Lưu trữ cho từ khóa: #An ninh mạng

DeFi

Giao thức bảo mật Web3 này đã thu hồi được 800 nghìn đô la tiền của người dùng sau khi khai thác Vulcan Forged

Để lại phản hồi

Giao thức bảo mật Web3 này đã tạm dừng các giao dịch trực tuyến để thu hồi 800.000 đô la tiền của người dùng Vulcan Forged sau khi nền tảng chơi game Web3 bị vi phạm bảo mật.

Khi Web3 ngày càng lớn hơn, nó phải vật lộn để theo kịp các tác nhân độc hại nhắm mục tiêu vào tiền của người dùng trên các chuỗi khối và mạng khác nhau. Giao thức bảo mật này thực hiện phương pháp phòng ngừa chống lại các vụ hack và khai thác, đóng băng tài sản trước khi chúng bị đánh cắp.

Web3 được hưởng lợi từ việc trở thành hệ sinh thái kỹ thuật số đầu tiên cho sự đổi mới và tăng trưởng. Tuy nhiên, nó cũng mở ra cơ hội cho các tác nhân độc hại, bao gồm cả tin tặc và kẻ khai thác, trong lĩnh vực kỹ thuật số. Tiền điện tử và Web3 càng lớn thì chúng càng dễ bị hack và khai thác – khiến người dùng trở thành nạn nhân và gây thiệt hại hàng tỷ USD.

Từ nền tảng tài chính phi tập trung (DeFi) đến thị trường token không thể thay thế (NFT) , không ai có thể tuyên bố hoàn toàn bất khả xâm phạm trước các cuộc tấn công nhắm vào các nhà đầu tư, nhà giao dịch và quỹ được lưu trữ trên toàn ngành Web3. Việc khai thác DeFi cũng khiến thị trường tiền điện tử liên quan theo hướng tiêu cực, như đã thấy khi sàn giao dịch phi tập trung (DEX) KyperSwap chứng kiến tổng giá trị của nó bị khóa sau vụ khai thác 46 triệu đô la .

Một báo cáo của công ty bảo mật blockchain CertiK tiết lộ rằng bối cảnh DeFi đã thiệt hại 1 tỷ USD do các cuộc tấn công độc hại, bao gồm hack, khai thác và lừa đảo, chỉ trong 8 tháng đầu năm 2023. Các vụ vi phạm lớn như vụ xảy ra trên cầu Ethereum của Multichain , dẫn đến thiệt hại hơn 100 triệu USD, hiện đang phổ biến trong không gian.

Bất chấp lời hứa về các biện pháp bảo mật tốt hơn, các nền tảng tập trung cũng không có khả năng chống hack. Các sàn giao dịch tiền điện tử như HTX và Poloniex cũng gặp rắc rối khi bị hack lần lượt 30 triệu USD100 triệu USD . Nhìn chung, hệ sinh thái Web3 cần được bảo vệ tốt hơn khi nó tiếp tục phát triển nhanh chóng.

Khai thác nền tảng chơi game Web3 bị ngăn chặn

Khi nói đến việc ngăn chặn việc khai thác Web3, Lossless Protocol có thành tích ấn tượng, gần đây nhất là đã thu hồi được số tiền trị giá 800.000 USD bị đánh cắp từ người dùng nền tảng chơi game Web3 Vulcan Forged . Sau khi khởi chạy lại mã thông báo PYR gốc có tích hợp Giao thức lossless , nền tảng Vulcan Forged đã gặp phải một cuộc tấn công khai thác tích hợp ví của bên thứ ba đã lỗi thời.

Nhóm Vulcan Forged đã liên hệ với Lossless ngay sau khi có báo cáo về việc ví bị rút khỏi token LAVA, sau đó được giao dịch lấy PYR. Vì Giao thức không mất dữ liệu bảo vệ mã thông báo PYR của chính nền tảng nên các giao dịch độc hại đã bị đóng băng và 119.000 mã thông báo PYR đã được truy xuất.

Bên cạnh sự cố Vulcan Forged, Giao thức lossless đóng một vai trò quan trọng trong việc lấy lại tiền của người dùng sau một số vụ khai thác Web3 lớn trong những năm gần đây. Nó đã thu hồi được số token AAG trị giá 1,2 triệu đô la sau cuộc tấn công trị giá 100 triệu đô la vào năm 2022 vào Horizon Bridge của Harmony . Giao thức này cũng đã giúp thu hồi 16,7 triệu USD từ những kẻ khai thác Cream Finance.

Lossless gần đây đã giới thiệu một hệ thống giám sát hợp đồng thông minh được hỗ trợ bởi AI có tên Aegis . Không yêu cầu bất kỳ cấu hình nào, Aegis quét các giao dịch khối được khai thác bằng phân tích dự đoán. Công cụ bảo mật Web3 xác định các mẫu giao dịch và địa chỉ đáng ngờ để cảnh báo các nhóm dự án về các mối đe dọa tiềm ẩn trước khi chúng bị khai thác.

Bảo vệ Web3 bằng phân tích dự đoán

Giao thức bảo mật Web3 Lossless giới thiệu một cách tiếp cận mới để bảo vệ tiền của người dùng. Thay vì cố gắng lấy lại tiền sau khi việc khai thác đã xảy ra, Giao thức Lossless sử dụng các cơ chế phòng ngừa, chẳng hạn như chủ động giảm thiểu việc khai thác, để giữ an toàn cho các giao dịch.

Nguồn: Giao thức lossless

Với Aegis, một công cụ giám sát bảo mật của Lossless, các nhóm dự án có thêm một lớp bảo mật cho phép giám sát liên tục các hoạt động. Giao thức kiểm tra các hoạt động đáng ngờ trên Web3 bằng cả phương pháp thủ công và tự động do cộng đồng điều khiển, đóng băng mọi giao dịch được gắn cờ ngay tại chỗ cho đến khi hoàn tất điều tra kỹ lưỡng hơn. Khi cộng đồng gắn cờ một giao dịch đáng ngờ, giao dịch đó sẽ bị đóng băng và có khả năng được hoàn nguyên dựa trên kết quả của một cuộc điều tra độc lập.

