Một thành viên cộng đồng đã đặt câu hỏi tại sao Poloniex cần gửi tin nhắn trên chuỗi bằng 15 ngôn ngữ khác nhau nếu danh tính của hacker thực sự được xác nhận.
Sàn giao dịch tiền điện tử Poloniex gần đây đã đăng một tin nhắn cho hacker chịu trách nhiệm đánh cắp hơn 100 triệu đô la tài sản kỹ thuật số từ một trong các ví của họ, nói rằng họ đã xác định được danh tính của người đó và đang cho thủ phạm cơ hội trả lại tài sản để đổi lấy khoản tiền thưởng 10 triệu đô la. .
Một tin nhắn trên chuỗi được chia sẻ bởi công ty bảo mật blockchain PeckShield trên phương tiện truyền thông xã hội cho thấy tin nhắn của Poloniex gửi tới tin tặc. Theo sàn giao dịch, họ đã xác nhận danh tính của hacker. Sàn giao dịch nhấn mạnh thêm rằng họ đang làm việc với nhiều cơ quan thực thi pháp luật khác nhau từ Hoa Kỳ, Nga và Trung Quốc.
Hơn nữa, Poloniex đề cập rằng số tiền bị đánh cắp đã được đánh dấu và không thể sử dụng được. Mặc dù họ đã xác nhận danh tính của hacker, sàn giao dịch vẫn cho hacker cơ hội trả lại tiền trước ngày 25 tháng 11 và nhận phần thưởng mũ trắng trị giá 10 triệu đô la. Tuy nhiên, nếu số tiền không được trả lại, lực lượng cảnh sát sẽ vào cuộc.
Tin nhắn trên chuỗi từ Poloniex gửi tới hacker. Nguồn: PeckShield
Mặc dù thông báo cho biết hacker đã được xác định nhưng một số thành viên cộng đồng vẫn không bị thuyết phục về diễn biến mới. Trong một bài đăng trên X (trước đây là Twitter), một thành viên cộng đồng nói rằng sàn giao dịch sẽ không cần sự tham gia của cảnh sát ở ba quốc gia khác nhau và gửi cùng một tin nhắn bằng 15 ngôn ngữ khác nhau nếu hacker đã được xác định.
Vụ hack xảy ra vào đầu tháng này khi một ví tiền điện tử của Poloniex nhận thấy dòng tiền chảy ra đáng ngờ. Vào ngày 10 tháng 11, nhiều công ty bảo mật blockchain khác nhau đã xác định rằng hơn 100 triệu đô la đãbị rút khỏi ví của sàn giao dịch .
Để đối phó với cuộc tấn công, Poloniex đã vô hiệu hóa ví để bảo trì. Ngoài ra, sàn giao dịch cũng đưa ra khoản tiền thưởng 5% cho việc hoàn lại tiền. Vào ngày 15 tháng 11, sàn giao dịch đã tiếp tục rút tiền sau khi tranh thủ sự trợ giúp của một công ty kiểm toán bảo mật để tăng cường tính bảo mật của sàn giao dịch.
CertiK tuyên bố điện thoại thông minh Saga của Solana có chứa một “lỗ hổng bootloader” nghiêm trọng – Solana Labs cho biết những tuyên bố này hoàn toàn không chính xác.
Solana Labs cho biết một video gần đây từ công ty bảo mật blockchain CertiK đã đưa ra một loạt tuyên bố “không chính xác” về lỗ hổng bảo mật tiềm ẩn trong điện thoại Saga hỗ trợ tiền điện tử của Solana.
Trong một bài đăng ngày 15 tháng 11 trên X (trước đây là Twitter), CertiK tuyên bố điện thoại Saga chứa một “lỗ hổng nghiêm trọng” được gọi là cuộc tấn công “mở khóa bootloader”, được cho là cho phép kẻ độc hại cài đặt một cửa sau ẩn trong điện thoại.
Bạn đã bao giờ thắc mắc về tính bảo mật của thiết bị Web3 của mình chưa?
