Giao thức cho vay phi tập trung Sturdy Finance đã trở thành nạn nhân của một cuộc tấn công bảo mật hôm nay, dẫn đến mất 442 ETH, tương đương khoảng 800.000 đô la theo Etherscan. Kẻ tấn công đã lợi dụng lỗ hổng reentrancy để thao túng một oracle giá bị lỗi và rút tiền từ đó.

Trong các ứng dụng tài chính phi tập trung, oracle đóng vai trò then chốt để cung cấp dữ liệu giá trong thế giới thực. Tuy nhiên, chúng cũng là mục tiêu tiềm năng cho hacker.

Cuộc tấn công vào Sturdy Finance được bắt đầu bằng cách tấn công reentrancy — một phương pháp thường được sử dụng để rút tiền bất hợp pháp từ các giao thức DeFi. Cuộc tấn công này tận dụng khả năng gọi một hàm lặp đi lặp lại trong giao dịch trước khi hoàn thành gọi hàm ban đầu. Đổi lại, kẻ tấn công có thể rút nhiều hơn số tiền mà họ được hưởng một cách hợp pháp.

Sau khi hacker thao túng các lệnh gọi hàm, chúng tấn công khai thác oracle giá. Bằng cách này, oracle giá của Sturdy Finance có nguồn gốc từ một hợp đồng thông minh “chỉ đọc” riêng biệt đã bị thao túng.

Oracle này được thiết kế để xác định giá trị thị trường chính xác của tài sản trong pool thanh khoản do team Sturdy Finance quản lý trên sàn giao dịch phi tập trung Balancer, do đó tạo điều kiện thuận lợi để giao dịch ETH đã staking. Tuy nhiên, vụ tấn công khai thác oracle này đã cho phép kẻ tấn công rút tiền từ Sturdy Finance, theo công ty bảo mật BlockSec.

BlockSec tuyên bố rằng “nguyên nhân gốc rễ là do reentrancy chỉ đọc điển hình của Balancer, trong khi giá của B-stETH-STABLE đã bị thao túng”.

Sturdy Finance tạm dừng thị trường

Sturdy Finance đã phản ứng bằng cách đình chỉ tất cả các thị trường của mình để ngăn chặn những tổn thất tiềm ẩn khác, đồng thời đảm bảo với người dùng rằng không có khoản tiền nào khác gặp nguy hiểm do vụ vi phạm.

“Tất cả các thị trường đã bị tạm dừng, không có khoản tiền bổ sung nào gặp rủi ro và không yêu cầu hành động nào của người dùng tại thời điểm này. Chúng tôi sẽ chia sẻ thêm ngay khi có thông tin”.

Sau cuộc tấn công, dữ liệu on-chain cho thấy hacker đã sử dụng máy trộn Tornado Cash để che giấu hoạt động.

Vào năm 2022, Sturdy Finance huy động được 3 triệu đô la trong một loạt vòng gọi vốn để xây dựng nền tảng vay và cho vay không lãi suất. Khoản tài trợ được Pantera dẫn đầu và cũng có sự tham gia của Y Combinator, Opportunity Fund của SoftBank và KuCoin Ventures.

Đình Đình

Theo The Block

Công ty môi giới tiền điện tử Floating Point Group (FPG) xác nhận rằng họ đã phải đối mặt với một cuộc tấn công mạng vào ngày 11 tháng 6, với tổn thất từ 15 đến 20 triệu đô la. Nhóm đã tạm dừng giao dịch, rút ​​​​tiền và gửi tiền trên nền tảng sau vụ tấn công.

FPG đã chia sẻ trên Twitter rằng họ đã khóa tất cả các tài khoản của bên thứ ba và các ví đã di chuyển; sau đó, tạm dừng giao dịch, tiền gửi và rút tiền. Công ty tuyên bố rằng việc phân tách tài khoản của họ đã “hạn chế tác động tổng thể” của cuộc tấn công.