Khi không gian Web3 phát triển và trưởng thành, nó cần các giải pháp sáng tạo để bảo vệ người dùng, nền tảng và tiền. Lossless sử dụng các công nghệ mới nhất, bao gồm phân tích dự đoán và AI, để ngăn chặn tổn thất trước khi chúng xảy ra. DeFi rõ ràng đang gặp khó khăn trong việc giữ an toàn cho tiền của người dùng và cách tiếp cận của Giao thức lossless có thể là chìa khóa để biến nó thành một môi trường an toàn và thân thiện với người dùng.

Tìm hiểu thêm về Giao thức lossless tại đây

Tuyên bố từ chối trách nhiệm. Cointelegraph không xác nhận bất kỳ nội dung hoặc sản phẩm nào trên trang này. Mặc dù chúng tôi mong muốn cung cấp cho bạn tất cả thông tin quan trọng mà chúng tôi có thể có được trong bài viết được tài trợ này, nhưng độc giả nên tự nghiên cứu trước khi thực hiện bất kỳ hành động nào liên quan đến công ty và chịu hoàn toàn trách nhiệm về quyết định của mình, bài viết này cũng không thể được coi là lời khuyên đầu tư .

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Công nghệ

Chuyên gia bảo mật cho biết kiểm tra bảo mật 'không đủ' vì tổn thất lên tới 1,5 tỷ USD vào năm 2023

Để lại phản hồi

Người đồng sáng lập CertiK, Ronghui Gu nói với Cointelegraph rằng “không thể chấp nhận được” khi ngành công nghiệp tiền điện tử phải đối mặt với những thất bại liên tục trong hoạt động hoán đổi SIM và đa chữ ký, vì các sự cố trước đó đã nêu bật vấn đề.

Khi các công ty tiếp tục rơi vào tình trạng bị hack và khai thác, các chuyên gia làm việc trong lĩnh vực an ninh mạng đã nghiên cứu những gì có thể cải thiện về mặt bảo mật tiền điện tử cho các công ty tài sản kỹ thuật số và ngành công nghiệp tiền điện tử nói chung.

Trước tháng 9, gần 1 tỷ đô la đã bị mất do các vụ hack, khai thác và lừa đảo tiền điện tử vào năm 2023. Tuy nhiên, nhiều sự cố tiếp tục làm rung chuyển thế giới tiền điện tử trong quý 4 năm 2023, chẳng hạn như vụ khai thác Poloniex, với hơn100 triệu đô la tài sản kỹ thuật số tổn thất và vụ hack cầu HECO Chain, với thiệt hại hơn 80 triệu USD .

Với số lượng sự cố bảo mật xảy ra trong không gian và giá trị bị mất do mỗi vụ hack hoặc khai thác, không thể phủ nhận rằng có những lỗ hổng cần được lấp đầy về mặt bảo mật tài sản kỹ thuật số trong không gian tiền điện tử. Vì điều này, Cointelegraph đã liên hệ với các chuyên gia an ninh mạng để xem họ nghĩ có thể làm gì để ngăn chặn các sự cố tiếp theo và thắt chặt an ninh trong tiền điện tử.

Những sự cố tiếp diễn là “không thể chấp nhận”

Ronghui Gu, người đồng sáng lập công ty bảo mật blockchain CertiK, nói với Cointelegraph trong một tuyên bố rằng việc tiếp tục xảy ra các sự cố do lỗi hoán đổi SIM và đa chữ ký gây ra sau các sự cố đã cho thấy vấn đề bảo mật này. Theo Gu, các công ty nên áp dụng xác thực đa yếu tố gốc tiền điện tử và tiến hành kiểm tra bảo mật thường xuyên. Anh ấy nói:

“Chúng tôi đang xây dựng công nghệ có tính ứng dụng cao, độ phức tạp cao và điều quan trọng là phải đặt vấn đề bảo mật lên hàng đầu, ngay cả khi thường có những động lực lớn để xây dựng nhanh chóng và phá vỡ mọi thứ.”

Christian Seifert, nhà nghiên cứu thường trú tại Forta Network, cũng đồng ý rằng bảo mật cần phải được ưu tiên hàng đầu. Seifert, người trước đây từng giữ chức vụ lãnh đạo bảo mật tại Microsoft, nói rằng người dùng cần yêu cầu bảo mật và nếu điều này không xảy ra, các cơ quan quản lý cần phải vào cuộc. Chuyên gia bảo mật cho biết bằng cách này, các dự án tiền điện tử sẽ áp dụng bảo mật toàn diện hơn chiến lược.

Hơn nữa, Seifert cũng lập luận rằng mặc dù việc kiểm tra bảo mật có hiệu quả nhưng những điều này “là chưa đủ”. Ông nói thêm: “Người ta cần một chiến lược bảo mật toàn diện bắt đầu bằng thiết kế an toàn và chuyển sang các giải pháp giám sát và ngăn chặn mối đe dọa”.

Jerry Peng, nhà phân tích nghiên cứu tại công ty phân tích Web3 0xScope, nói với Cointelegraph trong một tuyên bố rằng cần phải hiểu rõ hơn về vị trí và cách thức các mối đe dọa bảo mật có thể xuất hiện. Bằng cách này, các công ty và cá nhân có thể phát hiện các mẫu và kết nối được hiển thị theo các địa chỉ liên quan đến các cuộc tấn công trước đó. Peng giải thích: “Đây là nơi các dịch vụ phân tích dữ liệu tiền điện tử có thể giúp các nhà điều tra ngăn chặn vụ hack tiềm năng tiếp theo”.

