Trong một tin tức gây sốc, giao thức cho vay zkSync nổi tiếng EraLend vừa trở thành nạn nhân của một vu hack bị nghi ngờ gây thiệt hại 3,4 triệu đô la. Sự cố xảy ra vào lúc 16:27 ngày 25/7/2023 (theo giờ Việt Nam), làm náo loạn cộng đồng tiền điện tử. Theo báo cáo của Spreekaway, tác động của cuộc tấn công hiện đang được đánh giá, nhưng team EraLend tự tin rằng tình hình đã được kiểm soát.

EraLend đã phán ứng đối với vụ việc rất nhanh và có trách nhiệm. Ngay sau khi phát hiện vi phạm bảo mật, team đưa ra thông báo khẩn cấp trên kênh Discord của họ. Cụ thể, EraLend cảnh báo cộng đồng về cuộc tấn công mạng và thực hiện các biện pháp ngay lập tức để bảo vệ nền tảng cũng như tiền của người dùng. 

“Chúng tôi viết thư này để thông báo cho bạn về sự cố bảo mật xảy ra lúc 16:27 ngày 25/07/2023 (theo giờ Việt Nam). Chúng tôi đã phát hiện và xác nhận một cuộc tấn công mạng trên nền tảng của chúng tôi. Chúng tôi muốn đảm bảo với bạn rằng cuộc tấn công đã được ngăn chặn và kẻ đe dọa không thể tiếp tục hành động nữa. Phạm vi tác động hiện đang được đánh giá và sẽ sớm công bố thêm”. 

Để giảm thiểu rủi ro tài sản tiếp tục chảy ra, EraLend nhanh chóng đình chỉ tất cả các hoạt động cho vay trên nền tảng của mình. Trong khi tiến hành điều tra, team hợp tác chặt chẽ với các chuyên gia an ninh mạng và đối tác cầu nối cross-chain để ngăn chặn thêm bất kỳ vi phạm nào khác. 

Ảnh hưởng của vụ hack đang được những người dùng có tiền trên nền tảng báo cáo. Theo một người dùng có 786.162 USDC trong EraLend, họ đã vay khoảng 283,0596 ETH, tương đương 524.509 đô la. Do đó, thiệt hại tối đa cho người dùng này ước tính vào khoảng 261.652 đô la. Nếu tính tất cả người dùng EraLend, thiệt hại có khả năng sẽ rất lớn. 

Tuy nhiên, EraLend đảm bảo với cộng đồng rằng chỉ USDC bị ảnh hưởng trong sự cố và tất cả các tài sản khác vẫn an toàn. Nền tảng này cũng khuyên người dùng không nên gửi USDC cho đến khi có thông báo mới để đảm bảo an toàn cho họ. 

Tính bảo mật của các nền tảng tài chính phi tập trung luôn là mối quan ngại hàng đầu trong không gian tiền điện tử. Với những sự cố như thế này, cộng đồng được nhắc nhở về tầm quan trọng của các biện pháp bảo mật mạnh mẽ và cảnh giác liên tục trước các mối đe dọa mạng tiềm ẩn. EraLend hợp tác với các công ty bảo mật mạng là một bước tích cực và chủ động để xác định nguồn gốc của cuộc tấn công và ngăn chặn các sự cố tương tự trong tương lai. 

Vụ hack EraLend là lời cảnh tỉnh các nền tảng DeFi khác và kêu gọi thực hiện các biện pháp bảo mật nâng cao. Vụ việc nêu bật tầm quan trọng của việc tiến hành kiểm tra bảo mật thường xuyên, sử dụng các phương pháp tốt nhất và thúc đẩy giao tiếp cởi mở với người dùng trong các cuộc khủng hoảng như vậy. 

Minh Anh

Theo AZCoin News

CEO CryptoQuant Ki Young Ju đã công khai chỉ trích dự án tiền điện tử Worldcoin do CEO OpenAI Sam Altman thành lập, coi đây là một vụ lừa đảo tiềm ẩn. Lời buộc tội của Ki Young Ju được đưa ra để đáp lại khái niệm “ID thế giới” đầy tham vọng của Worldcoin, nhằm mục đích cung cấp hộ chiếu kỹ thuật số duy nhất để xác minh người dùng là người thật chứ không phải bot AI. Cốt lõi của quy trình nhận dạng này là quét mống mắt trực tiếp bằng cách sử dụng “orb” của Worldcoin – một quả bóng bạc có kích thước bằng quả bóng bowling.