FPG là một công ty môi giới toàn cầu cung cấp cho khách hàng tổ chức quyền truy cập vào thị trường tiền điện tử. FPG cùng khách hàng quản lý khối tài sản trị giá 50 tỷ USD.

Công ty cho biết thêm:

“Chúng tôi đang làm việc với FBI, Bộ An ninh Nội địa, các cơ quan quản lý của chúng tôi và Chainalysis để hiểu chuyện gì đã xảy ra và cách thức tấn công nhằm tìm cách thu hồi tài sản. Vì cuộc điều tra đang diễn ra cùng cơ quan thực thi pháp luật nên chúng tôi không thể chia sẻ chi tiết vào lúc này.”

FPG đã được công ty an ninh mạng Prescient Auditors “chỉ điểm” vào tháng 12 năm ngoái và đạt được chứng nhận SOC 2 Loại 1 – một cuộc kiểm toán chính thức xác nhận tính bảo mật tổng thể của các biện pháp kiểm soát dữ liệu nội bộ của công ty.

Trong một diễn biến khác, Hashflow, một nền tảng giao dịch tiền điện tử, đã đảm bảo “hoàn trả” cho người dùng bị ảnh hưởng sau một vụ tấn công khai thác khiến sàn giao dịch bị đánh cắp ít nhất 600.000 đô la tài sản ảo.

Công ty bảo mật blockchain Peckshield vào ngày 14 tháng 6 đã xác định một vấn đề dai dẳng với Hashflow.

“Có vẻ như có một vấn đề liên quan đến phê duyệt,” Peckshield cho biết trên Twitter, đã dẫn đến mất khoảng 600.000 đô la trong Arbitrum (ARB) và Ethereum (ETH).

Hashflow, nơi cung cấp các giao dịch swap cross-chain như một phần của dịch vụ giao dịch, đã sớm cảnh báo người dùng rằng họ đang xử lý vấn đề liên quan đến phê duyệt hợp đồng, như được xác định bởi Peckshield.

Peckshield gợi ý rằng hacker thực hiện vụ tấn công có thể là hacker mũ trắng vì họ đã cung cấp hợp đồng có chức năng khôi phục cũng như tùy chọn đóng góp thứ hai.

Hơn 3 tỷ đô la bị thiệt hại do hack ​​vào năm 2022

Lĩnh vực tiền điện tử đang phải đối mặt với các điều kiện thị trường ngày càng xấu đi và các hành động thực thi pháp luật ngày càng gia tăng trong những tháng gần đây.

Các vụ tấn công khai thác DeFi xảy ra khi hacker lợi dụng code của nền tảng nguồn mở để có quyền truy cập trái phép vào tài sản của nền tảng đó và cuỗm chúng. Các cuộc tấn công DeFi là một trong những rủi ro nghiêm trọng nhất mà ngành công nghiệp tiền điện tử phải đối mặt.

Theo công ty phân tích blockchain Chainalysis, vào năm 2022, hơn 3 tỷ đô la đã bị đánh cắp khỏi các giao thức DeFi thông qua các vụ hack hoặc tấn công khai thác. Năm 2022 là năm xảy ra vụ hack tiền điện tử lớn nhất từ ​​trước đến nay, với tổn thất 3,8 tỷ đô la.

Nguồn: Chainalysis

Các giao thức DeFi với tư cách là nạn nhân chiếm 82,1% tổng số tài sản tiền điện tử bị đánh cắp, tức là tổng cộng 3,1 tỷ đô la, bởi hacker vào năm 2022.

Nguồn: Chainalysis

Itadori

Theo AMBCrypto

Các thành viên của mạng Forta đã phát hiện ra một loại lừa đảo tiền điện tử mới có tên là “Sleepdrop”, đã ảnh hưởng đến một số lượng lớn người dùng. Lừa đảo liên quan đến sự hiện diện của các token bất ngờ từ một hợp đồng có vẻ hợp pháp trong ví của người dùng. Người dùng không tránh các token được airdrop như vậy sẽ gặp rủi ro nghiêm trọng.