Hacks cản trở việc áp dụng tiền điện tử như thế nào

Gu nói với Cointelegraph rằng dựa trên dữ liệu do CertiK tổng hợp, chỉ riêng các vụ hack vào năm 2023 đã khiến không gian này thiệt hại 1,5 tỷ USD tính đến ngày 28 tháng 11. Giám đốc điều hành tin rằng những sự cố tiếp tục gây tai họa cho không gian này cũng có ảnh hưởng lớn đến việc áp dụng tiền điện tử. Gu nói thêm: “Những vụ hack và khai thác này tác động đáng kể đến việc áp dụng tiền điện tử bằng cách làm suy yếu niềm tin của công chúng vào tính bảo mật và tính ổn định của tài sản kỹ thuật số”.

Seifert cũng bày tỏ tình cảm tương tự. Nhà nghiên cứu bảo mật lưu ý rằng mặc dù những người áp dụng công nghệ này sớm chấp nhận rằng có những rủi ro, nhưng điều này sẽ không còn được chấp nhận đối với cơ sở người dùng rộng hơn mà không gian tiền điện tử đang cố gắng thu hút. Seifert giải thích:

“Hãy tưởng tượng bạn mất tất cả tiền tiết kiệm vì chi nhánh ngân hàng của bạn bị đột nhập chỉ sau một đêm. Bạn sẽ không giao dịch ngân hàng ở đó.”

Peng cũng tin rằng các vụ hack sẽ cản trở sự tăng trưởng tiềm năng của thị trường. Theo Peng, những điều này có thể khiến những người trước đây muốn khám phá không gian Web3 sợ hãi.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Tin tức

Fireblocks ra mắt hệ thống giao dịch để giảm thiểu rủi ro sàn giao dịch tập trung

Để lại phản hồi

Hệ thống giao dịch “Off Exchange” được Fireblocks đưa ra, cho phép các tổ chức giao dịch mà không cần từ bỏ hoàn toàn quyền giám hộ.

Theo thông báo ngày 28 tháng 11, nhà cung cấp ví điện toán đa bên (MPC) Fireblocks đã phát hành một hệ thống giao dịch mới cho các tổ chức sử dụng sàn giao dịch tập trung. Được gọi là “Off Exchange”, hệ thống mới cho phép các nhà giao dịch tổ chức trao đổi token mà không cần gửi chúng lên sàn giao dịch trước. Fireblocks tuyên bố hệ thống này sẽ giúp loại bỏ rủi ro đối tác trên các sàn giao dịch tập trung và ngăn chặn sự sụp đổ giống như FTX trong tương lai.

Trong cuộc trò chuyện với Cointelegraph, đồng sáng lập và Giám đốc điều hành Fireblocks Michael Shaulov đã giải thích cách hoạt động của Off Exchange. Ông cho biết nó cho phép các công ty thương mại gửi tài sản vào ví MPC “được chia sẻ” hoặc “được khóa liên động”, có khóa riêng bao gồm ba phân đoạn. Phân đoạn đầu tiên được nắm giữ bởi công ty giao dịch, phân đoạn thứ hai do sàn giao dịch nắm giữ và phân đoạn thứ ba được “kích hoạt bởi một nhà tiên tri”. Để giao dịch trong ví này được xác nhận, hai trong số ba phân đoạn phải được sử dụng để ký giao dịch. Điều này có nghĩa là cả người giao dịch và sàn giao dịch đều không thể đơn phương rút tài sản.

Trong hầu hết các trường hợp, giao dịch được xác nhận khi sàn giao dịch và nhà giao dịch ký giao dịch, Shaulov giải thích. Nhưng nếu người giao dịch hoặc sàn giao dịch không phản hồi trong một khoảng thời gian, nhà tiên tri bên thứ ba có thể cung cấp chữ ký thứ hai trong một số điều kiện nhất định. Shaulov nói: “Ví dụ: một trong những điều kiện là nếu sàn giao dịch bị hack và không phản hồi trong một khoảng thời gian nhất định thì về cơ bản, người giao dịch có thể lấy lại tiền gốc mà không cần sự chấp thuận của sàn giao dịch”.

Theo thông báo, Off Exchange đã được triển khai bởi các công ty thương mại tổ chức QCP Capital, BlockTech và Zerocap, những công ty đang sử dụng nó để giao dịch trên sàn giao dịch tập trung Deribit. Trong những tháng tới, nhóm có kế hoạch triển khai hỗ trợ cho các sàn giao dịch khác, bao gồm HTX, Bybit, Gate.io, WhiteBIT, BIT, OneTrading, Coinhako và Bitget. Shaulov xác nhận với Cointelegraph rằng Off Exchange hiện chỉ khả dụng cho các tổ chức.

Các sàn giao dịch tiền điện tử tập trung đã gặp khó khăn bởi các vấn đề về rủi ro đối tác trong suốt lịch sử của họ. Vào năm 2014, người dùng đã mất hơn 473 triệu USD trên Mt. Gox khi tiền gửi họ gửi vào sàn giao dịch bị đánh cắp thông qua một hoạt động khai thác an ninh mạng. Năm 2018, sàn giao dịch tiền điện tử Quadriga của Canada đã đóng cửa mà không trả lại tiền cho người dùng, dẫn đến tổn thất hơn 169 triệu USD cho người dùng. Sàn giao dịch này sau đó đã bị các cơ quan quản lý cáo buộc là một kế hoạch Ponzi . Vào năm 2021, các nhà đầu tư đã mất khoảng 8 tỷ USD khi sàn giao dịch tiền điện tử FTX ngừng xử lý việc rút tiền . Sàn giao dịch hiện đang trải qua giai đoạn phá sản và Giám đốc điều hành của nó đã bị kết tội lừa đảo .

