên nhân cốt lõi của vụ tấn công khai thác và đang tham khảo ý kiến ​​của các bên liên quan. Chúng tôi đã vô hiệu hóa tiền gửi ETH Omnipool trên giao diện người dùng Conic”.

Annie

Theo Cryptobriefing

Tội phạm liên quan đến tiền điện tử đã giảm đáng kể, theo dữ liệu từ Chainalysis.

Một báo cáo mới từ công ty phân tích lưu ý rằng dòng tiền điện tử hàng ngày vào các dịch vụ bất hợp pháp đã giảm so với các năm trước. Từ đầu năm đến tháng 6, tiền điện tử chảy vào các thực thể bất hợp pháp, bao gồm các cá nhân hoặc nhóm bị xử phạt, đã giảm 65% so với cùng kỳ năm ngoái.

Nguồn: Chainalysis

Báo cáo lưu ý rằng sự sụt giảm trong các giao dịch tiền điện tử bất hợp pháp đã vượt xa sự sụt giảm rộng hơn trong các giao dịch tiền điện tử gắn liền với sự sụt giảm giá token.

“Khối lượng giao dịch giảm trên toàn diện, nhưng sự sụt giảm ít nghiêm trọng hơn nhiều đối với các dịch vụ hợp pháp, vốn chỉ chứng kiến ​​dòng tiền vào giảm 28%”. 

“Nói cách khác, khối lượng giao dịch tiền điện tử bất hợp pháp đang giảm nhiều hơn so với khối lượng giao dịch tiền điện tử hợp pháp.”

Tuy nhiên, các cuộc tấn công ransomware là một hình thức tội phạm dựa trên tiền điện tử đang ngày càng phổ biến. Chainalysis phát hiện ra rằng những kẻ tấn công ransomware đã bòn rút khoảng 449,1 triệu đô la kể từ đầu năm đến tháng 6. 

“Nếu tốc độ này tiếp tục, những kẻ tấn công ransomware sẽ tống tiền 898,6 triệu đô la từ các nạn nhân vào năm 2023, chỉ đứng sau 939,9 triệu đô la của năm 2021”. 

Annie

Theo The Block

Luật sư Quận phía Nam New York (SDNY) cho biết trong một thông cáo báo chí ngày 11 tháng 7 rằng họ đang buộc tội Shakeeb Ahmed, một kỹ sư bảo mật cấp cao tại một công ty không xác định, vì tội rửa tiền liên quan đến việc tấn công khai thác một giao thức dự trên Solana vào tháng 7 năm 2022. Điều này đánh dấu lần đầu tiên chính phủ Hoa Kỳ đưa ra cáo buộc liên quan đến một cuộc tấn công hợp đồng thông minh vào một sàn giao dịch phi tập trung.

Ahmed bị cáo buộc đã khai thác các hợp đồng thông minh của một sàn giao dịch dựa trên Solana để thao túng dữ liệu giá của nền tảng và tạo ra 9 triệu đô la phí tăng cao. Ahmed được cho là đã sử dụng flash loan trong cuộc tấn công kết hợp với các kỹ năng của bản thân trong các hợp đồng thông minh kỹ thuật đảo ngược cũng như kiểm toán blockchain.

Sau khi rút số tiền bị đánh cắp dưới dạng tiền điện tử, Ahmed đã cố gắng thương lượng với sàn giao dịch nhằm trả lại tất cả trừ 1,5 triệu đô la số tiền bị đánh cắp miễn là sàn giao dịch không báo cáo vụ việc cho cơ quan thực thi pháp luật.

Các quan chức lưu ý rằng điều này đánh dấu vụ án hình sự đầu tiên liên quan đến một cuộc tấn công vào các hợp đồng thông minh của một sàn giao dịch phi tập trung.

Mặc dù SDNY không xác định được sàn giao dịch được nhắm mục tiêu, nhưng ngày, số tiền bị đánh cắp và đề cập đến Solana rất khớp với cuộc tấn công năm 2022 nhằm vào Crema Finance.