Worldcoin gần đây đã ra mắt sau giai đoạn beta, thu hút hơn 2 triệu người dùng. Dự án hiện có kế hoạch mở rộng hoạt động quét mống mắt “orb” tới 35 thành phố ở 20 quốc gia. Để khuyến khích việc chấp nhận, công ty cung cấp token WLD cho người dùng đăng ký ở các quốc gia được chọn.

Trong tweet của mình vào ngày 25/7, Ki Young Ju đã nêu lên những lo ngại về việc Worldcoin loại trừ công dân Hoa Kỳ khỏi quy trình quét mống mắt, gợi ý những tác động pháp lý có thể xảy ra. Anh cũng đặt câu hỏi về sự cần thiết phải tạo ra một loại tiền kỹ thuật số mới để thay thế Bitcoin và chỉ trích hệ thống nền kinh tế token không rõ ràng của Worldcoin, bày tỏ nghi ngờ về tiện ích của họ và coi đó là một trò lừa đảo tiềm ẩn.

Đáp lại, Worldcoin đã bảo vệ sáng kiến “ID thế giới” của mình, khẳng định quét mống mắt là điều cần thiết để xác minh danh tính con người và ngăn chặn sự xâm nhập của bot hoặc tài khoản giả mạo, đảm bảo một hệ sinh thái an toàn. Công ty đã làm rõ rằng thông tin mống mắt thu thập không được sử dụng để quản lý ví kỹ thuật số hoặc giao dịch, từ đó giải quyết các mối lo ngại về quyền riêng tư và bảo mật dữ liệu.

Thật thú vị, tình huống diễn ra một cách bất ngờ khi Ji-young hỏi Sam Altman về việc token hóa ChatGPT, một mô hình ngôn ngữ OpenAI. Altman vẫn chưa phản hồi, bỏ ngõ câu hỏi cho những phát triển tiềm năng trong lĩnh vực AI và tiền điện tử.

Khi cuộc tranh luận tiếp tục, việc ra mắt “ID thế giới” của Worldcoin đưa ra một khái niệm hấp dẫn cho hệ sinh thái tiền điện tử an toàn hơn. Tuy nhiên, các cáo buộc lừa đảo kêu gọi tăng cường tính minh bạch và nền kinh tế token hoá rõ ràng hơn để tạo niềm tin cho người dùng và cộng đồng tiền điện tử. Vì vậy, tương lai của Worldcoin và tác động tiềm năng của dự án đối với bối cảnh tiền kỹ thuật số vẫn chưa chắc chắn, do đang chờ phản hồi từ các bên liên quan.

Đình Đình

Theo AZCoin News

Nhà cung cấp dịch vụ thanh toán tiền điện tử lớn Alphapo vừa bị hack gây thiệt hại nghiêm trọng lên đến hơn 23 triệu đô la ETH, TRX và BTC. Vụ việc đã gây chấn động khắp cộng đồng tiền điện tử, làm dấy lên mối lo ngại về bảo mật và lỗ hổng trong ngành.

Tin tức đáng buồn này bắt nguồn từ tweet của nhà phân tích ZachXBT:

“Sáng sớm hôm nay, ví nóng Alphapo đã bị rút hơn 23 triệu đô la ETH, TRON, BTC”.

Dòng tweet nhanh chóng thu hút được sự chú ý, cảnh báo người dùng và nhà đầu tư về mức độ nghiêm trọng của vụ vi phạm.

Alphapo là cổng thanh toán tiền điện tử cho nhiều dịch vụ đánh bạc, trong đó HypeDrop, Bovada và Ignition là các khách hàng nổi bật của họ. Hiệu ứng gợn sóng của vụ hack đã được cảm nhận ngay lập tức, vì HypeDrop buộc phải tạm dừng các dịch vụ rút tiền, khiến người dùng không thể truy cập vào tiền của họ.

Thủ phạm tấn công đã rất tinh vi trong cách tiếp cận, khiến việc truy tìm tài sản bị đánh cắp trở nên khó khăn. Trên blockchain Ethereum, số tiền đánh cắp đã được chuyển đổi thành ETH trước khi nhanh chóng chuyển sang Avalanche và Bitcoin thông qua cầu nối. Chiến thuật này che khuất dấu vết một cách hiệu quả, cản trở nỗ lực của các nhà điều tra trong việc thu hồi tiền và xác định hacker.