Trong thông báo của mình, Fireblocks tuyên bố rằng Off Exchange sẽ giúp ngăn chặn những sự cố như thế này, điều mà họ cho biết “xuất phát từ cấu trúc độc đáo của thị trường giao dịch tiền điện tử, nơi các sàn giao dịch đóng vai trò vừa là người giám sát vừa là địa điểm giao dịch”. Vấn đề này sẽ được tránh bằng cách “khóa tiền trong ví chia sẻ an toàn dựa trên MPC”, nó tuyên bố.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Công nghệ

Hoa Kỳ, Anh và các quốc gia khác ký kết hướng dẫn AI 'an toàn theo thiết kế'

Để lại phản hồi

Các hướng dẫn đề xuất các biện pháp thực hành an ninh mạng mà các công ty AI nên thực hiện khi thiết kế, phát triển, triển khai và giám sát các mô hình AI.

Hoa Kỳ, Vương quốc Anh, Úc và 15 quốc gia khác đã đưa ra các hướng dẫn toàn cầu nhằm giúp bảo vệ các mô hình AI khỏi bị giả mạo, đồng thời kêu gọi các công ty làm cho mô hình của họ “an toàn theo thiết kế”.

Vào ngày 26 tháng 11, 18 quốc gia đã phát hành một tài liệu dài 20 trang nêu rõ cách các công ty AI nên xử lý an ninh mạng của họ khi phát triển hoặc sử dụng các mô hình AI, vì họ tuyên bố “bảo mật thường có thể là yếu tố cần cân nhắc thứ yếu” trong ngành có nhịp độ phát triển nhanh.

Các hướng dẫn này hầu hết bao gồm các khuyến nghị chung như duy trì sự kiểm soát chặt chẽ đối với cơ sở hạ tầng của mô hình AI, giám sát mọi hành vi giả mạo đối với các mô hình trước và sau khi phát hành cũng như đào tạo nhân viên về các rủi ro an ninh mạng.

Không được đề cập đến một số vấn đề gây tranh cãi nhất định trong không gian AI, bao gồm cả những biện pháp kiểm soát có thể có xung quanh việc sử dụng mô hình tạo hình ảnh và các phương pháp giả mạo hoặc thu thập dữ liệu sâu cũng như sử dụng trong các mô hình đào tạo – một vấn đề đã khiến nhiều công ty AI bị kiện vì vi phạm bản quyền yêu sách.

Bộ trưởng An ninh Nội địa Hoa Kỳ Alejandro Mayorkas cho biết trong một tuyên bố: “Chúng ta đang ở thời điểm bước ngoặt trong quá trình phát triển trí tuệ nhân tạo, đây có thể là công nghệ có ảnh hưởng lớn nhất trong thời đại chúng ta”. “An ninh mạng là chìa khóa để xây dựng các hệ thống AI an toàn, bảo mật và đáng tin cậy”.

Các hướng dẫn này tuân theo các sáng kiến khác của chính phủ liên quan đến AI, bao gồm cả chính phủ và các công ty AI họp tại Hội nghị thượng đỉnh về an toàn AI ở London vào đầu tháng này để điều phối một thỏa thuận về phát triển AI.

Trong khi đó, Liên minh Châu Âu đang công bố chi tiết về Đạo luật AI sẽ giám sát không gian và Tổng thống Hoa Kỳ Joe Biden đã ban hành lệnh hành pháp vào tháng 10 nhằm đặt ra các tiêu chuẩn về an toàn và bảo mật AI – mặc dù cả hai đều nhận thấy sự phản đối từ ngành AI khi tuyên bố rằng họ có thể kìm hãm sự đổi mới.

Các nước đồng ký kết hướng dẫn “an toàn theo thiết kế” mới bao gồm Canada, Pháp, Đức, Israel, Ý, Nhật Bản, New Zealand, Nigeria, Na Uy, Hàn Quốc và Singapore. Các công ty AI, bao gồm OpenAI, Microsoft, Google, Anthropic và Scal AI, cũng góp phần phát triển các hướng dẫn.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

DeFi

Mạng Blast đạt 400 triệu USD TVL, bác bỏ tuyên bố rằng nó quá tập trung

Để lại phản hồi

Nhóm Blast đã phản hồi lại những tuyên bố rằng chức năng nâng cấp đa chữ ký khiến nó trở nên quá tập trung.

Theo dữ liệu từ nền tảng phân tích blockchain DeBank, giao thức Web3 Mạng Blast đã kiếm được hơn 400 triệu USD tổng giá trị bị khóa (TVL) trong 4 ngày kể từ khi ra mắt. Nhưng trong một chủ đề truyền thông xã hội ngày 23 tháng 11, kỹ sư quan hệ nhà phát triển Polygon Labs, Jarrod Watts đã tuyên bố rằng mạng mới gây ra rủi ro bảo mật đáng kể do tính tập trung hóa.

Nhóm Blast đã phản hồi những lời chỉ trích từ tài khoản X (trước đây là Twitter) của chính họ, nhưng không đề cập trực tiếp đến chủ đề của Watts. Trong chủ đề riêng của mình, Blast tuyên bố rằng mạng này được phân cấp như các lớp 2 khác, bao gồm Optimism, Arbitrum và Polygon.

Mạng Blast tuyên bố là “Ethereum L2 duy nhất có lợi nhuận gốc cho ETH và stablecoin,” theo tài liệu tiếp thị từ trang web chính thức của nó. Trang web cũng tuyên bố rằng Blast cho phép số dư của người dùng được “tự động gộp” và các stablecoin được gửi tới nó sẽ được chuyển đổi thành “USDB”, một loại stablecoin tự động gộp thông qua giao thức T-Bill của MakerDAO. Nhóm Blast chưa phát hành các tài liệu kỹ thuật giải thích cách thức hoạt động của giao thức nhưng cho biết chúng sẽ được xuất bản khi đợt airdrop diễn ra vào tháng 1.

Vụ nổ được phát hành vào ngày 20 tháng 11. Trong bốn ngày qua, TVL của giao thức đã tăng từ 0 lên hơn 400 triệu USD.