Bị cáo không thể che đậy dấu vết 

Các quan chức nói rằng Ahmed đã sử dụng nhiều phương pháp khác nhau để rửa các khoản phí bị đánh cắp và che giấu các giao dịch của mình. Anh ta được cho là đã thực hiện swap token, bắc cầu giao dịch giữa Solana và Ethereum, chuyển đổi tiền thành XMR và thực hiện giao dịch trên các sàn giao dịch tiền điện tử ở nước ngoài.

Luật sư Hoa Kỳ Damian Williams nói rằng Ahmed không thể che giấu hoạt động của mình hay qua mắt các cơ quan thực thi pháp luật, đồng thời các nhà chức trách có thể theo dõi chuyển động của tiền.

Ahmed hiện phải đối mặt với mức án tối đa có thể là 20 năm tù cho mỗi tội danh lừa đảo và rửa tiền. Như với tất cả các vụ án hình sự, Ahmed được coi là vô tội cho đến khi bị tòa án chứng minh là có tội.

Itadori

Theo Cryptoslate

Tối ngày 10/07, Arkham công bố thông tin sẽ airdrop token ARKM cho người ủng hộ dự án từ sớm.

Đối tượng được nhận airdrop là những người dùng Arkham đã giới thiệu người dùng mới tham gia sử dụng nền tảng trước hạn chót snapshot là ngày 8/7. Người dùng đủ điều kiện có thể truy cập website Arkham và nhập địa chỉ để kiểm tra số lượng điểm mời đã thu thập được.

Đợt airdrop sẽ diễn ra vào ngày 18/7 dựa trên số lượng điểm mời, trùng với thời điểm kết thúc sự kiện mở bán ARKM trên Binance Launchpad.

Arkham Intelligence cũng cảnh báo người dùng chỉ nên theo dõi những kênh truyền thông chính thức của dự án để tránh nguy cơ bị lừa đảo.

Tranh cãi về bảo mật email

Arkham đang vướng vào tranh cãi về bảo mật email người dùng.

Theo thông tin gây chú ý nhất ngày 10/7, nền tảng thống kê dữ liệu on-chain này thông báo sẽ phát hành token riêng và mở bán trên Binance Launchpad.

Hơn nữa, dự án sẽ airdrop token cho những người đã ủng hộ từ những ngày đầu thông qua hoạt động giới thiệu người dùng mới (refferal).

Token mới có tên ARKM sẽ có vai trò quản trị cho Arkham, cũng như trở thành tiền tệ và phương tiện trả thưởng cho Arkham Intel Exchange – một nền tảng cho phép người dùng đặt ra các yêu cầu mua bán thông tin on-chain.

Arkham chia sẻ lý do xây dựng thị trường mới trên là vì nhận thấy nhu cầu thu thập thông tin từ blockchain ngày càng lớn, cũng như việc ngày càng có nhiều người đạt đến trình độ sử dụng công cụ on-chain cao, thể hiện qua việc nền tảng Arkham Intelligence đến nay đã có hơn 200.000 người dùng toàn cầu.

Arkham tuyên bố muốn “phi ẩn danh hóa” ngành crypto, mở ra một tương lai tự quản lý cho thị trường này.

Ngay lập tức, đã có nhiều ý kiến chỉ trích hướng tiếp cận của Arkham, cho rằng việc tài chính hóa thông tin on-chain của người khác sẽ xâm phạm quyền riêng tư, trong khi dự án vẫn chưa chứng minh là có thể bảo vệ an toàn dữ liệu được thu thập.

Đến rạng sáng ngày 11/7, làn sóng phản đối Arkham càng dâng cao khi có người phát hiện dự án đã để lộ email của người gửi liên kết giới thiệu trên chính đường link điều hướng đến dự án.

Theo đó, liên kết này chỉ là một dạng mã hóa đơn giản, có tên Base64, cho email của người gửi lời mời gốc.

Người phát hiện ra thông tin trên là tài khoản Twitter m4gicpotato:

“Là một người ủng hộ quyền riêng tư một cách nghiêm túc, tôi cho rằng công cụ này xâm phạm quyền riêng tư của người sử dụng. Tôi cảm thấy rất bất ngờ khi Binance lại chọn mở bán token ARKM ngay sau khi ra quyết định hủy niêm yết nhiều đồng coin ẩn danh ở các nước EU.”