Các địa chỉ ví liên quan đến vụ hack đã được công khai, làm tăng thêm tính cấp bách của sự việc:

1. 0x040a96659fd7118259ebcd547771f6ecb9580d17
2. 0x6d2e8a20b8afa88d92406d315b67822c01e53c38
3. TKSitnfTLVMRbJsF1i2UH5hNUeHLDrXDiY
4. TDoNAZHa7WxarUAFbQUhiijTGtd7EpbzRh
5. TJF7mdFxDuHB4tb9hoyR4SCpKxk7gr23ym

Hiện tại, vẫn chưa rõ bao nhiêu Bitcoin bị trộm, vì đang tiến hành điều tra và các nhà chức trách cùng với các chuyên gia an ninh mạng đang làm việc không ngừng để phân tích chi tiết.

Vụ hack Alphapo đã đặt ra những câu hỏi nghiêm túc về các phương thức bảo mật của nền tảng và giao thức quản lý rủi ro. Người dùng và cộng đồng tiền điện tử rộng lớn hơn đang yêu cầu câu trả lời và đảm bảo an toàn cho tài sản kỹ thuật số của họ. Chắc chắn Alphapo sẽ phải đối mặt với những thách thức đáng kể để lấy lại danh tiếng và niềm tin của người dùng trong thời gian tới.

Minh Anh

Theo AZCoin News

Giao thức DeFi Conic Finance đã báo cáo bị đánh cắp 1.700 ETH, trị giá hơn 3,2 triệu đô la. Công ty bảo mật blockchain BlockSec đã theo dõi vụ việc, nói rằng một hacker không xác định khai thác lỗ hổng reentrancy vào sáng sớm hôm nay.

Conic đã nhanh chóng cảnh báo cơ sở người dùng thông qua Twitter, xác nhận vụ tấn công liên quan đến ETH Omnipool, đã ra mắt vào ngày 10 tháng 7 và chỉ ảnh hưởng đến các pool ETH.

Conic Finance, được biết đến với việc phân bổ tiền thông qua sàn giao dịch phi tập trung Curve bằng cách sử dụng các pool thanh khoản, đã bị tấn công theo hai hướng liên quan đến lỗ hổng và thao túng của một oracle giá.

Trong trường hợp này, kẻ tấn công đã vay một khoản vay nhanh trị giá 20.000 ETH đã stake, chuyển hướng khoản tiền này tới oracle giá của Conic, tạo điều kiện thuận lợi cho quá trình tấn công khai thác. Lỗ hổng bảo mật được sử dụng cùng với thao túng oracle giá của Conic, dữ liệu này được lấy từ hợp đồng thông minh chỉ đọc của bên thứ ba.

Trong một tweet, Conic đã cập nhật:

“Chúng tôi đang tiếp tục điều tra nguyên nhân cốt lõi của vụ tấn công khai thác và đang tham khảo ý kiến ​​của các bên liên quan. Chúng tôi đã vô hiệu hóa tiền gửi ETH Omnipool trên giao diện người dùng Conic”.

Annie

Theo Cryptobriefing

Tội phạm liên quan đến tiền điện tử đã giảm đáng kể, theo dữ liệu từ Chainalysis.

Một báo cáo mới từ công ty phân tích lưu ý rằng dòng tiền điện tử hàng ngày vào các dịch vụ bất hợp pháp đã giảm so với các năm trước. Từ đầu năm đến tháng 6, tiền điện tử chảy vào các thực thể bất hợp pháp, bao gồm các cá nhân hoặc nhóm bị xử phạt, đã giảm 65% so với cùng kỳ năm ngoái.

Nguồn: Chainalysis

Báo cáo lưu ý rằng sự sụt giảm trong các giao dịch tiền điện tử bất hợp pháp đã vượt xa sự sụt giảm rộng hơn trong các giao dịch tiền điện tử gắn liền với sự sụt giảm giá token.

“Khối lượng giao dịch giảm trên toàn diện, nhưng sự sụt giảm ít nghiêm trọng hơn nhiều đối với các dịch vụ hợp pháp, vốn chỉ chứng kiến ​​dòng tiền vào giảm 28%”. 

“Nói cách khác, khối lượng giao dịch tiền điện tử bất hợp pháp đang giảm nhiều hơn so với khối lượng giao dịch tiền điện tử hợp pháp.”

Tuy nhiên, các cuộc tấn công ransomware là một hình thức tội phạm dựa trên tiền điện tử đang ngày càng phổ biến. Chainalysis phát hiện ra rằng những kẻ tấn công ransomware đã bòn rút khoảng 449,1 triệu đô la kể từ đầu năm đến tháng 6. 

“Nếu tốc độ này tiếp tục, những kẻ tấn công ransomware sẽ tống tiền 898,6 triệu đô la từ các nạn nhân vào năm 2023, chỉ đứng sau 939,9 triệu đô la của năm 2021”. 