Mạng Forta đã gửi một tweet cảnh báo vào thứ Năm về Sleepdrop. Theo Forta, trò lừa đảo này hoạt động bằng cách bắt chước sự xuất hiện của một token chính hãng thông qua một kỹ thuật tương tự như “sleepminting” của NFT. Nhưng những kẻ xấu nhắm mục tiêu cụ thể vào các token ERC-20. Cho đến nay, những kẻ lừa đảo đã mạo danh token từ Uniswap, Chainlink , Lido, Circle và những loại khác.

Forta công bố tiền thưởng để ngăn chặn tình trạng ‘sleepdrop’

Để đánh lừa những người dùng cả tin, những kẻ lừa đảo đã drop token gian lận cho nhiều cá nhân. Bằng cách thực hiện mánh khóe này, nhìn bề ngoài có vẻ như các token đến trực tiếp từ hợp đồng xác thực.

Khi kết nối ví của họ với trang web, người dùng ký một giao dịch dường như liên kết họ với một ứng dụng phi tập trung (Dapp). Tuy nhiên, người dùng không hề hay biết, giao dịch này thực sự yêu cầu chức năng kết nối của hợp đồng, dẫn đến việc chuyển một lượng nhỏ ETH.

Sau đó, những kẻ lừa đảo sẽ sử dụng một cuộc tấn công ice phishing để lừa nạn nhân đổi token mới của họ bằng token hợp pháp chính và hợp đồng thông minh sẽ đánh cắp ETH từ ví của nạn nhân.

Forta, lần đầu tiên phát hiện ra vụ lừa đảo, là một giải pháp bảo mật Web3 và mạng khám phá thời gian thực giám sát hoạt động blockchain. Mạng được tạo thành từ một mạng lưới các nhà vận hành node độc lập phi tập trung, những người quét các giao dịch và chặn các thay đổi để tìm các mối đe dọa tiềm ẩn.

Kể từ khi phát hiện ra loại hình lừa đảo mới, cộng đồng Forta đã biên soạn một danh sách các địa chỉ Sleepdropper và các URL lừa đảo tiềm ẩn rủi ro. Vào thứ Sáu, nó đã công bố một khoản tiền thưởng để phát hiện Sleepdrop. Forta Foundation sẽ chi trả chi phí triển khai Bot ban đầu, bao gồm cả việc staking. Phần thưởng sẽ được thanh toán bằng token FORT.

Thị phần giao dịch bất hợp pháp trong tổng khối lượng giao dịch tiền điện tử, 2017 – 2022. Nguồn: Chainalysis

Ivan Spanier, một thành viên của Forta Foundation và là người phát hiện ra vụ lừa đảo Sleepdrop, đã chia sẻ về những rủi ro mà loại hình lừa đảo mới này gây ra. Theo quan điểm của ông, đó là một trò lừa đảo “khác thường”.

“Tương tác với hợp đồng Sleepdrop hầu như luôn kết thúc bằng việc cạn kiệt token gốc trong mọi trường hợp. Nói rõ hơn, airdrop luôn phải được yêu cầu từ các hợp đồng đã được xác minh và từ các trang web chính thức,” Spanier nói. “Trong mọi trường hợp, người dùng không nên tương tác với các token được airdrop như vậy, ngay cả khi nó dường như được gửi bởi nhóm chính thức”.

Kiểu tấn công mới này chỉ là một trong nhiều mánh khóe mà những kẻ lừa đảo sử dụng để đánh cắp tiền điện tử. Nhưng bất chấp các mối đe dọa liên tục xuất hiện, bạn vẫn tương đối an toàn.

Theo Báo cáo tội phạm tiền điện tử Chainalysis năm 2023, khối lượng giao dịch bất hợp pháp đạt mức cao kỷ lục 20,6 tỷ USD vào năm 2022, đánh dấu năm tăng trưởng thứ hai liên tiếp bất chấp thị trường suy thoái.