Một người dùng Twitter khác còn chỉ ra Arkham có thu thập thông tin người dùng, địa điểm truy cập, địa chỉ ví và hoạt động giao dịch – những thứ có thể đe dọa đến quyền riêng tư của người sử dụng.

Phản hồi về việc không giữ kín email người sử dụng trong liên kết giới thiệu, CEO Miguel Morel của Arkham cho biết việc sử dụng mã hóa Base64 là để có thể dễ dàng theo dõi những người sử dụng đời đầu để airdrop cho họ.

Ngoài ra, người được giới thiệu đến Arkham cũng sẽ biết được email của người mời họ nhằm đề phòng nguy cơ lừa đảo.

Morel thừa nhận phải thay đổi cơ chế trên khi số lượng người dùng Arkham tăng vọt, và từ giờ sẽ mã hóa kỹ càng email người gửi giới thiệu để ngăn nó bị truy ngược lại. 

Annie

Tạp chí Bitcoin

Mới đây xuất hiện báo cáo rằng giao thức Defi Arcadia Finance trở thành nạn nhân của một vụ tấn công khai thác. Một công ty bảo mật blockchain hàng đầu đã phát hiện các giao dịch giả mạo trên mạng, nhưng Arcadia vẫn chưa xác nhận.

Vào ngày 10 tháng 7, công ty bảo mật blockchain PeckShield đã báo cáo rằng một trong những cộng tác viên cộng đồng của họ đã phát hiện ra một lỗ hổng khai thác trên nền tảng cho vay margin Arcadia Finance.

Một vụ tấn công khai thác DeFi khác

Nền tảng này đã bị tấn công khai thác trên Ethereum và mạng layer 2 Optimism, thiệt hại khoảng 455.000 đô la, theo báo cáo.

Nó nói thêm rằng kẻ tấn công đã chuyển khoảng 179 ETH bằng cách bắc cầu 148 ETH và swap 59.000 USDC sang Tornado Cash.

Nguồn: Twitter

PeckShield nói thêm rằng phân tích của họ về vụ hack cho thấy tổn thất là “do thiếu xác thực đầu vào không đáng tin cậy, được tận dụng để rút tiền từ cả hai kho tiền darcWETH và darcUSDC.”

Ngoài ra, “thiếu bảo vệ reentrancy, cho phép thanh lý ngay lập tức để bỏ qua kiểm tra sức khỏe kho tiền nội bộ,” nó nói thêm.

Không có cảnh báo, cập nhật hoặc thông tin chi tiết nào khác trên tài khoản Twitter của Arcadia Finance.

Ngoài ra, DeFiLlama đã báo cáo sự sụt giảm mạnh trong TVL của Arcadia Finance vài giờ trước. Nó đã giảm 76% từ 605.000 đô la xuống còn 142.948 đô la vào thời điểm viết bài.

Nguồn: DeFiLlama

Annie

Theo Beincrypto

Theo một báo cáo mới từ Immunefi, các hacker tăng cường nỗ lực tấn công dự án tiền điện tử trong năm qua và hầu hết đều nhắm đến DeFi.

Báo cáo được nền tảng tiền thưởng lỗi Immunefi tổng hợp, cho thấy tổng số vụ hack trên các blockchain tăng 63% trong quý 2/2023 so với cùng kỳ năm ngoái. Mặc dù tổng thiệt hại giảm 60% so với năm ngoái, nhưng ImmuneFi cảnh báo tổng số vụ hack tăng 65% và thiệt hại do gian lận tăng vọt 225%.

Immunefi nhận thấy phần lớn các cuộc tấn công được thực hiện nhằm vào nền tảng DeFi, gây thiệt hại 228 triệu đô la trong quý 2 do 79 sự cố khác nhau. Ngược lại, các nền tảng tập trung đã mất 37 triệu đô la trong quý do hai sự cố.

Theo Immunefi, hầu hết các tổn thất bắt nguồn từ vụ tấn công Atomic Wallet ngày 3/6 và vụ exit scam ngày 23/5 của nền tảng Fintoch hiện đã không còn tồn tại.