Annie

Theo The Block

Luật sư Quận phía Nam New York (SDNY) cho biết trong một thông cáo báo chí ngày 11 tháng 7 rằng họ đang buộc tội Shakeeb Ahmed, một kỹ sư bảo mật cấp cao tại một công ty không xác định, vì tội rửa tiền liên quan đến việc tấn công khai thác một giao thức dự trên Solana vào tháng 7 năm 2022. Điều này đánh dấu lần đầu tiên chính phủ Hoa Kỳ đưa ra cáo buộc liên quan đến một cuộc tấn công hợp đồng thông minh vào một sàn giao dịch phi tập trung.

Ahmed bị cáo buộc đã khai thác các hợp đồng thông minh của một sàn giao dịch dựa trên Solana để thao túng dữ liệu giá của nền tảng và tạo ra 9 triệu đô la phí tăng cao. Ahmed được cho là đã sử dụng flash loan trong cuộc tấn công kết hợp với các kỹ năng của bản thân trong các hợp đồng thông minh kỹ thuật đảo ngược cũng như kiểm toán blockchain.

Sau khi rút số tiền bị đánh cắp dưới dạng tiền điện tử, Ahmed đã cố gắng thương lượng với sàn giao dịch nhằm trả lại tất cả trừ 1,5 triệu đô la số tiền bị đánh cắp miễn là sàn giao dịch không báo cáo vụ việc cho cơ quan thực thi pháp luật.

Các quan chức lưu ý rằng điều này đánh dấu vụ án hình sự đầu tiên liên quan đến một cuộc tấn công vào các hợp đồng thông minh của một sàn giao dịch phi tập trung.

Mặc dù SDNY không xác định được sàn giao dịch được nhắm mục tiêu, nhưng ngày, số tiền bị đánh cắp và đề cập đến Solana rất khớp với cuộc tấn công năm 2022 nhằm vào Crema Finance.

Bị cáo không thể che đậy dấu vết 

Các quan chức nói rằng Ahmed đã sử dụng nhiều phương pháp khác nhau để rửa các khoản phí bị đánh cắp và che giấu các giao dịch của mình. Anh ta được cho là đã thực hiện swap token, bắc cầu giao dịch giữa Solana và Ethereum, chuyển đổi tiền thành XMR và thực hiện giao dịch trên các sàn giao dịch tiền điện tử ở nước ngoài.

Luật sư Hoa Kỳ Damian Williams nói rằng Ahmed không thể che giấu hoạt động của mình hay qua mắt các cơ quan thực thi pháp luật, đồng thời các nhà chức trách có thể theo dõi chuyển động của tiền.

Ahmed hiện phải đối mặt với mức án tối đa có thể là 20 năm tù cho mỗi tội danh lừa đảo và rửa tiền. Như với tất cả các vụ án hình sự, Ahmed được coi là vô tội cho đến khi bị tòa án chứng minh là có tội.

Itadori

Theo Cryptoslate

Tối ngày 10/07, Arkham công bố thông tin sẽ airdrop token ARKM cho người ủng hộ dự án từ sớm.

Đối tượng được nhận airdrop là những người dùng Arkham đã giới thiệu người dùng mới tham gia sử dụng nền tảng trước hạn chót snapshot là ngày 8/7. Người dùng đủ điều kiện có thể truy cập website Arkham và nhập địa chỉ để kiểm tra số lượng điểm mời đã thu thập được.

Đợt airdrop sẽ diễn ra vào ngày 18/7 dựa trên số lượng điểm mời, trùng với thời điểm kết thúc sự kiện mở bán ARKM trên Binance Launchpad.

Arkham Intelligence cũng cảnh báo người dùng chỉ nên theo dõi những kênh truyền thông chính thức của dự án để tránh nguy cơ bị lừa đảo.

Tranh cãi về bảo mật email

Arkham đang vướng vào tranh cãi về bảo mật email người dùng.

Theo thông tin gây chú ý nhất ngày 10/7, nền tảng thống kê dữ liệu on-chain này thông báo sẽ phát hành token riêng và mở bán trên Binance Launchpad.

Hơn nữa, dự án sẽ airdrop token cho những người đã ủng hộ từ những ngày đầu thông qua hoạt động giới thiệu người dùng mới (refferal).

Token mới có tên ARKM sẽ có vai trò quản trị cho Arkham, cũng như trở thành tiền tệ và phương tiện trả thưởng cho Arkham Intel Exchange – một nền tảng cho phép người dùng đặt ra các yêu cầu mua bán thông tin on-chain.