Thăm dò mới nhất của chúng tôi cho thấy lỗ hổng bộ nạp khởi động đáng kể trong Điện thoại Solana, một thách thức không chỉ đối với thiết bị này mà còn đối với toàn bộ ngành. Cam kết của chúng tôi trong việc nâng cao các tiêu chuẩn bảo mật là không lay chuyển. … pic.twitter.com/lHZ5W7hXzy
Trong một báo cáo được gửi tới Cointelegraph, CertiK tuyên bố việc mở khóa bộ nạp khởi động sẽ “cho phép kẻ tấn công có quyền truy cập vật lý vào điện thoại để tải chương trình cơ sở tùy chỉnh có chứa cửa hậu gốc”.
Báo cáo của CertiK cho biết: “Chúng tôi chứng minh rằng điều này có thể xâm phạm dữ liệu nhạy cảm nhất được lưu trữ trên điện thoại, bao gồm cả khóa riêng tư của tiền điện tử”.
Tuy nhiên, người phát ngôn của Solana Labs nói với Cointelegraph rằng tuyên bố của CertiK là không chính xác và video của họ không tiết lộ bất kỳ mối đe dọa hợp pháp nào đối với thiết bị Saga.
“Video CertiK không tiết lộ bất kỳ lỗ hổng hoặc mối đe dọa bảo mật nào đã biết đối với chủ sở hữu Saga.”
Tài liệu Dự án nguồn mở nội bộ của Android cho thấy việc mở khóa bộ nạp khởi động có thể được thực hiện trên nhiều loại thiết bị Android.
Solana Labs cho biết để mở khóa bộ nạp khởi động và cài đặt chương trình cơ sở tùy chỉnh, kẻ tấn công sẽ phải thực hiện nhiều bước, chỉ có thể thực hiện sau khi mở khóa thiết bị bằng mật mã hoặc dấu vân tay của người dùng.
Solana Labs cho biết: “Việc mở khóa bộ nạp khởi động sẽ xóa sạch thiết bị mà người dùng được cảnh báo nhiều lần khi mở khóa bộ nạp khởi động, vì vậy đây không phải là một quá trình có thể diễn ra nếu không có sự tham gia hoặc nhận thức tích cực của người dùng”.
Ngoài ra, nếu bất kỳ ai tiến hành mở khóa bộ nạp khởi động trên thiết bị Android, họ sẽ phải chịu một loạt cảnh báo về tác động của quy trình.
Nếu họ bỏ qua những cảnh báo này, thiết bị sẽ bị xóa cùng với khóa riêng của họ.
Điện thoại Solana Saga được phát hành vào tháng 4 năm 2022 với mức giá 1.099 USD. Điện thoại này cung cấp cửa hàng DApp gốc Web3 nhằm tích hợp các ứng dụng tiền điện tử vào phần cứng công nghệ.
Vào tháng 4, chúng tôi đã giới thiệu Saga với tầm nhìn rõ ràng: đưa web3 vào tầm tay bạn. Chúng tôi tiếp tục nỗ lực để thu hút nhiều người hơn vào hệ sinh thái và thúc đẩy tương lai di động của web3. Hôm nay, chúng tôi sẽ giảm giá Saga xuống còn 599 USD.
46% tiền điện tử bị mất do khai thác là do lỗi Web2 truyền thống – Immunefi
Nền tảng bảo mật này đã công bố một báo cáo phân loại các hoạt động khai thác Web3 vào năm 2022, kết luận rằng gần một nửa đến từ “cơ sở hạ tầng” hoặc các yếu tố tập trung.
Một báo cáo mới từ nền tảng bảo mật blockchain Immunefi cho thấy rằng gần một nửa số tiền điện tử bị mất do khai thác Web3 là do các vấn đề bảo mật Web2 như khóa riêng bị rò rỉ. Báo cáo được phát hành vào ngày 15 tháng 11 đã nhìn lại lịch sử khai thác tiền điện tử vào năm 2022, phân loại chúng thành các loại lỗ hổng khác nhau. Nó kết luận rằng toàn bộ 46,48% tiền điện tử bị mất do khai thác vào năm 2022 không phải do lỗi hợp đồng thông minh mà là do “điểm yếu về cơ sở hạ tầng” hoặc các vấn đề với hệ thống máy tính của công ty đang phát triển.
