Trong một hành động hack đạo đức, một nhà điều hành bot MEV mang tên ENS ‘c0ffeebabe.eth’ đã trả lại 2.879 ETH (trị giá khoảng 5,4 triệu USD) cho Curve Finance. Các khoản tiền đã được chuyển hướng từ pool thanh khoản CRV-ETH trong một vụ tấn công khai thác.

Curve đã phải đối mặt với một vụ hack lớn ngày hôm qua diễn ra theo hai giai đoạn riêng biệt. Ban đầu, ước tính khoảng 26 triệu đô la đã bị chiếm đoạt do lỗ hổng reentrancy trong các pool. Điều này ảnh hưởng xấu đến nhiều dự án, bao gồm JPEG’d, Metronome và Alchemix.

Cuộc tấn công ban đầu này đã thành công với giai đoạn thứ hai, trong đó 7,1 triệu CRV (4,4 triệu đô la) và 7.680 WETH (14,37 triệu đô la) đã bị rút khỏi pool CRV-ETH của Curve Finance.

Sử dụng bot MEV, hacker đạo đức c0ffeebabe.eth đã có thể vượt qua một haker độc hại, bảo vệ 2.879 ETH trong giai đoạn thứ hai. Số tiền này sau đó đã được c0ffeebabe.eth trả lại hợp lệ cho địa chỉ của trình triển khai Curve, có lẽ là người giám sát hợp pháp của nó.

Upbit tạm dừng nạp rút CRV

Sàn giao dịch tiền điện tử của Hàn Quốc Upbit đã tạm dừng gửi và rút tiền đối với CRV.

“Hôm nay, một số lỗ hổng nhất định đã được phát hiện trong một số pool stablecoin được liên kết với Curve (CRV)”, thông báo của sàn giao dịch viết. “Do đó, CRV hiện đang có sự biến động đáng kể. Chúng tôi khuyên bạn nên thận trọng khi xem xét bất kỳ khoản đầu tư nào liên quan đến CRV.”

Chuyển hướng sang Uniswap

Vụ tấn công khai thác vào Curve Finance đã khiến các trader chuyển hướng sang token UNI của đối thủ Uniswap.

Theo dữ liệu được theo dõi bởi nhà cung cấp dịch vụ tiền điện tử Matrixport, funding rate trong các hợp đồng tương lai vĩnh viễn UNI đã tăng lên mức 19% hàng năm sau sự cố.

Funding rate dương có nghĩa là giá của hợp đồng vĩnh viễn đang giao dịch ở mức cao hơn giá tham chiếu hoặc giá trị thực ước tính của hợp đồng, còn được gọi là “giá thị trường”. Funding rate dương cũng cho thấy các vị thế Long hoặc các trader nắm giữ các vị thế mua có đòn bẩy đang chiếm ưu thế và sẵn sàng trả tiền cho các vị thế Short để duy trì trạng thái mở.

Markus Thielen, trưởng bộ phận nghiên cứu và chiến lược tại Matrixport, cho biết:

“Hợp đồng vĩnh viễn UNI giao dịch với mức phí bảo hiểm gần 20% do các trader kỳ vọng Uniswap sẽ giành được nhiều thị phần hơn nữa sau vụ tấn công khai thác CRV”.

Funding rate hợp đồng vĩnh viễn UNI đã tăng lên 19% hàng năm. Nguồn: Matrixport

Sau vụ việc, giá token CRV gốc của Curve DAO đã giảm hơn 15% xuống còn 0,63 đô la. Sự sụt giảm nhanh chóng đã tạo ra rủi ro bổ sung, có khả năng đe dọa thanh lý vị thế đã vay trị giá 70 triệu đô la của nhà sáng lập Curve.

Tuy nhiên, thị trường hợp đồng tương lai vĩnh viễn cho thấy không có dấu hiệu hoảng loạn, với funding rate trong CRV và AAVE giữ trên 0.

Funding rate hợp đồng vĩnh viễn CRV vẫn dương sau sự cố. Nguồn: Matrixport

“Hợp đồng tương lai vĩnh viễn CRV DAO vẫn đang giao dịch ở mức phí bảo hiểm nhỏ, cho thấy các trader tập trung hơn vào việc di chuyển các vị trí ra khỏi DEX (liên quan đến TVL) hơn là Short token”, Thielen cho biết.

