Kỹ sư người Mỹ Joe Grand cùng với người bạn Bruno đã phát hiện ra lỗ hổng trong phiên bản cũ hơn của trình quản lý mật khẩu RoboForm, cho phép họ khôi phục 3 triệu đô la BTC.

Hacker phần cứng và kỹ sư Joe Grand cùng với bạn của anh ấy, hacker phần mềm Bruno đã tìm ra lỗ hổng trong phiên bản cũ của trình quản lý mật khẩu RoboForm, cho phép họ khôi phục số Bitcoin trị giá hàng triệu đô la.

Trong một video YouTube được xuất bản vào ngày 28 tháng 5, Grand giải thích rằng vào năm 2022, Michael, một chủ sở hữu tiền điện tử ở châu Âu, đã liên hệ với anh, người đã tìm kiếm sự giúp đỡ của anh để khôi phục số Bitcoin trị giá hàng triệu USD, bị kẹt trên máy tính khi anh mất quyền truy cập vào mật khẩu 20 ký tự của mình. được tạo bởi RoboForm và lưu trữ nó trong tệp được mã hóa TrueCrypt.

Grand và Bruno đã dành nhiều tháng để thiết kế ngược phiên bản RoboForm mà Michael sử dụng vào năm 2013, khi tạo mật khẩu cho ví Bitcoin của anh ấy.

Cuối cùng, cả hai đều phát hiện ra rằng một trong những phiên bản cũ của RoboForm có một lỗ hổng trong cách phần mềm tạo mật khẩu, khiến chúng có thể dự đoán được dựa trên ngày giờ của máy tính. Thật may mắn cho Michael, mật khẩu của anh ấy đã được tạo trước khi RoboForm vá lỗi.

Nhà báo điều tra Kim Zetter đã lưu ý trong một bài đăng X rằng “nếu bất kỳ ai trong số 6 triệu người dùng hiện tại của RoboForm đang sử dụng mật khẩu được tạo bởi phiên bản của RoboForm trước năm 2015 trước khi công ty âm thầm sửa lỗi, họ có thể có mật khẩu có thể bị bẻ khóa theo cách tương tự”. .” Tính đến thời điểm báo chí, RoboForm không đưa ra tuyên bố công khai nào về vấn đề này.

Sau khi tạo ra hàng triệu mật khẩu dựa trên khung thời gian mà Michael được cho là đã tạo mật khẩu của mình, cả hai bắt đầu buộc phải tìm ra mật khẩu sẽ cấp quyền truy cập vào ví của Michael. Sau khi tinh chỉnh cách tiếp cận của mình, Grand và Bruno đã phát hiện thành công mật khẩu được tạo vào ngày 15 tháng 5 năm 2013 lúc 4:10:40 chiều GMT, mở khóa 43,6 BTC của Michael, hiện trị giá khoảng 3 triệu USD.

Người sáng lập Grand Idea Studio, Joe Grand là một kỹ sư điện, nhà phát minh và hacker phần cứng nổi tiếng nhất trong cộng đồng tiền điện tử vì đã hack ví Trezor One vào năm 2022 để giúp chủ sở hữu của nó thu hồi 2 triệu đô la BTC. Grand, người được biết đến với biệt danh hacker “Kingpin”, có một sự nghiệp nổi tiếng trong lĩnh vực hack phần cứng và tiếp tục tư vấn cho các công ty để tăng cường bảo mật kỹ thuật số của họ.

Các nhà chức trách ở Anh đã bắt giữ hai người đàn ông vì tội đánh cắp số tiền điện tử trị giá 5,7 triệu bảng Anh (khoảng 7,125 triệu USD) từ các nạn nhân trên toàn cầu.

Theo một báo cáo gần đây, James Heppel, 42 tuổi, đến từ Staverton ở Wiltshire và Jake Lee, 38 tuổi, đến từ Charlcombe ở Bath, đã bị buộc tội ba tội danh âm mưu lừa đảo.

Bị cáo đã lừa đảo các nhà đầu tư tiền điện tử bằng cách sử dụng bản sao của sàn giao dịch tiền điện tử Blockchain.com. Khi người dùng đăng nhập vào trang web giả mạo, những kẻ lừa đảo đã đánh cắp tiền điện tử của họ bằng cách sử dụng thông tin đăng nhập của họ.

Bằng cách sử dụng chiến thuật lừa đảo này, cặp đôi này đã lừa được 55 nạn nhân ở 26 quốc gia, trong đó có 11 nạn nhân đến từ Vương quốc Anh, theo xác định của Đơn vị Tội phạm có Tổ chức Khu vực Tây Nam (SWROCU).

Cuộc điều tra ban đầu bắt đầu khi Lee bị Cảnh sát Avon và Somerset bắt giữ vì nghi ngờ rửa tiền. Ba hạt giống khôi phục ví Bitcoin, ba thiết bị kỹ thuật số và 24.000 bảng tiền mặt đã được thu hồi từ thủ phạm tại thời điểm anh ta bị bắt.