Các loại lỗ hổng Web3. Nguồn: Immunefi.
Khi xem xét số lượng sự cố thay vì giá trị tiền điện tử bị mất, lỗ hổng Web2 chiếm một phần nhỏ hơn trong tổng số 26,56%, mặc dù chúng vẫn là loại lớn thứ hai.
Báo cáo của Immunefi đã loại trừ các trò gian lận thoát hoặc các gian lận khác, cũng như các hành vi khai thác xảy ra chỉ do thao túng thị trường. Nó chỉ xem xét các cuộc tấn công xảy ra do lỗ hổng bảo mật. Trong số này, nó phát hiện ra rằng các cuộc tấn công rơi vào ba loại lớn. Đầu tiên, một số cuộc tấn công xảy ra do hợp đồng thông minh có lỗi thiết kế. Immunefi đã trích dẫn vụ hack cầu BNB Chain làm ví dụ về loại lỗ hổng này. Thứ hai, một số cuộc tấn công xảy ra vì mặc dù hợp đồng thông minh được thiết kế tốt nhưng mã triển khai thiết kế lại có sai sót. Immunefi trích dẫn vụ hack Qbit làm ví dụ cho loại này.
Cuối cùng, loại lỗ hổng thứ ba là “điểm yếu của cơ sở hạ tầng”, mà Immunefi định nghĩa là “cơ sở hạ tầng CNTT nơi hợp đồng thông minh vận hành—ví dụ: máy ảo, khóa riêng, v.v.” Lấy ví dụ về loại lỗ hổng này, Immunefi đã liệt kê vụ hack cầu Ronin , nguyên nhân là do kẻ tấn công giành quyền kiểm soát 5 trong số 9 chữ ký xác thực nút Ronin.
Immunefi chia nhỏ các danh mục này thành các danh mục phụ. Khi nói đến điểm yếu của cơ sở hạ tầng, những điểm yếu này có thể do nhân viên rò rỉ khóa riêng (ví dụ: bằng cách truyền khóa qua kênh không an toàn), sử dụng cụm mật khẩu yếu cho kho khóa, sự cố với xác thực 2 yếu tố, chiếm quyền điều khiển DNS, Chiếm quyền điều khiển BGP, xâm phạm ví nóng hoặc sử dụng các phương pháp mã hóa yếu và lưu trữ chúng ở dạng bản rõ.
Mặc dù các lỗ hổng cơ sở hạ tầng này gây ra tổn thất lớn nhất so với các danh mục khác, nhưng nguyên nhân gây tổn thất lớn thứ hai là “các vấn đề về mật mã” như lỗi cây Merkle, khả năng phát lại chữ ký và tạo số ngẫu nhiên có thể dự đoán được. Các vấn đề về mật mã gây ra 20,58% tổng giá trị tổn thất vào năm 2022.
Báo cáo nêu rõ một lỗ hổng phổ biến khác là “kiểm soát truy cập yếu/thiếu và/hoặc xác thực đầu vào”. Loại lỗ hổng này chỉ gây ra 4,62% tổn thất về giá trị nhưng lại là nguyên nhân lớn nhất xét về số lượng sự cố, vì 30,47% tổng số sự cố là do nó gây ra.
Mạng lớp 2 đạt 13 tỷ USD TVL nhưng thách thức vẫn còn
Dữ liệu từ L2Beat cho thấy lớp 2 đang được áp dụng nhiều hơn bao giờ hết khi người dùng tiếp tục mong muốn phí gas thấp hơn.
Theo dữ liệu từ nền tảng phân tích blockchain L2Beat, mạng Ethereum Lớp 2 đã đạt được một cột mốc mới vào ngày 10 tháng 11, đạt 13 tỷ USD tổng giá trị bị khóa (TVL) trong hợp đồng của họ. Theo các chuyên gia trong ngành, xu hướng quan tâm nhiều hơn đến lớp 2 có thể sẽ tiếp tục, mặc dù vẫn còn một số thách thức, đặc biệt là trong lĩnh vực trải nghiệm người dùng và bảo mật.