Bài đăng ban đầu của Watts cho biết Blast có thể kém an toàn hoặc phi tập trung hơn những gì người dùng nhận ra, đồng thời tuyên bố rằng Blast “chỉ là một đa chữ kí 3/5”. Ông cáo buộc rằng nếu kẻ tấn công giành quyền kiểm soát ba trong số năm khóa của thành viên nhóm, họ có thể đánh cắp tất cả tiền điện tử được gửi vào hợp đồng của mình.

Theo Watts, các hợp đồng Blast có thể được nâng cấp thông qua tài khoản ví đa chữ ký Safe (trước đây là Gnosis Safe). Tài khoản yêu cầu ba trong số năm chữ ký để ủy quyền cho bất kỳ giao dịch nào. Nhưng nếu khóa riêng tạo ra những chữ ký này bị xâm phạm, hợp đồng có thể được nâng cấp để tạo ra bất kỳ mã nào mà kẻ tấn công mong muốn. Điều này có nghĩa là kẻ tấn công thực hiện được điều này có thể chuyển toàn bộ TVL trị giá 400 triệu USD vào tài khoản của chính chúng.

Ngoài ra, Watts còn tuyên bố rằng Blast “không phải là lớp 2”, mặc dù nhóm phát triển của nó đã tuyên bố như vậy. Thay vào đó, Blast chỉ đơn giản là “[a]chấp tiền từ người dùng” và “[s]đưa tiền của người dùng vào các giao thức như LIDO,” mà không có cầu nối hoặc mạng thử nghiệm thực tế nào được sử dụng để thực hiện các giao dịch này. Hơn nữa, nó không có chức năng rút tiền. Để có thể rút tiền trong tương lai, người dùng phải tin tưởng rằng các nhà phát triển sẽ triển khai chức năng rút tiền vào một thời điểm nào đó trong tương lai, Watts tuyên bố.

Ngoài ra, Watts tuyên bố rằng Blast chứa chức năng “enableTransition” có thể được sử dụng để đặt bất kỳ hợp đồng thông minh nào làm “mainnetBridge”, có nghĩa là kẻ tấn công có thể đánh cắp toàn bộ tiền của người dùng mà không cần nâng cấp hợp đồng.

Bất chấp những vectơ tấn công này, Watts khẳng định rằng anh không tin Blast sẽ mất tiền. “Cá nhân tôi, nếu phải đoán, tôi không nghĩ tiền sẽ bị đánh cắp”, ông nói, nhưng cũng cảnh báo rằng “Cá nhân tôi nghĩ việc gửi tiền Blast trong tình trạng hiện tại là rất rủi ro”.

Trong một chủ đề từ tài khoản X của chính mình, nhóm Blast đã tuyên bố rằng giao thức của họ cũng an toàn như các lớp 2 khác. Nhóm khẳng định: “Bảo mật tồn tại trên một phạm vi rộng (không có gì an toàn 100%)” và nó có nhiều sắc thái khác nhau. Có vẻ như hợp đồng không thể nâng cấp sẽ an toàn hơn hợp đồng có thể nâng cấp, nhưng quan điểm này có thể bị nhầm lẫn. Nếu một hợp đồng không thể nâng cấp được nhưng có lỗi, thì “bạn đã chết trong nước”, chủ đề này nêu rõ.

Liên quan: Cuộc tranh luận về Uniswap DAO cho thấy các nhà phát triển vẫn đang gặp khó khăn trong việc đảm bảo các cầu nối chuỗi chéo

Nhóm Blast tuyên bố giao thức sử dụng các hợp đồng có thể nâng cấp vì lý do này. Tuy nhiên, chìa khóa của tài khoản An toàn là “trong kho lạnh, được quản lý bởi một bên độc lập và tách biệt về mặt địa lý”. Theo quan điểm của nhóm, đây là một phương tiện “có hiệu quả cao” để bảo vệ tiền của người dùng, đó là “tại sao các L2 như Arbitrum, Optimism, Polygon” cũng sử dụng phương pháp này.

Blast không phải là giao thức duy nhất bị chỉ trích vì có hợp đồng có thể nâng cấp. Vào tháng 1, người sáng lập Summa, James Prestwich, đã lập luận rằng cầu Stargate cũng gặp vấn đề tương tự . Vào tháng 12 năm 2022, giao thức Ankr đã bị khai thác khi hợp đồng thông minh của nó được nâng cấp để cho phép tạo ra 20 nghìn tỷ BNB (aBNBc) Phần thưởng Ankr được tạo ra một cách bất ngờ . Trong trường hợp của Ankr, việc nâng cấp được thực hiện bởi một nhân viên cũ đã đột nhập vào cơ sở dữ liệu của nhà phát triển để lấy khóa triển khai.

Theo Cointelegraph

DeFi

Kẻ tấn công KyberSwap đã sử dụng ‘trục trặc tiền vô hạn’, Cơ quan thuế của Úc sẽ không làm rõ các quy tắc DeFi: Tài chính được xác định lại

Để lại phản hồi

Cơ quan quản lý thuế của Úc không làm rõ liệu các nhà đầu tư có phải nộp thuế đối với việc đặt cọc thanh khoản hay chuyển sang cầu lớp 2 hay không.

Chào mừng bạn đến với Tài chính được xác định lại, nguồn thông tin chi tiết cần thiết về tài chính phi tập trung (DeFi) hàng tuần của bạn – một bản tin được tạo ra để mang đến cho bạn những phát triển quan trọng nhất trong tuần qua.

Kẻ tấn công đã đánh cắp 46 triệu đô la từ giao thức KyberSwap đã sử dụng một chiến lược phức tạp được chuyên gia DeFi mô tả là “trục trặc tiền vô hạn”. Với cách khai thác này, những kẻ tấn công đã lừa hợp đồng thông minh của nền tảng tin rằng nó có sẵn nhiều thanh khoản hơn thực tế.

Cơ quan quản lý thuế của Úc đã không làm rõ các quy tắc của mình đối với DeFi mặc dù Cointelegraph đã tìm kiếm câu trả lời. Cơ quan quản lý không thể trả lời liệu thuế lãi vốn có áp dụng cho việc đặt cọc thanh khoản và chuyển tài sản sang cầu lớp 2 hay không.