Tuy nhiên, điều quan trọng cần lưu ý là hoạt động bất hợp pháp trong không gian tiền điện tử chiếm chưa đến 1% tổng khối lượng giao dịch. Ngoài ra, trong khi một sự gia tăng đáng kể diễn ra trong năm nay, tỷ lệ tội phạm liên quan đến tiền điện tử đang thực sự giảm trong thời gian dài.

Itadori

Theo BeinCrypto

Vào đầu tháng 6 năm 2023, Elon Musk của Tesla phải đối mặt với những cáo buộc mới về giao dịch nội gián trong một vụ kiện cáo buộc ông tham gia vào các hoạt động pump & dump Dogecoin (DOGE). Các luật sư đại diện cho các nguyên đơn cho rằng việc Musk thay đổi logo Twitter từ chim xanh sang logo Dogecoin là một phần trong kế hoạch có mục đích của tỷ phú. Tuy nhiên, New York Post đã nhận được một lá thư từ luật sư của Musk, Alex Spiro, lập luận rằng Musk không phải là cá voi DOGE như cáo buộc của những người tố cáo.

“Bạn cáo buộc một cách cụ thể, không có cơ sở, rằng những chiếc ví sau đây ‘thuộc về’ các bị cáo,” lá thư của Spiro gửi cho luật sư của nguyên đơn, Evan Spencer. “Bạn sai rồi. Cơ sở duy nhất cho khiếu nại của bạn là những chiếc ví này đã bán Dogecoin vào thời điểm mà theo đơn khiếu nại sửa đổi thứ ba, giá đã tăng”.

Vào tháng 4, nhóm pháp lý của Musk đã tìm cách bác bỏ vụ kiện, cho rằng không có hành vi sai trái nào khi tweet về một loại tiền tệ hợp pháp. Các nguyên đơn, người đã đệ đơn kiện vào tháng 6 năm 2022, khẳng định rằng Musk có liên quan đến “kế hoạch kim tự tháp tiền điện tử” với DOGE. Khiếu nại ban đầu cáo buộc rằng “các nguyên đơn và tập thể đã mất khoảng 86 tỷ đô la trong kế hoạch kim tự tháp tiền điện tử này.”

Sau khi xem xét bức thư từ luật sư của Musk, tờ New York Post đã dẫn lời luật sư của nguyên đơn, Spencer:

“Vụ việc này sẽ được đưa ra xét xử tại tòa án chứ không phải trên các phương tiện truyền thông. Các nguyên đơn và tôi tin tưởng hơn bao giờ hết rằng vụ kiện sẽ thành công.”

Musk cáo buộc memecoin BOB là scam

Vào ngày 18/6, Elon Musk đã cáo buộc BOB là scam và khóa tài khoản Twitter của memecoin này.

BOB có hai tài khoản Twitter là @BobEthToken và @ExplainThisBob. Trong khi @BobEthToken được dùng làm tài khoản chính, @ExplainThisBob thường được quản lý bởi Twitter bot và bình luận “dạo” dưới các bài đăng của người nổi tiếng.

Sáng 18/6, @ExplainthisBOB vừa đăng bài cập nhật phiên bản “Pro”. Tuy nhiên, dưới phần bình luận, Musk cho rằng tài khoản này có những dấu hiệu scam và trong trường hợp cần thiết sẽ bị khoá.

Nguồn: Twitter 

Ngay sau đó, tài khoản này của BOB đã bị khóa. Tính tới hiện tại, @ExplainThisBob có hơn 402 nghìn lượt theo dõi trên Twitter. 

Nguồn: Twitter 

Ngay sau tin tức, giá BOB đã giảm gần 50% trong 3 giờ qua. Hiện tại, BOB được giao dịch ở mức 0,000018 đô la.

Nguồn: Coingecko

Annie 

Tạp chí Bitcoin

Công ty kiểm toán tiền điện tử CertiK đã phát hiện ra một lỗi trong blockchain Sui mới ra mắt gần đây có khả năng cản trở 403 triệu đô la giao dịch.