Vào thời điểm viết bài, giá token UNI gốc của Uniswap đã tăng khoảng 10% từ mức thấp trong ngày là 5,9 đô la và hiện giao dịch ở  mức 6,49 đô la.

Nguồn: TradingView

Itadori

Tạp chí Bitcoin

Curve, nền tảng giao dịch phi tập trung chạy trên Ethereum đã bị tấn công khai thác vào 30/7. Rạng sáng 31/7, pool CRV/ETH đã bị tấn công, thất thoát 7 triệu CRV (4 triệu USD) và 14 triệu USD WETH. Đáng chú ý, vụ tấn công xảy ra chỉ ít phút trước khi các hacker mũ trắng tiến hành một chiến dịch giải cứu những pool thanh khoản bị ảnh hưởng trước đó.

Số tiền điện tử trị giá lên tới 100 triệu đô la có nguy cơ gặp rủi ro do lỗi “re-entrancy” trong Vyper, một ngôn ngữ lập trình được sử dụng để cung cấp năng lượng cho các bộ phận của hệ thống Curve. Một số pool stablecoin trên nền tảng — được sử dụng để định giá và thanh khoản trên một số dịch vụ DeFi khác nhau — cho đến nay đã bị hacker rút cạn.

Các dự án khác sử dụng ngôn ngữ lập trình Vyper có thể gặp lỗ hổng tương tự.

BlockSec, một công ty kiểm toán blockchain, đã ước tính tổng thiệt hại trên 42 triệu đô la trong một phân tích sơ bộ được đăng lên Twitter.

Theo trang web của Curve, Curve vận hành 232 pool khác nhau, nhưng chỉ những pool sử dụng Vyper phiên bản 0.2.15, 0.2.16 và 0.3.0 mới gặp rủi ro, mimaklas, một thành viên của nhóm cho biết.

Mimaklas cũng nói rằng “tất cả các pool bị ảnh hưởng đã bị rút cạn và nhóm đang đánh giá tình hình với các pool bị ảnh hưởng.”

Vào thời điểm viết bài, đã có 16,9 triệu USD được khôi phục.

Vụ trộm đã khiến token CRV gốc của Curve DAO giảm gần 17% trong ngày và giao dịch ở 0,61 đô la vào thời điểm viết bài. Hành động giá đó có nguy cơ làm trầm trọng thêm sự hỗn loạn vì nó có khả năng buộc nhà sáng lập phải thanh lý khoản vay 70 triệu đô la của Curve trên Aave.

Nguồn: TradingView

Những vụ tấn công liên quan đến pool thanh khoản của Curve

Câu chuyện đã bắt đầu từ tuần trước (21/7), khi Conic Finance bị bòn rút tài sản vì có một vài liên hệ với LP Token trên Curve Finance.

Sau đó, vào tối 30/7, dự án Lending NFT JPEG’d cũng thông báo bị tấn công khai thác pool thanh khoản pETH-ETH trên Curve Finance, thất thoát 11 triệu USD.

Một dự án khác cũng trở thành nạn nhân trong tối 30/7 là Metronome với thiệt hại 1,6 triệu USD.

alETH của Alchemix cũng bị tấn công và khởi nguồn từ một pool thanh khoản trên Curve, thiệt hại ước tính 13,6 triệu USD.

Sau đó, tiếp tục có báo cáo về việc lỗ hổng đã được ghi nhận tại deBridge và Ellipsis, với tổng thiệt hại tính đến ngày 31/7 là 26,76 triệu USD.

Annie

Tạp chí Bitcoin

Kannagi Finance, giao thức tổng hợp doanh thu trên zkSync, đã cuỗm hết tiền của nhà đầu tư trong một vụ kéo thảm kinh điển. Theo WuBlockchain, trang web chính thức của nền tảng đã hết hạn và Tổng giá trị bị khóa (TVL) đã giảm mạnh từ 2,13 triệu đô la xuống gần bằng 0, dẫn đến thiệt hại ước tính của người dùng là 2,13 triệu đô la.