Hệ sinh thái DeFi đã phát triển mạnh mẽ trong tuần qua nhờ đà tăng giá liên tục của thị trường, với hầu hết các token giao dịch trong sắc xanh trên biểu đồ hàng tuần.

Kẻ tấn công KyberSwap đã sử dụng “trục trặc tiền vô hạn” để rút tiền – chuyên gia DeFi

Chuyên gia DeFi Doug Colkitt đã đưa ra một chủ đề trên X (trước đây là Twitter), mô tả cách khai thác hợp đồng thông minh do kẻ tấn công KyberSwap thiết kế, kẻ đã rút 46 triệu USD khỏi giao thức.

Colkitt mô tả cách khai thác này là một “trục trặc tiền vô hạn”, trong đó tin tặc đánh lừa hợp đồng thông minh để tin rằng KyberSwap có nhiều thanh khoản hơn thực tế. Colkitt cũng nhấn mạnh rằng đây là hợp đồng thông minh “phức tạp nhất” mà anh từng thấy.

Tiếp tục đọc

Cơ quan thuế của Úc sẽ không làm rõ các quy định về tiền điện tử khó hiểu, “hung hăng”

Vào ngày 9 tháng 11, Văn phòng Thuế Úc (ATO) đã ban hành hướng dẫn mới về DeFi. Tuy nhiên, cơ quan quản lý không làm rõ liệu thuế lãi vốn có áp dụng cho các tính năng DeFi khác nhau hay không, chẳng hạn như đặt cọc thanh khoản và gửi tiền đến cầu nối lớp 2.

Cointelegraph đã liên hệ với ATO để làm rõ các quy tắc mới. Tuy nhiên, người phát ngôn của ATO cho biết hậu quả về thuế của một giao dịch “sẽ phụ thuộc vào các bước được thực hiện trên nền tảng hoặc hợp đồng cũng như các sự kiện và hoàn cảnh xung quanh có liên quan của người nộp thuế sở hữu tài sản tiền điện tử”.

Nếu không có câu trả lời, các nhà đầu tư có thể không thể tuân thủ những hậu quả có thể xảy ra do hướng dẫn không rõ ràng.

Tiếp tục đọc

Người sáng lập DYdX đổ lỗi cho các thành phần trung tâm của v3 gây ra “cuộc tấn công có chủ đích”, liên quan đến FBI

Antonio Juliano, người sáng lập giao thức DeFi dYdX, đã tiếp tục X để chia sẻ những phát hiện của cuộc điều tra về quỹ bảo hiểm trị giá 9 triệu đô la trong nền tảng này. Juliano cho biết chuỗi khối dYdX không bị xâm phạm và lưu ý rằng các yêu cầu bảo hiểm đã xảy ra trên chuỗi v3. Quỹ đang được sử dụng để lấp đầy những khoảng trống trong quy trình thanh lý Yearn.finance.

Người sáng lập dYdX cũng bày tỏ rằng thay vì thương lượng với những kẻ khai thác, giao thức sẽ đưa ra tiền thưởng cho những người hữu ích nhất trong cuộc điều tra. Juliano viết: “Chúng tôi sẽ không trả tiền thưởng hoặc thương lượng với kẻ tấn công.

Tiếp tục đọc

Tổng quan về thị trường DeFi

Dữ liệu từ Cointelegraph Markets Pro và TradingView cho thấy 100 token hàng đầu của DeFi theo vốn hóa thị trường đã có một tuần tăng giá, với hầu hết các token giao dịch trong sắc xanh trên biểu đồ hàng tuần. Tổng giá trị bị khóa trong các giao thức DeFi vẫn ở mức trên 47 tỷ USD.

Cảm ơn bạn đã đọc bản tóm tắt của chúng tôi về những phát triển DeFi có ảnh hưởng nhất trong tuần này. Hãy tham gia cùng chúng tôi vào thứ Sáu tới để có thêm câu chuyện, thông tin chi tiết và kiến thức về không gian đang phát triển năng động này.

Theo Cointelegraph

DeFi

Kẻ tấn công KyberSwap đã sử dụng 'trục trặc tiền vô hạn' để rút tiền: Chuyên gia DeFi

Để lại phản hồi

Bằng cách khai thác một lỗi, kẻ tấn công đã khiến tính thanh khoản bị “tính gấp đôi”, cho phép họ nhận được mức giá không công bằng cho một giao dịch hoán đổi.

Theo một chủ đề trên mạng xã hội của người sáng lập sàn giao dịch Ambient, Doug Colkitt, kẻ tấn công đã rút 46 triệu USD từ KyberSwap đã dựa vào “khai thác hợp đồng thông minh được thiết kế phức tạp và cẩn thận” để thực hiện cuộc tấn công.

Colkitt đã dán nhãn việc khai thác là “trục trặc về tiền vô hạn”. Theo ông, kẻ tấn công đã lợi dụng cách triển khai độc đáo tính năng thanh khoản tập trung của KyberSwap để “lừa” hợp đồng tin rằng nó có tính thanh khoản cao hơn thực tế.

Hầu hết các sàn giao dịch phi tập trung (DEX) đều cung cấp tính năng “thanh khoản tập trung”, cho phép các nhà cung cấp thanh khoản đặt mức giá tối thiểu và tối đa mà họ sẽ đưa ra để mua hoặc bán tiền điện tử. Theo Colkitt, tính năng này đã được kẻ tấn công KyberSwap sử dụng để rút tiền. Tuy nhiên, việc khai thác “dành riêng cho việc triển khai thanh khoản tập trung của Kyber và có thể sẽ không hoạt động trên các DEX khác,” ông nói.