Cùng lúc đó, SWROCU cũng bắt đầu đầu tư vào một vụ lừa đảo tiền điện tử nhằm cướp đi số Bitcoin trị giá 11.000 bảng Anh bị đánh cắp từ ví tiền điện tử của một cư dân Wiltshire.

Theo Det Supt Matt Brain, vụ lừa đảo có liên quan đến Lee và cộng sự của anh ta khi ba thiết bị điện tử thu hồi được từ anh ta được phân tích. Những thiết bị này là gì vẫn chưa được tiết lộ.

Cả Lee và Heppel đều đã nhận tội. Lee hiện đang phải đối mặt với mức án 4 năm tù, còn Heppel bị kết án 15 tháng. Lệnh tịch thu 1 triệu bảng Anh cũng đã được ban hành đối với Lee.

Pamela Jain, công tố viên của Ban Giám đốc quốc tế về tội phạm có tổ chức kinh tế nghiêm trọng của Cơ quan truy tố Crown, cho biết: “Đây là một cuộc truy tố phức tạp và tốn thời gian, liên quan đến việc thẩm vấn nhiều nạn nhân và cơ quan công tố trên toàn thế giới”.

Cho đến nay, số tiền điện tử trị giá 64.000 bảng, 835.000 bảng tiền mặt, ba chiếc ô tô và một bản in bức tranh ‘Bomb Love’ của họa sĩ Banksy, trị giá 60.000 bảng, đã được thu hồi.

Các vụ lừa đảo tiền điện tử đã chứng kiến sự gia tăng đáng chú ý ở Anh. Vào tháng 1 năm 2024, cảnh sát Vương quốc Anh đã đưa ra cảnh báo đối với Coscoin, một nền tảng giao dịch định lượng do AI điều khiển bị nghi ngờ vận hành Ponzi.

Theo báo cáo tháng 3 từ TRM Labs, cư dân Vương quốc Anh đã mất trung bình 15.000 bảng Anh vì các vụ lừa đảo tiền điện tử kể từ tháng 10 năm 2022. Chúng bao gồm nhiều âm mưu khác nhau như Lừa đảo đầu tư, lừa đảo lừa đảo và lừa đảo giết thịt lợn .

YIEDL, một nền tảng giao dịch tiền điện tử dựa trên AI, là mục tiêu mới nhất của vi phạm bảo mật, với việc tin tặc tận dụng cơ hội đánh cắp một số tài sản tiền điện tử trị giá 157.000 USD qua nhiều giao dịch.

Theo nền tảng bảo mật blockchain Cyvers, những kẻ tấn công đã khai thác một lỗ hổng trong “chức năng đổi quà” của hợp đồng YIEDL. Đối với ngữ cảnh, chức năng này tạo điều kiện thuận lợi cho việc quản lý trao đổi hoặc truy xuất tài sản theo các điều kiện được chỉ định.

Đáng chú ý, việc khai thác đã ảnh hưởng đến hợp đồng kho tiền Y-BULL của YIEDL trên Chuỗi thông minh BNB. Các nhà phân tích bảo mật của Cyvers xác nhận rằng thủ phạm đã triển khai một hợp đồng độc hại nhắm vào hợp đồng thông minh Y-BULL, dẫn đến việc rút nhiều tài sản.

Việc rút tiền bắt đầu hôm nay lúc 01:24 UTC và kéo dài cho đến 02:22 UTC, với những kẻ độc hại đã rút gần 160.000 USD bằng Ethereum ( ETH ), Bitcoin được chốt bởi Binance (BTCB) và USDC. Sau đó, họ tận dụng PancakeSwap để thanh lý chiến lợi phẩm cho BNB, dữ liệu trên chuỗi cho thấy.

Vụ việc xảy ra chỉ 24 giờ sau khi YIEDL thông báo ra mắt kho tiền giao ngay Y-BULL trên mạng BSC. Trong tiết lộ, họ khuyên rằng mặc dù Y-UP trên giao thức OP và Synthetix sẽ vẫn hoạt động cho đến khi tái cơ cấu thêm, nhưng người dùng có thể chuyển cổ phần của mình sang Y-BULL mới trên BSC để tiết kiệm phí.

Nhóm đằng sau giao thức hiện đã xác nhận vụ hack và lưu ý rằng họ vẫn đang điều tra nguyên nhân vụ việc. Họ khuyên những người tham gia mạng không nên tương tác với hợp đồng thông minh BSC Y-BULL mới phát hành gần đây.

Việc khai thác gần đây này diễn ra trong bối cảnh các vụ hack liên quan đến tiền điện tử ngày càng gia tăng. Crypto.news đã đưa tin vào tuần trước rằng Hedgey Finance, một nhà cung cấp cơ sở hạ tầng blockchain, đã gặp phải một vụ khai thác tương tự, dẫn đến khoản lỗ 44,7 triệu USD. Vào ngày 15 tháng 4, Grand Base, một giao thức defi trên Base, đã mất 2 triệu USD vào tay tin tặc.