Dấu hiệu rắc rối đầu tiên xuất hiện khi người dùng Twitter @huang_yenwen, một người đam mê tiền điện tử cảnh giác, đã phát hiện ra sự khác biệt trong code hợp đồng thông minh của Kannagi Finance sau khi kiểm tra bằng Cyberscan. Anh ấy tiết lộ rằng code đã bị thay đổi, một dấu hiệu đáng lo ngại đối với các nhà đầu tư. Mặc dù vậy, nhưng @huang_yenwen thừa nhận rằng những vấn đề như vậy không phải là hiếm đối với các dự án mới trong không gian tiền điện tử, vô tình làm giảm mức độ nghiêm trọng của tình hình.

Thêm vào sự nghi ngờ xung quanh dự án là code hợp đồng Kannagi Finance không được xác minh nguồn mở. Sự thiếu minh bạch này đặt ra câu hỏi về ý định của nền tảng và dấy lên ghi ngờ về độ tin cậy của nhóm phát triển. Hơn nữa, dự án thiếu các thông tin quan trọng liên quan đến những nhà sáng lập và các thành viên trong nhóm, dẫn đến lo ngại về một vụ lừa đảo được lên kế hoạch từ trước.

Kannagi Finance rõ ràng đã trải qua cuộc kiểm toán của SolidProof vào ngày 6 tháng 6. SolidProof được liên kết với công ty Make Network của Đức và được biết là đã hợp tác với các tổ chức có uy tín như PinkSale, BitMart, UNCX Network, cùng những tổ chức khác. Tuy nhiên, sự cố kéo thảm đã làm dấy lên nghi ngờ về tính hiệu quả và tính kỹ lưỡng của quy trình kiểm toán.

Do sự cố kéo thảm, token gốc của dự án, KANA, đã bị giảm giá trị đáng kể. Trong vòng 24 giờ qua, KANA đã mất hơn 99% giá trị, hiện đang giao dịch ở mức $0,00006. Khối lượng giao dịch cũng bị đình trệ ở mức 11.900 đô la, cho thấy sự mất niềm tin của nhà đầu tư.

Nguồn: Coingecko

Kéo thảm đã trở nên phổ biến trong thị trường tiền điện tử, tàn phá các nhà đầu tư cả tin. Chiến thuật lừa đảo này liên quan đến việc các nhà phát triển đột ngột từ bỏ một dự án hoặc rút hết thanh khoản từ tài sản, để lại cho các nhà đầu tư những token vô giá trị. Việc thiếu sự giám sát theo quy định và bản chất phi tập trung của tiền điện tử khiến cho việc ngăn chặn thảm họa trở nên khó khăn, làm nổi bật nhu cầu cần có sự thẩm định và thận trọng cao hơn từ các nhà đầu tư.

Itadori

Theo AZCoin News

Các phương pháp hack máy chủ và thiết bị từ xa đang ngày càng được giới tội phạm ưa chuộng để khai thác tiền điện tử và Bitcoin mà chủ sở hữu của chúng không hề hay biết.

Được gọi là cryptojacking, một báo cáo của SonicWall cho thấy các cuộc tấn công đã tăng 399% trên toàn cầu trong 12 tháng qua.

Phó chủ tịch SonicWall EMEA Spencer Starkey cho biết:

“Hành vi bất chính này đã trở thành phương thức hoạt động mới của hacker, khi các tổ chức ngày càng từ chối trả tiền chuộc”.

Dữ liệu cho thấy tội phạm mạng cũng đã chuyển sang phương pháp này do hoạt động thực thi pháp luật gia tăng và các biện pháp trừng phạt nặng nề.

Giám đốc điều hành SonicWall Bob VanKirk cho biết:

“Cuộc tấn công kỹ thuật số dường như vô tận nhằm vào các doanh nghiệp, chính phủ và công dân toàn cầu đang ngày càng gia tăng và bối cảnh các mối đe dọa tiếp tục mở rộng. Các tác nhân đe dọa không ngừng và dữ liệu của chúng tôi cho thấy chúng đang có nhiều cơ hội hơn bao giờ hết, nhắm mục tiêu vào các trường học, chính quyền tiểu bang và địa phương cũng như các tổ chức bán lẻ với tốc độ chưa từng có.”

“Mức tăng toàn cầu 399% trong các cuộc tấn công cryptojacking cho thấy khoản tích lũy bitcoin của tội phạm mạng và các quốc gia đang nhiều hơn bao giờ hết”.