Arkham chia sẻ lý do xây dựng thị trường mới trên là vì nhận thấy nhu cầu thu thập thông tin từ blockchain ngày càng lớn, cũng như việc ngày càng có nhiều người đạt đến trình độ sử dụng công cụ on-chain cao, thể hiện qua việc nền tảng Arkham Intelligence đến nay đã có hơn 200.000 người dùng toàn cầu.

Arkham tuyên bố muốn “phi ẩn danh hóa” ngành crypto, mở ra một tương lai tự quản lý cho thị trường này.

Ngay lập tức, đã có nhiều ý kiến chỉ trích hướng tiếp cận của Arkham, cho rằng việc tài chính hóa thông tin on-chain của người khác sẽ xâm phạm quyền riêng tư, trong khi dự án vẫn chưa chứng minh là có thể bảo vệ an toàn dữ liệu được thu thập.

Đến rạng sáng ngày 11/7, làn sóng phản đối Arkham càng dâng cao khi có người phát hiện dự án đã để lộ email của người gửi liên kết giới thiệu trên chính đường link điều hướng đến dự án.

Theo đó, liên kết này chỉ là một dạng mã hóa đơn giản, có tên Base64, cho email của người gửi lời mời gốc.

Người phát hiện ra thông tin trên là tài khoản Twitter m4gicpotato:

“Là một người ủng hộ quyền riêng tư một cách nghiêm túc, tôi cho rằng công cụ này xâm phạm quyền riêng tư của người sử dụng. Tôi cảm thấy rất bất ngờ khi Binance lại chọn mở bán token ARKM ngay sau khi ra quyết định hủy niêm yết nhiều đồng coin ẩn danh ở các nước EU.”

Một người dùng Twitter khác còn chỉ ra Arkham có thu thập thông tin người dùng, địa điểm truy cập, địa chỉ ví và hoạt động giao dịch – những thứ có thể đe dọa đến quyền riêng tư của người sử dụng.

Phản hồi về việc không giữ kín email người sử dụng trong liên kết giới thiệu, CEO Miguel Morel của Arkham cho biết việc sử dụng mã hóa Base64 là để có thể dễ dàng theo dõi những người sử dụng đời đầu để airdrop cho họ.

Ngoài ra, người được giới thiệu đến Arkham cũng sẽ biết được email của người mời họ nhằm đề phòng nguy cơ lừa đảo.

Morel thừa nhận phải thay đổi cơ chế trên khi số lượng người dùng Arkham tăng vọt, và từ giờ sẽ mã hóa kỹ càng email người gửi giới thiệu để ngăn nó bị truy ngược lại. 

Annie

Tạp chí Bitcoin

Mới đây xuất hiện báo cáo rằng giao thức Defi Arcadia Finance trở thành nạn nhân của một vụ tấn công khai thác. Một công ty bảo mật blockchain hàng đầu đã phát hiện các giao dịch giả mạo trên mạng, nhưng Arcadia vẫn chưa xác nhận.

Vào ngày 10 tháng 7, công ty bảo mật blockchain PeckShield đã báo cáo rằng một trong những cộng tác viên cộng đồng của họ đã phát hiện ra một lỗ hổng khai thác trên nền tảng cho vay margin Arcadia Finance.

Một vụ tấn công khai thác DeFi khác

Nền tảng này đã bị tấn công khai thác trên Ethereum và mạng layer 2 Optimism, thiệt hại khoảng 455.000 đô la, theo báo cáo.

Nó nói thêm rằng kẻ tấn công đã chuyển khoảng 179 ETH bằng cách bắc cầu 148 ETH và swap 59.000 USDC sang Tornado Cash.

Nguồn: Twitter

PeckShield nói thêm rằng phân tích của họ về vụ hack cho thấy tổn thất là “do thiếu xác thực đầu vào không đáng tin cậy, được tận dụng để rút tiền từ cả hai kho tiền darcWETH và darcUSDC.”

Ngoài ra, “thiếu bảo vệ reentrancy, cho phép thanh lý ngay lập tức để bỏ qua kiểm tra sức khỏe kho tiền nội bộ,” nó nói thêm.

Không có cảnh báo, cập nhật hoặc thông tin chi tiết nào khác trên tài khoản Twitter của Arcadia Finance.

Ngoài ra, DeFiLlama đã báo cáo sự sụt giảm mạnh trong TVL của Arcadia Finance vài giờ trước. Nó đã giảm 76% từ 605.000 đô la xuống còn 142.948 đô la vào thời điểm viết bài.

Nguồn: DeFiLlama

Annie

Theo Beincrypto