Lỗi “Cuộc tấn công của Hamster Wheel” có thể đã ngăn Sui xử lý các giao dịch mới, khóa mạng trong một vòng lặp vô thời hạn, nơi nó liên tục kiểm tra lại các giao dịch cũ mà không giải quyết chúng.

“Cuộc tấn công Hamster Wheel, nếu nó được thực hiện, sẽ gây ra sự gián đoạn đáng kể cho blockchain Sui”, Kang Li, Giám đốc bảo mật tại CertiK, cho biết.

TVL của Sui. Nguồn: DefiLlama

Lỗ hổng

CertiK đã thông báo cho Sui về lỗ hổng vào ngày 27 tháng 4 và ngày hôm sau Sui đã phát hành một bản vá. Vào ngày 30 tháng 4, Sui xác nhận vấn đề là nghiêm trọng.

Tuy nhiên, Certik không phải là không có “vết nhơ”. Vào tháng 4, kiểm toán viên tiền điện tử đã cho Merlin – một sàn giao dịch phi tập trung mới ra mắt trên blockchain zkSync Era – 90 điểm bảo mật. Tuy nhiên, sau đó Merlin đã “vả mặt” nhà đầu tư khi team phát triển đánh cắp 1,82 triệu đô la của người dùng.

Nhiều người trong cộng đồng DeFi đã chỉ trích CertiK vì đã không tiết lộ các cơ chế trong code cho phép các nhà phát triển của họ cuỗm tiền gửi của người dùng.

Để đánh giá cao phát hiện của CertiK, Sui đã thưởng 500.000 đô la cho công ty vào ngày 16 tháng 5 theo các điều khoản chương trình tiền thưởng lỗi.

“Mặc dù tác động của cuộc tấn công là nghiêm trọng, nhưng nó sẽ không khiến blockchain vĩnh viễn không hoạt động được,” Li nói. Tuy nhiên, việc triển khai một bản vá sẽ yêu cầu tất cả các node trong mạng cập nhật phần mềm, đây có thể là một quá trình phức tạp và tốn thời gian.

“Cho đến khi bản cập nhật này được tung ra trên mạng, blockchain sẽ vẫn không hoạt động”.

Khả năng giao dịch trơn tru được cho là tính năng quan trọng nhất đối với các blockchain. Những người ủng hộ tiền điện tử ca ngợi các blockchain vì khả năng xử lý các giao dịch tiền tệ 24/7, so với hệ thống ngân hàng truyền thống, nơi các giao dịch đôi khi có thể cần nhiều ngày để giải quyết.

Vì vậy, khi một blockchain thất bại trong nhiệm vụ này, người ngoài cuộc sẽ coi đó là một vấn đề rất nghiêm trọng. Blockchain Solana, một đối thủ cạnh tranh của Sui, đã bị chỉ trích gay gắt sau một số lần ngừng hoạt động mạng trong những tháng gần đây khiến quá trình xử lý giao dịch bị tạm dừng trong nhiều giờ.

Giá token SUI. Nguồn: Coingecko

Blockchain Sui hiện đảm bảo 11,4 triệu đô la tiền gửi. Tuy nhiên, token SUI gốc có vốn hóa thị trường là 403 triệu đô la.

Việc tìm ra một lỗ hổng nghiêm trọng trong một blockchain lớn có thể sẽ giúp CertiK lấy lại uy tín với cộng đồng tiền điện tử.

Vào tháng 5, các nhà phát triển đằng sau một giao thức DeFi khác đã được kiểm toán bởi CertiK có tên là Swaprum đã cuỗm đi 3 triệu đô la.

Dyma Budorin, Giám đốc điều hành của công ty bảo mật blockchain Hacken, nói rằng các nhà phát triển Swaprum “đã để lại một tính năng có thể nâng cấp trong hợp đồng thông minh được dùng để rút tiền của người dùng.”

Như với Merlin, CertiK đã không xác định được lỗ hổng bảo mật trong báo cáo kiểm toán cho Swaprum.

Itadori

Theo Dlnews