Dữ liệu mới nhất cho thấy kiểu tấn công này đã tăng 479% trong năm qua ở Anh. Trong khi đó, tại Hoa Kỳ, đã có 214 triệu cuộc tấn công chỉ riêng trong năm 2023, tăng 340%, với các cuộc tấn công gây khó khăn cho các doanh nghiệp, thành phố, hãng hàng không và thậm chí cả trường học. 

Annie

Theo The Block

Một người dùng Reddit đã bị mất đi vài nghìn đô la giá trị BTC sau khi sử dụng một trình tạo ví  từ ví giấy “an toàn” của họ.

Vào ngày 24 tháng 7, một Redditor có tên /jdmcnair đã đăng trên r/Bitcoin subreddit, yêu cầu giải thích về cách một hacker có thể đánh cắp hơn 3.000 đô la giá trị BTC từ ví giấy – vốn được cho là an toàn – thậm chí được tạo ra trên một máy tính ngoại tuyến.

Địa chỉ ví Bitcoin của Redditor hiển thị giao dịch gửi đi là 0,12 BTC | Nguồn: Blockchain.com

Người dùng viết:

“Tôi đang tự quản lý, tạo private key của mình và in ra giấy trên máy tính ngoại tuyến, chuyển BTC của tôi sang ví ngoại tuyến này và cất giữ trong két an toàn mà chỉ tôi mới có khóa. Tôi nghĩ tôi đang giữ nó theo một trong những cách an toàn nhất có thể”.

Trong bản cập nhật cho bài đăng đầu tiên của mình, Redditor tiết lộ rằng họ đã sử dụng công cụ tạo ví walletgenerator.net để tạo private key cho ví của họ, điều mà một số người dùng đã nhấn mạnh là có lỗ hổng lớn trong quá khứ.

Bàn luận về vấn đề này, Hugh Brooks, CEO của công ty bảo mật blockchain CertiK cho biết người dùng nên suy nghĩ kỹ trước khi sử dụng trình tạo ví tiền điện tử. 

“Một số công cụ tạo ví này có thể là hình thức lừa đảo trực tiếp. Trang web này có địa chỉ IP ở Nga. Khi xem xét trên Criminal IP, chúng tôi có thể thấy địa chỉ đó đã bị báo cáo”.

Brooks cho biết các trình tạo ví giấy có chứa các lỗ hổng nghiêm trọng kể từ năm 2019, nếu bất kỳ ai đã tạo ví bằng walletgenerator.net thì có khả năng “các private key giống nhau đã được cấp cho những người dùng khác nhau”.

Hình thức này là một ví dụ điển hình về lỗ hổng bảo mật, khiến Wintermute bị hack mất 160 triệu đô la vào tháng 9. Theo Brooks, giải pháp rất đơn giản. Người dùng muốn lưu trữ tiền điện tử an toàn nên sử dụng “nhà cung cấp ví phần cứng đáng tin cậy như Ledger và Trezor.”

Redditor không hiểu tại sao kẻ tấn công lại đợi đến hơn 12 tháng mới hành động. Bàn về vấn đề này, một người dùng đã lên tiếng giải thích như sau:

“Các hacker đợi cho đến khi nạn nhân nghĩ họ đã tạo được private key an toàn, đợi nạn nhân gửi một số tiền đáng kể và sau đó, một ngày nào đó, chúng sẽ quét sạch tất cả các khoản tiền, vì vậy không có thời gian để phản ứng với các báo cáo về việc trang web bị xâm phạm”.

Với sự gia tăng đột ngột của các ví Bitcoin không hoạt động trong thời gian dài — nhiều ví có số tiền lên tới hàng triệu — một số chuyên gia cho rằng đó là do các trình tạo ví đã bị hack. Theo CertiK, hacker đã kiếm được hơn 300 triệu USD trong quý 2 năm 2023, giảm 58% so với cùng kỳ năm ngoái.

Xoài

Theo Cointelegraph

Phan Tấn Phúc (quê quán tỉnh Khánh Hòa) là nhân viên của Chi nhánh BMW Phú Mỹ Hưng, phường Tân Phú, Quận 7, TP Hồ Chí Minh, có nhiệm vụ tư vấn giới thiệu, bán xe ô tô hiệu BMW cho khách hàng. Quá trình làm việc, Phúc đã nảy sinh ý định chiếm đoạt tài sản của khách hàng và của Chi nhánh BMW Phú Mỹ Hưng.