Colkitt cho biết, cuộc tấn công KyberSwap bao gồm một số cách khai thác nhằm vào các nhóm riêng lẻ, với mỗi cuộc tấn công gần như giống hệt nhau. Để minh họa cách thức hoạt động, Colkitt đã xem xét việc khai thác nhóm ETH/wstETH trên Ethereum. Nhóm này chứa Ether ( ETH ) và Lido Wrapped Staked Ether (wstETH).

Kẻ tấn công bắt đầu bằng cách vay 10.000 wstETH (trị giá 23 triệu USD vào thời điểm đó) từ nền tảng cho vay nhanh Aave, như được hiển thị trong dữ liệu blockchain. Theo Colkitt, kẻ tấn công sau đó đã đổ số token này trị giá 6,7 triệu USD vào pool, khiến giá của nó giảm xuống 0,0000152 ETH trên 1 wstETH. Ở mức giá này, không có nhà cung cấp thanh khoản nào sẵn sàng mua hoặc bán, vì vậy thanh khoản lẽ ra phải bằng 0.

Kẻ tấn công sau đó đã gửi 3,4 wstETH và đề nghị mua hoặc bán trong khoảng giá từ 0,0000146 đến 0,0000153, rút 0,56 wstETH ngay sau khi gửi tiền. Colkitt suy đoán rằng kẻ tấn công có thể đã rút 0,56 wstETH để “thực hiện các phép tính số tiếp theo một cách hoàn hảo”.

Sau khi thực hiện việc gửi và rút tiền này, kẻ tấn công thực hiện lần hoán đổi thứ hai và thứ ba. Lần hoán đổi thứ hai đã đẩy giá lên 0,0157 ETH, điều này đáng lẽ phải làm mất tính thanh khoản của kẻ tấn công. Lần hoán đổi thứ ba đã đẩy giá trở lại mức 0,00001637. Mức giá này cũng nằm ngoài phạm vi giá do ngưỡng thanh khoản của chính kẻ tấn công đặt ra, vì hiện tại nó đã cao hơn mức giá tối đa của chúng.

Về mặt lý thuyết, hai giao dịch hoán đổi cuối cùng sẽ không đạt được kết quả gì vì kẻ tấn công đang mua và bán bằng thanh khoản của chính họ, vì mọi người dùng khác đều có mức giá tối thiểu được đặt thấp hơn nhiều so với các giá trị này. “Trong trường hợp không có lỗi số, ai đó thực hiện việc này sẽ chỉ giao dịch qua lại bằng thanh khoản của chính họ,” Colkitt tuyên bố và nói thêm, “và tất cả các dòng tiền sẽ bằng 0 (trừ phí).”

Tuy nhiên, do tính đặc thù của phép tính số học được sử dụng để tính toán giới hạn trên và giới hạn dưới của phạm vi giá, giao thức đã không thể loại bỏ tính thanh khoản ở một trong hai lần hoán đổi đầu tiên mà còn thêm lại nó trong lần hoán đổi cuối cùng. Kết quả là nhóm đã “đếm gấp đôi tính thanh khoản từ vị trí LP ban đầu”, cho phép kẻ tấn công nhận được 3.911 wstETH với số lượng ETH tối thiểu. Mặc dù kẻ tấn công phải bán 1.052 wstETH trong lần hoán đổi đầu tiên để thực hiện cuộc tấn công, nhưng điều đó vẫn giúp chúng kiếm được 2.859 wstETH (6,7 triệu USD theo giá ngày hôm nay) sau khi trả lại khoản vay ngắn hạn của mình.

Kẻ tấn công rõ ràng đã lặp lại hành vi khai thác này đối với các nhóm KyberSwap khác trên nhiều mạng, cuối cùng đã cướp được tổng cộng 46 triệu đô la tiền điện tử.

Liên quan: Sàn Exchange mất 13,6 triệu USD do hack ví nóng: Báo cáo

Theo Colkitt, KyberSwap chứa một cơ chế an toàn trong hàm tínhSwapStep nhằm ngăn chặn việc khai thác này. Tuy nhiên, kẻ tấn công đã cố gắng giữ các giá trị số được sử dụng trong trao đổi ngay bên ngoài phạm vi có thể khiến kích hoạt tính năng an toàn dự phòng, như Colkitt đã nêu:

“[T]he ‘số lượng tiếp cận’ là giới hạn trên để đạt đến ranh giới đánh dấu được tính là …22080000, trong khi kẻ khai thác đặt số lượng hoán đổi là …220799999[.] Điều đó cho thấy việc khai thác này được thiết kế cẩn thận đến mức nào . Việc kiểm tra không thành công <0,00000000001%.”

Colkitt gọi cuộc tấn công này là “cách khai thác hợp đồng thông minh phức tạp và được thiết kế cẩn thận nhất mà tôi từng thấy”.

Như Cointelegraph đã đưa tin, KyberSwap đã bị khai thác với giá 46 triệu USD vào ngày 22 tháng 11. Nhóm đã phát hiện ra lỗ hổng vào ngày 17 tháng 4, nhưng không có khoản tiền nào bị mất trong sự cố đó. Giao diện người dùng của sàn giao dịch cũng bị hack vào tháng 9 năm ngoái, mặc dù tất cả người dùng đều được bồi thường trong sự cố đó. Kẻ tấn công ngày 22 tháng 11 đã thông báo cho nhóm rằng họ sẵn sàng thương lượng để trả lại một số tiền.

Theo Cointelegraph

Công nghệ

Cầu chuỗi HECO bị xâm nhập, hơn 86,6 triệu đô la được gửi đến các địa chỉ đáng ngờ

Để lại phản hồi

Công ty bảo mật chuỗi khối PeckShield đã báo cáo rằng các tài sản như stablecoin, ETH, SHIB, LINK, v.v. đã được chuyển từ cầu nối. Việc rút tiền và gửi tiền đã bị đình chỉ và Justin Sun cho biết HTX sẽ bồi thường đầy đủ cho người dùng nếu có bất kỳ tổn thất nào.