Ethereum lớp 2 TVL. Nguồn: L2Beat.
Theo L2Beat, có 32 mạng khác nhau đủ điều kiện làEthereum lớp 2 , bao gồm Arbitrum One, Optimism, Base, Polygon zkEVM, Metis và các mạng khác. Trước ngày 15 tháng 6, tất cả các mạng này cộng lại có ít hơn 10 tỷ đô la tiền điện tử bị khóa trong hợp đồng của họ và TVL tổng hợp của họ đã giảm kể từ mức cao nhất của tháng 4 là 11,8 tỷ đô la.
Nhưng bắt đầu từ ngày 15 tháng 6, mức tăng trưởng TVL lớp 2 đã chuyển sang tích cực. Và đến ngày 31 tháng 10, các mạng này đã đạt mức cao mới với TVL tổng cộng gần 12 tỷ USD. Từ đó, đầu tư vào các ứng dụng lớp 2 tiếp tục tăng cao, vượt mốc 13 tỷ USD TVL vào ngày 10 tháng 11 và tiếp tục lên gần 13,5 tỷ USD vào thời điểm công bố.
Sự gia tăng TVL này thậm chí còn ấn tượng hơn khi so sánh với tỷ lệ tồn tại trong thị trường tăng giá năm 2021, khi tổng mức đầu tư vào tiền điện tử lớn hơn nhiều so với hiện nay. Vào ngày 12 tháng 11 năm 2021, khi vốn hóa thị trường của tất cả các loại tiền điện tử đạt mức cao nhất mọi thời đại là 2,82 nghìn tỷ USD, lớp 2 có ít hơn 6 tỷ USD bị khóa trong hợp đồng của họ. Ngày nay, tổng vốn hóa thị trường của tiền điện tử khiêm tốn hơn là 1,4 nghìn tỷ USD, theo Coinmarketcap, tuy nhiên TVL của lớp 2 lại lớn hơn bao giờ hết.
Trong cuộc trò chuyện với Cointelegraph, Giám đốc điều hành Metis Elena Sinelnikova đã đề xuất một lý thuyết về lý do tại sao lớp 2 vẫn phát triển bất chấp thị trường gấu vẫn tiếp tục. Theo cô, phí gas cao của Ethereum trong thị trường tăng trưởng đã để lại tác động không thể xóa nhòa đối với người dùng, dẫn đến mong muốn có các lựa chọn thay thế khi nhu cầu bắt đầu quay trở lại, như cô đã nói:
“Vào thời điểm [thị trường tăng giá], Ethereum vào thời điểm cao điểm rất không thể mở rộng quy mô, điều đó có nghĩa là các giao dịch diễn ra chậm và rất tốn kém do thị trường tăng giá. Sẽ tốn hàng trăm đô la phí giao dịch cho một giao dịch, do đó nó không bền vững.”
Theo Sinelkova, một lý do khác khiến mạng lớp 2 phát triển mạnh trong thị trường giá xuống là do nỗ lực tiếp thị thành công của nhóm phát triển, dẫn đến hoạt động của người dùng cao và do đó mang lại lợi nhuận cao. Cô nói: “Họ đang triển khai vốn để thu hút người dùng mới và thu hút hoạt động kinh doanh mới vào DeFI [tài chính phi tập trung]”. “Những người DeFi từ tất cả các hệ sinh thái, họ luôn đến nơi có lợi nhuận lớn […] và điều này chỉ xảy ra một cách tự nhiên và là […] bản chất của kinh doanh.”
Tuy nhiên, Sinelkova cảnh báo rằng lớp 2 vẫn phải đối mặt với những thách thức trong lĩnh vực trải nghiệm người dùng. Mạng tổng hợp lạc quan yêu cầu người dùng phải đợi 7 ngày để quá trình rút tiền được xử lý, điều này có thể dẫn đến sự thất vọng. Mặt khác, các mạng bằng chứng không có kiến thức (ZK) mới hơn có thể xử lý việc rút tiền ngay lập tức, nhưng chúng vẫn đang trong giai đoạn phát triển ban đầu và có xu hướng gặp sự cố thường xuyên hơn các mạng cũ. Giám đốc điều hành Metis tuyên bố rằng nhóm của cô ấy đang làm việc trên một mạng lớp 2 “kết hợp” sẽ kết hợp những gì tốt nhất của cả hai thế giới, cung cấp cho người dùng tùy chọn rút tiền bằng cách sử dụng trình chứng minh ZK tức thì hoặc quy trình lạc quan 7 ngày.