Vụ thứ nhất, ngày 20/12/2020, Phúc tự ý nhận của khách hàng Nguyễn Văn Hùng số tiền 100 triệu đồng tiền mặt với cam kết là tiền đặt cọc mua 01 xe ô tô BMW 530i trị giá hơn 2,7 tỷ đồng; đến ngày hôm sau, 21/12, Phúc đến nhà ông Hùng ở huyện Nhà Bè, TP Hồ Chí Minh yêu cầu đưa thêm 100 triệu tiền mặt để đặt cọc xe, ông Hùng đồng ý và có hỏi về phiếu thu nhưng Phú nại ra lý do đang trên đường đi công tác nên tiện ghé vào lấy tiền mà không mang theo phiếu thu.

Cáo trạng xác định, Phan Tấn Phúc đã sử dụng số tiền lừa đảo để đầu tư vào trang mạng tiền ảo “Binomo” và bị thua lỗ hết.

Sau khi nhận 200 triệu đồng của ông Hùng nhưng Phú đã không nộp, không báo cho Chi nhánh BMW biết, mà báo cho ông Hùng sẽ thanh toán 30% giá trị hợp đồng vào ngày ký kết hợp đồng mua xe.

Ngày 24/12/2023, Phúc đem các giấy tờ, hợp đồng mua bán xe đến nhà ông Hùng để ông Hùng xem, ký.

Sau khi ký hợp đồng mua bán xe ô tô BMW 530i trị giá hơn 2,7 tỷ đồng, Phúc yêu cầu ông Hùng chuyển khoản vào tài khoản của Chi nhánh BMW Phú Mỹ Hưng số tiền 829 triệu (tương đương 30% giá trị xe), và ký tiếp một hợp đồng dịch vụ về việc Chi nhánh BMW Phú Mỹ Hưng sẽ thực hiện thủ tục đăng ký quyền sở hữu xe cho ông Hùng, trị giá 314 triệu đồng.

Với số tiền hợp đồng dịch vụ 314 triệu đồng, Phúc yêu cầu ông Hùng chuyển vào tài khoản cá nhân Phúc để anh ta đi làm dịch vụ.

Sau khi nhận tiền, Phúc tiếp tục không nộp, không thông báo cho Chi nhánh BMW biết mà lại nói ông Hùng sẽ thanh toán tiền dịch vụ khi nhận bàn giao xe, nên Chi nhánh BMW đã ứng trước ra số tiền 314 triệu để làm dịch vụ đăng ký xe cho ông Hùng.

Đối với số tiền 200 triệu Phúc nhận đặt cọc trước đó, Phúc nói dối với ông Hùng là Chi nhánh BMW sẽ hoàn lại cho ông Hùng khi nhận bàn giao xe. Tổng cộng, Phúc đã nhận tiền trái phép của ông Hùng là 515 triệu đồng.

Vụ thứ 2, ngày 29/11/2020, gia đình ông Đoàn Đức Đẩu ở TP Rạch Giá, tỉnh Kiên Giang đến Chi nhánh BMW Phú Mỹ Hưng và được Phúc tư vấn chọn mua một xe ô tô BMW 730Li trị giá hơn 4,3 tỷ đồng; đến ngày 30/11/2023, Phúc điện thoại yêu cầu ông Đẩu chuyển khoản đặt cọc 10% giá trị xe, ông Đẩu đã chuyển vào tài khoản cá nhân của Phúc 450 triệu đồng.

Sau khi nhận tiền từ ông Đẩu, Phúc chỉ trích ra 50 triệu đồng để đề xuất Chi nhánh BMW lập hợp đồng mua bán xe ô tô BMW 730Li trị giá hơn 4,3 tỷ đồng, và hợp đồng dịch vụ đăng ký quyền sở hữu xe cho ông Đẩu trị giá hơn 511 triệu đồng.

Ngày 07/12/2020, Phúc yêu cầu ông Đẩu chuyển hơn 511 triệu đồng tiền hợp đồng dịch vụ đăng ký xe vào tài khoản của Phúc; tiền mua xe còn lại thì ông Đẩu chuyển vào tài khoản của Chi nhánh BMW.

