CTO của Sushi tin rằng trình kết nối web3 thường được sử dụng đã bị xâm phạm.
Giao thức tài chính phi tập trung (DeFi) Sushi được cho là đã bị tấn công bởi một cuộc khai thác giao diện người dùng, CTO của công ty đã cảnh báo về một cuộc khai thác toàn ngành liên quan đến trình kết nối Web3 “thường được sử dụng”.
“Không tương tác với BẤT KỲ dApp nào cho đến khi có thông báo mới,” CTO của Sushi Matthew Lilley đã viết trên X. “Có vẻ như một trình kết nối web3 thường được sử dụng đã bị xâm phạm, cho phép tiêm mã độc ảnh hưởng đến nhiều dApp.”
Khai thác giao diện người dùng liên quan đến việc tin tặc thay đổi giao diện người dùng (UI) của trang web hoặc ứng dụng. Sau đó, tin tặc có thể thay đổi chức năng để chuyển vốn về cho mình. Việc khai thác giao diện người dùng không có quyền truy cập vào ví nóng của giao thức.
Lilley nói thêm rằng mã đáng ngờ bắt nguồn từ trang GitHub của nhà cung cấp ví phần cứng Ledger. Một người dùng X đã chỉ ra rằng thư viện của Ledgerđã bị xâm phạm và được thay thế bằng một trình rút mã thông báo.
Các vấn đề cũng đã được báo cáo trên các trang web DeFi khác, bao gồm Zapper và RevokeCash.
Cả hai sàn giao dịch đã mất tổng cộng hơn 200 triệu USD trong một loạt vụ hack vào tháng trước.
Ông trùm tiền điện tử Justin Sun đã nói rằng tài sản nắm giữ trên HTX và Poloniex là “an toàn 100%” sau vụ hack vào tháng trước khiến hơn 200 triệu USD bị rút khỏi cả hai sàn giao dịch.
Cả hai sàn giao dịch đều đã mở chức năng rút tiền đối với một số tài sản nhất định, mặc dù một số altcoin vẫn bị khóa. Bitcoin (BTC) và Tron (TRX) là hai tài sản kỹ thuật số có thể rút; điều này dẫn đến việc cả hai token đều được giao dịch ở mức giá cao hơn trên Poloniex trong vài tuần qua, điều đó có nghĩa là người dùng sẽ phải cắt giảm tới 10% để thanh lý tài sản của họ và rút một tài sản khác.
Justin Sun, một nhà đầu tư tại Poloniex và là cố vấn của HTX, nói với CoinDesk: “Hiện tại, Poloniex và HTX đã phục hồi sau vụ hack và chúng tôi đang nối lại từng token một”. “Tôi nghĩ đối với HTX, chúng tôi đã khôi phục lại 95% tài sản trị giá bằng USD. Trên Poloniex, chúng tôi đã khôi phục lại khoảng 85% giá trị tài sản bằng USD.”
Sun nói thêm: “Và cũng nên lưu ý, vì chúng tôi đã bù đắp toàn bộ số token bị mất trên nền tảng, trên HTX và Poloniex, 100% tài sản được an toàn 100%. “Mặc dù về mặt trao đổi, về cơ bản chúng tôi cần kiếm được những khoản lợi nhuận đó trong tương lai. Nhưng đối với tài sản của khách hàng thì nó an toàn 100%.”
Người phát ngôn của HTX nói với CoinDesk: “Dòng tiền rút ra gần đây chỉ chiếm một phần nhỏ trong tổng dự trữ của chúng tôi và HTX vẫn hoạt động ổn định, lành mạnh”.
Để khắc phục nỗi lo ngại về việc người dùng nắm giữ tiền trên cả hai sàn giao dịch, HTX và Poloniex đã công bố một đợt airdrop trị giá 1 USD Tether (USDT) . Một ảnh chụp nhanh sẽ được thực hiện và người dùng sẽ nhận được một mã thông báo được airdrop cho mỗi mã thông báo trị giá bằng đô la Mỹ mà họ nắm giữ trên sàn giao dịch.