Atomic Wallet, một ví phi tập trung tự lưu ký (self-custody), đã mất 100 triệu đô la tiền điện tử được cho là do hacker từ Lazarus Group có liên kết với Bắc Triều Tiên. Team Atomic Wallet cho biết vụ hack ảnh hưởng chưa đến 0,1% người dùng, nhưng không xác nhận liệu Lazarus phải chịu trách nhiệm hay không.

Vào tháng 5, FinToch đã biến mất với gần 32 triệu đô la tiền của người dùng sau khi hứa hẹn khoản lãi hàng ngày 1% cho khoản đầu tư của họ. Vụ lừa đảo kéo thảm được thám tử blockchain Twitter ZachXBT xác định.

Immunefi cũng phát hiện ra rằng một số chain bị nhắm đến nhiều hơn những chain khác. Các cuộc tấn công vào BNB Chain và Ethereum chiếm 77% tổng số thiệt hại trong quý vừa qua, tiếp theo là Arbitrum 12%. Các cuộc tấn công vào Arbitrum là đáng chú ý, vì nó không gặp sự cố nào trong cùng kỳ năm ngoái.

Đình Đình

Theo Decrypt

Aptos Network đã bị xâm phạm, Aptos Labs, công ty đứng sau blockchain đã xác nhận vụ việc. Các nhà đầu tư và thành viên cộng đồng được khuyến khích thận trọng và tránh tham gia vào bất kỳ liên kết hoặc nội dung đáng ngờ nào liên quan đến mạng.

Aptos Labs đã xác nhận vụ hack thông qua tài khoản Twitter chính thức @AptosLabs.

Dòng tweet đầu tiên thừa nhận sự xâm phạm và hoạt động gian lận, đặc biệt cảnh báo người dùng về lừa đảo airdrop APT. 

“Chúng tôi đã nhận được thông báo chính thức từ Aptos Foundation rằng @Aptos_Network đã bị xâm phạm. Tweet mới nhất liên quan đến airdrop APT là lừa đảo. Vui lòng KHÔNG tương tác với dòng tweet đó hoặc liên kết được cung cấp.”

Aptos Labs, quan ngại sâu sắc về tình hình, đã đảm bảo với cộng đồng trong dòng tweet thứ hai rằng họ đang liên lạc chặt chẽ với Aptos Foundation và hứa sẽ cung cấp thông tin cập nhật ngay khi có.

Dòng tweet thứ ba nhấn mạnh rằng bất chấp sự xâm phạm, bản thân blockchain Aptos vẫn an toàn và không bị xâm phạm. Aptos Labs đã trấn an cộng đồng bằng cách tuyên bố:

“Blockchain Aptos tiếp tục hoạt động an toàn và không thỏa hiệp. Chúng tôi đang làm việc với Aptos Foundation để cập nhật cho cộng đồng vì tài khoản Twitter của họ đã được bảo mật.”

Để bảo vệ các thành viên cộng đồng không trở thành nạn nhân của các mưu đồ lừa đảo khác, Aptos Labs khuyên bạn không nên tương tác với bất kỳ nội dung hoặc liên kết nào từ tài khoản @Aptos_Network hoặc bất kỳ tweet nào liên quan đến đợt airdrop APT.

Rõ ràng là các liên kết này không phải là chính thức và cần được xử lý hết sức thận trọng. Dòng tweet cảnh báo:

“Bất kỳ (các) liên kết nào được cung cấp bởi tài khoản @Aptos_Network đều không phải là liên kết chính thức từ Aptos Labs, cũng như Aptos Foundation. Vì sự an toàn và bảo mật của bạn, vui lòng KHÔNG tương tác với bất kỳ nội dung hoặc liên kết nào từ bất kỳ tweet nào liên quan đến airdrop APT.”

Vào thời điểm viết bài, giá token tốc APT đang giảm gần 3% trong ngày và giao dịch ở mức 7,2 đô la.