Ngày 07/01/2021, ông Đẩu yêu cầu Phúc giao xe ngay vì ông đã thanh toán hết mọi khoản tiền, lúc này Phúc lo sợ bị phát hiện đã chiếm đoạt 450 triệu tiền đặt cọc nên đã nói dối lãnh đạo Chi nhánh BMW là ông Đẩu sẽ thanh toán 450 triệu còn lại khi nhận bàn giao xe. Đến ngày 09/01/2021, Chi nhánh BMW đồng ý xuất xe cho Phúc đi giao cho ông Đẩu.

Ngày 13/01/2021, Phúc đến nhà ông Đẩu bàn giao hồ sơ xe và nói dối là số tiền hơn 511 triệu đồng tiền dịch vụ đăng ký xe của ông Đẩu do Chi nhánh BMW trục trặc nên chưa giải ngân cho Phúc đi làm đăng ký xe, và Phúc đề nghị ông Đẩu ứng trước để Phúc đi làm, ông Đẩu không đồng ý…

Cùng lúc này, Chi nhánh BMW phát hiện ông Đẩu đã nhận xe nhưng không thanh toán đầy đủ tiền mua xe và biết Phúc đã tự ý nhận tiền mua xe, tiền làm dịch vụ tổng số tiền hơn 961 triệu đồng của ông Đẩu từ trước, và chiếm đoạt của khách hàng Hùng 515 triệu (trong vụ thứ nhất) nên đã trình báo công an.

Tổng cộng, Phan Tấn Phúc đã chiếm đoạt của 2 khách hàng và Chi nhánh BMW Phú Mỹ Hưng số tiền hơn 1,4 tỷ đồng. Số tiền trên, Phúc đã sử dụng đầu tư vào trang mạng tiền ảo “Binomo” và bị thu lỗ hết, không có khả năng hoàn trả.

8 năm tù vì tội “Lừa đảo chiếm đoạt tài sản”

Ngày 08/9/2022, TAND TP Hồ Chí Minh đã đưa Phan Tấn Phúc ra xét xử sơ thẩm với tội danh “Lừa đảo chiếm đoạt tài sản”. Giữ quyền công tố tại tòa, đại diện VKS Nhân thân TP Hồ Chí Minh đã giữ nguyên quan điểm truy tố bị cáo Phan Tấn Phúc với tội danh và hình phạt được quy định tại điểm a khoản 4 Điều 174 Bộ luật hình sự năm 2015, sửa đổi bổ sung năm 2017, đề nghị tòa tuyên phạt bị cáo Phúc từ 12 đến 14 năm tù giam.

HĐXX tuyên phạt bị cáo Phan Tấn Phúc 8 năm tù về tội “Lừa đảo chiếm đoạt tài sản”

Bảo vệ quyền và lợi ích hợp pháp cho bị cáo tại tòa, Luật sư đã đưa ra các chứng cứ đề nghị HĐXX xem xét các tình tiết giảm nhẹ hình phạt cho bị cáo Phúc, như: bị báo có thái độ thành khẩn, ăn năn hối cải; sau khi sự việc bị phát hiện, bị cáo đã thông qua gia đình nộp lại số tiền đã chiếm đoạt để khắc phục hậu quả; bị cáo được hai bị hại là khách hàng có đơn xin giảm nhẹ một phần hình phạt; bị cáo có thân nhân tốt, lần đầu phạm tội, theo đó cần áp dụng cho bị cáo các tình tiết giảm nhẹ quy định tại điểm b, s khoản 1, khoản 2 Điều 51 Bộ luật hình sự năm 2015 được sửa đổi bổ sung năm 2017 để giảm nhẹ một phần trách nhiệm hình sự đối với bị cáo.

Sau khi nghị án, HĐXX thấy rằng, do bị cáo có nhiều tình tiết giảm nhẹ theo Điều 51 Bộ luật hình sự nên HĐXX xét cần áp dụng thêm Điều 54 Bộ luật hình sự đối với bị cáo cho bị cáo được hưởng mức hình phạt dưới mức thấp nhất của khung hình phạt.

Từ những lý lẽ bào chữa của Luật sư và nhận định của tòa án, HĐXX tuyên phạt bị cáo Phan Tấn Phúc 8 năm tù về tội “Lừa đảo chiếm đoạt tài sản”.

Nguồn:T/H