Kelsey McGuire, giám đốc tăng trưởng của mạng lớp 1 Shardeum, nói với Cointelegraph rằng lớp 2 phải đối mặt với một thách thức nghiêm trọng khác thường bị bỏ qua: tập trung hóa. Bà nói: “Mặc dù các giải pháp Lớp 2 đã trở nên phổ biến nhờ những cải tiến về khả năng mở rộng trong năm qua, nhưng chúng thường gây ra sự đánh đổi trong việc phân quyền”. Cô ấy tiếp tục:
“Ở lớp thực thi, nơi các giao dịch được xử lý, các nút tuần tự tập trung được sử dụng, gây lo ngại về khả năng kiểm duyệt hoặc sự can thiệp của chính phủ. Khía cạnh tập trung này trong việc triển khai Lớp 2 thách thức các nguyên tắc cốt lõi về phân cấp và không tin cậy đã củng cố không gian blockchain.”
McGuire kỳ vọng sự cạnh tranh từ các lớp 2 sẽ thúc đẩy các cải tiến cho lớp 1, cuối cùng dẫn đến thông lượng cao hơn cho chính các lớp cơ bản, như cô đã tuyên bố “có thể ngày càng có ít L1 mới hơn và chúng ta sẽ bắt đầu thấy sự tập trung trở lại vào khả năng mở rộng thực sự ( như trong TPS cao kết hợp với phí gas thấp) ở lớp nền tảng thay vì chỉ dựa vào L2 để cung cấp khả năng mở rộng.”
Nhóm an ninh mạng tuyên bố số tiền điện tử trị giá lên tới 2,1 tỷ USD được lưu trữ trong ví cũ đang gặp rủi ro
Công ty bảo mật kêu gọi những người sử dụng ví trình duyệt web được tạo từ năm 2011 đến năm 2015 hãy chuyển tài sản của họ sang ví tiền điện tử được tạo gần đây hơn.
Trong khi cộng đồng tiền điện tử vẫn đang vượt qua những ảnh hưởng củavụ hack Poloniex trị giá 100 triệu đô la gần đây , một mối đe dọa an ninh mạng khác có thể ảnh hưởng đến tài sản tiền điện tử trị giá hàng tỷ USD đã được phát hiện bởi một nhóm chuyên gia bảo mật blockchain.
Vào ngày 14 tháng 11, công ty an ninh mạng Unciphered đã công bố thông tin về một lỗ hổng có tên là “Randstorm”, lỗ hổng này được cho là sẽ ảnh hưởng đến hàng triệu ví tiền điện tử được tạo bằng trình duyệt web từ năm 2011 đến năm 2015.
Hôm nay chúng tôi công bố nghiên cứu của mình về Randstorm: một lỗ hổng ảnh hưởng đến một số lượng đáng kể ví tiền điện tử do trình duyệt tạo https://t.co/CebdytNaC6
Theo công ty, khi tiến hành truy xuất ví Bitcoin ( BTC ), họ đã phát hiện ra một vấn đề tiềm ẩn đối với các ví được tạo bởi BitcoinJS và các dự án phái sinh. Theo công ty an ninh mạng, vấn đề này có thể ảnh hưởng đến hàng triệu ví và khoảng 2,1 tỷ USD tài sản tiền điện tử.
Công ty cũng tin rằng nhiều blockchain và dự án có thể bị ảnh hưởng. Ngoài BTC, công ty nhấn mạnh rằng các ví Dogecoin ( DOGE ), Litecoin ( LTC ) và Zcash ( ZEC ) cũng có thể chứa lỗ hổng này.