Nguồn: TradingView

Annie

Theo AZCoin News

Bitfinex đã thông báo hoàn trả tài sản cho hodler Recovery Right Token (RRT). Công ty đã nhận được 312.219,71 USD tiền mặt và 6.917 BCH từ Bộ An ninh Nội địa Hoa Kỳ (DHS), đánh dấu một cột mốc quan trọng trong việc thu hồi tài sản bị đánh cắp từ Bitfinex trong một vụ vi phạm an ninh vào tháng 8 năm 2016.

Hoạt động thu giữ, được thực hiện bởi Cơ quan Hải quan và Bảo vệ Biên giới Hoa Kỳ, một cơ quan thực thi pháp luật của DHS, là minh chứng cho sự cống hiến của các quan chức thực thi pháp luật trong việc truy tìm thủ phạm tấn công Bitfinex và đòi lại số tiền bị đánh cắp. Bitfinex bày tỏ sự cảm kích đối với DHS vì cam kết kiên định của họ trong việc thu hồi tài sản và khôi phục chúng cho chủ sở hữu hợp pháp.

Paolo Ardoino, Giám đốc Công nghệ của Bitfinex, bày tỏ sự hài lòng với phát triển mới nhất, nói rằng:

“Chúng tôi rất vui mừng khi có thể đạt được một cột mốc quan trọng khác trong việc thu hồi tài sản bị đánh cắp từ Bitfinex vào năm 2016.”

Ardoino nhấn mạnh sự cống hiến của các cơ quan thực thi pháp luật trong việc theo dõi số tiền thu được từ tội ác chống lại Bitfinex gần bảy năm trước, đồng thời quyết tâm thu hồi nhiều Bitcoin bị đánh cắp nhất có thể và phân phối lại cho các hodler hợp pháp.

Theo nghĩa vụ hợp đồng của Bitfinex đối với hodler token, số tiền thu hồi được sẽ được sử dụng để đổi RRT do công ty phát hành sau vụ tấn công. Tuy nhiên, điều quan trọng cần lưu ý là số tiền thu hồi không đủ để đổi tất cả các tokenRRT, xem xét nguồn cung lưu hành hiện tại là 30 triệu RRT. Sau khi mua lại từ tất cả các hodler RRT với tỷ lệ 1 USD : 1 token, tối đa 80% của bất kỳ tài sản thu hồi còn lại nào sẽ được phân phối cho các hodler UNUS SED LEO.

Quy trình mua lại cho hodler RRT có hiệu lực ngay lập tức, dựa trên quy mô nắm giữ RRT của họ kể từ 7:00 ngày 6 tháng 7 năm 2023 (theo giờ Việt Nam).

Bitfinex vẫn cam kết hợp tác chặt chẽ với các cơ quan thực thi pháp luật có liên quan và tận dụng hệ thống tư pháp để thu hồi tài sản bị đánh cắp trong vụ vi phạm an ninh năm 2016. Việc công ty không ngừng theo đuổi công lý và khôi phục tài sản bị đánh cắp thể hiện sự cống hiến của họ trong việc bảo vệ lợi ích của người dùng.

Vào tháng 8 năm 2016, Bitfinex đã trải qua một vụ hack tàn khốc dẫn đến việc đánh cắp khoảng 120.000 BTC. Vào thời điểm đó, giá trị của 1 BTC là khoảng 420 USD tương đương khoảng 50 triệu USD. Tuy nhiên, với sự gia tăng giá trị của Bitcoin, số tiền bị đánh cắp hiện ước tính vào khoảng 3,6 tỷ USD.

Vào tháng 2 năm 2022, Ilya Lichtenstein và vợ ông ta đã bị chính quyền Hoa Kỳ bắt giữ với cáo buộc cố gắng rửa tiền liên quan đến các khoản tiền bất hợp pháp từ Bitfinex. Sau đó, Bộ Tư pháp Hoa Kỳ đã tịch thu 94.000 BTC từ hai người này.

Theo bản khai từ các nhà điều tra của Sở Thuế vụ (IRS), Lichtenstein và vợ đã chia số Bitcoin bị đánh cắp thành nhiều giao dịch, chuyển chúng vào nhiều tài khoản khác nhau đứng tên và công ty của họ. Họ cũng sử dụng các loại coin ẩn danh trong quá trình này.

Itadori

Theo AZCoin News