Dữ liệu được chia sẻ bởi nền tảng bảo mật blockchain PeckShield cho thấy hơn 86,6 triệu đô la tài sản kỹ thuật số đã được chuyển từ cầu HECO Chain đến các địa chỉ đáng ngờ. Công ty bảo mật cho rằng cây cầu đã bị xâm phạm và việc khai thác đang diễn ra.

Để đối phó với vụ việc, người sáng lập Tron Justin Sun tuyên bố rằng HTX sẽ bồi thường đầy đủ cho người dùng về mọi tổn thất phát sinh trong vụ hack. Công ty cũng đã tạm thời đình chỉ việc gửi và rút tiền khi họ điều tra vụ việc. Giám đốc điều hành cho biết các dịch vụ sẽ tiếp tục hoạt động sau khi cuộc điều tra hoàn tất.

Ban đầu, PeckShield xuất bản một cảnh báo chỉ ra một giao dịch trong đó 10.145 Ether ( ETH ), trị giá khoảng 19 triệu USD, đã được chuyển từ cây cầu. Tiếp theo là một số giao dịch khác, với các tài sản kỹ thuật số như USD Coin ( USDC ), Chainlink ( LINK ), Shiba INU ( SHIB ), v.v., đã được chuyển sang các địa chỉ khác.

Hợp tác sinh thái chuỗi (HECO) được chính thức ra mắt vào ngày 21 tháng 12 năm 2020, nhằm mang lại trải nghiệm xuyên chuỗi với phí gas thấp hơn. Dự án là sự hợp nhất giữa hệ sinh thái cầu nối của Tron và BitTorrent, khi Sun kết hợp cả hai hệ sinh thái thành HECO vào năm 2022.

Vụ hack HECO Chain gần đây là vụ khai thác thứ hai xảy ra với một dự án liên quan đến Sun. Vào ngày 10 tháng 11, sàn giao dịch Poloniex được Sun mua lại vào năm 2018,đã bị khai thác 100 triệu USD . Các nhà phân tích bảo mật tin rằng sự cố có thể xảy ra do khóa riêng bị xâm phạm.

Theo Cointelegraph

Công nghệ

Công ty bảo mật dWallet Labs cảnh báo lỗ hổng xác thực có thể ảnh hưởng đến 1 tỷ USD tiền điện tử

Để lại phản hồi

Nhà cung cấp dịch vụ xác thực InfStones không đồng ý và nói với Cointelegraph rằng “không có tài sản nào gần 1 tỷ USD gặp rủi ro”, ngay cả trong trường hợp xấu nhất.

Công ty bảo mật chuỗi khối dWallet Labs gần đây đã tiết lộ một lỗ hổng mà họ tuyên bố có thể ảnh hưởng đến tiền điện tử trị giá lên tới 1 tỷ USD, với các tài sản như Ether ( ETH ), Aptos ( APT ), BNB ( BNB ) và Sui (SUI) đang gặp rủi ro.

Trong một bài báo gửi tới Cointelegraph, dWallet Labs đã báo cáo một lỗ hổng tiềm ẩn trong trình xác thực được lưu trữ bởi nhà cung cấp cơ sở hạ tầng có tên InfStones. Theo dWallet Labs, họ đã bắt đầu một bài nghiên cứu đề cập đến các cuộc tấn công vào mạng blockchain và thu thập khóa riêng bằng các cuộc tấn công Web2. Trong quá trình nghiên cứu này, dWallet Labs cho biết họ đã phát hiện ra các lỗ hổng trong trình xác thực InfStones. Nó viết:

“Một chuỗi lỗ hổng mà chúng tôi đã phát hiện và khai thác trong quá trình nghiên cứu cho phép chúng tôi giành toàn quyền kiểm soát, chạy mã và trích xuất khóa riêng của hàng trăm trình xác thực trên nhiều mạng lớn, có khả năng dẫn đến tổn thất trực tiếp tương đương hơn một tỷ đô la tiền điện tử như ETH , BNB, SUI, APT và nhiều loại khác.”

Theo dWallet Labs, kẻ tấn công khai thác lỗ hổng có thể lấy được khóa riêng của người xác thực trên các mạng blockchain khác nhau. “Hơn một tỷ đô la tài sản đặt cược đã được đặt cược trên tất cả các trình xác nhận này và kẻ tấn công như vậy sẽ có thể giành được toàn quyền kiểm soát tất cả chúng,” nó nói thêm.

Vào ngày 21 tháng 11, InfStones đã trả lời yêu cầu bình luận của Cointelegraph, phủ nhận rằng lỗi này có thể ảnh hưởng đến tài sản trị giá 1 tỷ USD. Darko Radunovic, đại diện của InfStones, nói với Cointelegraph rằng lỗ hổng tiềm ẩn chỉ có thể ảnh hưởng đến một phần nhỏ các nút trực tiếp mà nó đã khởi chạy.

Theo Radunovic, lỗ hổng tiềm ẩn đã được phát hiện trong 237 trường hợp, bao gồm 212 trường hợp được chỉ định để thử nghiệm và 25 trường hợp là các nút mới được khởi chạy trong môi trường sản xuất. Radunovic cho biết trong một tuyên bố: “Các phiên bản được xác định trong quá trình sản xuất chỉ chiếm một phần dưới 0,1% số nút trực tiếp mà chúng tôi đã triển khai cho đến nay”. Công ty cũng xuất bản một bài đăng trên blog cho biết lỗ hổng đã được giải quyết.

Radunovic cũng nhấn mạnh rằng để đối phó với lỗ hổng này, họ đã thực hiện đánh giá nội bộ và nhờ một công ty bảo mật được công nhận kiểm tra hệ thống và chính sách của công ty. Công ty cũng đưa ra chương trình tiền thưởng lỗi để khuyến khích bất kỳ bên thứ ba nào làm việc trực tiếp với công ty về bất kỳ lỗi nào họ có thể tìm thấy.

Theo Cointelegraph

Exit mobile version