Ngoài ra, công ty cho biết hàng triệu người đã nhận được cảnh báo về vấn đề này. Đối với những người sử dụng ví tiền điện tử được tạo trong khung thời gian 2011 đến 2015, công ty khuyên bạn nên chuyển tài sản của họ sang ví được tạo gần đây hơn. Nó viết:
“Nếu bạn là cá nhân đã tạo ví tự quản lý bằng trình duyệt web trước năm 2016, bạn nên cân nhắc chuyển tiền của mình sang ví được tạo gần đây hơn do phần mềm đáng tin cậy tạo ra.”
Mặc dù công ty cho biết không phải tất cả các ví bị ảnh hưởng đều bị ảnh hưởng như nhau nhưng họ cũng xác nhận rằng lỗ hổng này có thể bị khai thác. Tuy nhiên, công ty không cung cấp bất kỳ chi tiết nào về việc khai thác lỗ hổng để tránh cung cấp thêm thông tin cho những kẻ xấu trong không gian.
Chủ tịch Trung Quốc kêu gọi đoàn kết về các thách thức AI và phát triển mạng
Ông Tập Cận Bình phát biểu tại Hội nghị Thượng đỉnh Internet Thế giới, cho biết cần phải “tăng cường” trao đổi và hợp tác ở cấp độ quốc tế về các thách thức AI và phát triển không gian mạng.
Chủ tịch Trung Quốc Tập Cận Bình đã phát biểu trước khán giả vào ngày 8 tháng 11 tại Hội nghị thượng đỉnh Internet thế giới ở Ô Trấn, Trung Quốc, kêu gọi hợp tác quốc tế về những rủi ro do trí tuệ nhân tạo (AI) gây ra.
Bài phát biểu của ông Tập, được ghi âm trước và phát sóng tại hội nghị, nhấn mạnh sự cần thiết phải trao đổi và hợp tác “sâu sắc” để “cùng thúc đẩy việc xây dựng một cộng đồng có tương lai chung trên không gian mạng lên một giai đoạn mới”.
Chủ tịch Trung Quốc Tập Cận Bình phát biểu tại Hội nghị thượng đỉnh Internet thế giới 2023. Nguồn: CCTV
Ông nói: “Khi Internet trở thành một động lực phát triển mới, một biên giới mới về đảm bảo an ninh và một nền tảng mới để học hỏi lẫn nhau giữa các nền văn minh,” ông nói và tiếp tục, “Việc xây dựng một cộng đồng có tương lai chung trong không gian mạng là một điều tự nhiên. lựa chọn trong việc đáp lại tiếng gọi của thời đại và khát vọng chung của cộng đồng quốc tế.”
Người đứng đầu nhà nước Trung Quốc nhấn mạnh rằng “thành quả của sự phát triển internet” sẽ mang lại lợi ích cho nhiều quốc gia hơn và nhiều người dân hơn.
Trong khi một trong những điểm chính của bài phát biểu là nhấn mạnh tầm quan trọng của hợp tác quốc tế, ông cũng nói rằng:
“Chủ quyền mạng cũng như phương thức quản lý và phát triển internet của mỗi quốc gia cần được tôn trọng.”
Về AI, ông Tập cho biết Trung Quốc sẽ thúc đẩy “sự phát triển an toàn của AI” và có kế hoạch thực hiện Sáng kiến Quản trị AI toàn cầu. Sáng kiến này được chính phủ đề xuất một tháng trước khi tập trung vào môi trường phát triển AI cởi mở và công bằng.
“Chúng ta nên duy trì nguyên tắc an ninh chung và tránh đối đầu khối và chạy đua vũ trang trên không gian mạng.”
Nhận xét của ông được đưa ra một tuần sau Hội nghị thượng đỉnh về an toàn AI khai mạc của Vương quốc Anh, nơi Trung Quốc là người tham dự.
Tại hội nghị, người phát ngôn của chính phủ Trung Quốc cũng nhấn mạnh tương tự tầm quan trọng của hợp tác quốc tế , nói rằng điều này kêu gọi “hợp tác toàn cầu để chia sẻ kiến thức AI và cung cấp công nghệ AI cho công chúng theo các điều khoản nguồn mở”.