HTX đã tạo ra khối lượng giao dịch 1,6 tỷ USD trong 24 giờ qua; Trong khi đó, Poloniex đã kiếm được 843 triệu USD, theo CoinMarketCap.
Justin Sun đã trở thành một người chơi quan trọng trong ngành công nghiệp tiền điện tử khi anh thành lập chuỗi khối Tron, huy động được 70 triệu đô la trong đợt phát hành tiền xu ban đầu (ICO) vào năm 2017. Tron hiện là loại tiền điện tử lớn thứ 11 với vốn hóa thị trường là 9,1 tỷ USD; nó cũng là blockchain lớn thứ hai về khối lượng, với tổng giá trị bị khóa là 7,9 tỷ USD (TVL).
Sự thành công của Sun với Tron đi kèm với sự giám sát chặt chẽ của cơ quan quản lý; Ủy ban Chứng khoán và Giao dịch (SEC) đã đệ đơn kiện Sun , cáo buộc TRX là chứng khoán vào đầu năm nay. Nhóm pháp lý của Sun đã được gia hạn để phản hồi vụ kiện đó vào đầu tuần này, theo tài liệu tòa án mà CoinDesk thu được.
Theo CertiK, mã thông báo TIME đã bị khai thác gần đây, dẫn đến tổn thất khoảng 188 nghìn đô la.
Cuộc tấn công bắt đầu bằng việc kẻ khai thác chuyển đổi 5 ETH thành Wrapped Ether (WETH), sau đó giao dịch số tiền này với hơn 3,4 tỷ mã thông báo TIME.
Các nhà phân tích của CertiK báo cáo rằng nguyên nhân cốt lõi của việc khai thác là do thao túng hợp đồng Forwarder, được thiết kế để thực hiện các giao dịch từ bất kỳ địa chỉ nào. Kẻ tấn công đã tạo ra một yêu cầu với địa chỉ người gửi giả mạo mà chúng kiểm soát và chữ ký trùng khớp. Yêu cầu lừa đảo này đã vượt qua quy trình xác minh của hợp đồng Giao nhận.
Kẻ tấn công đã lợi dụng lỗi phân tích cú pháp , trong đó hợp đồng TIME bị lừa để nhận ra địa chỉ do kẻ tấn công kiểm soát là hợp pháp. Kết quả là, hợp đồng TIME đã đốt nhầm một lượng lớn mã thông báo từ nhóm mục tiêu do kẻ tấn công kiểm soát, thay vì địa chỉ dự định.
Kẻ tấn công đã đốt hơn 62 tỷ mã thông báo TIME, dẫn đến tổng số mã thông báo giảm mạnh. Các token sau đó được đổi lấy một lượng WETH đáng kể, cuối cùng chuyển đổi chúng trở lại ETH, bao gồm một phần được sử dụng để hối lộ trong quá trình này.
Sự cố này nêu bật những lỗ hổng cơ bản trong hợp đồng thông minh, trong đó ngay cả một lỗi nhỏ cũng có thể dẫn đến tổn thất tài chính đáng kể.
Thám tử trực tuyến ZachXBT cho biết một tội phạm mạng được cho là của Triều Tiên có thể đứng đằng sau cuộc tấn công nhằm vào kho bạc của Indexed.
Một tội phạm mạng được cho là có liên quan đến DPRK đã khởi xướng một đề xuất thù địch vào ngày 18 tháng 11, nhắm vào tàn dư của Tài chính được lập chỉ mục. Giao thức phi tập trung không còn tồn tại này để quản lý danh mục đầu tư thụ động trên Ethereum ( ETH ) đã phải chịu một cuộc tấn công trị giá 16 triệu đô la vào năm 2021.
Theo thành viên nhóm Tài chính được lập chỉ mục, Laurence Day, hacker đã khởi xướng một đề xuất tìm cách giành quyền kiểm soát kho bạc của giao thức, nắm giữ 36.000 đô la DAI và gần 48.000 đô la trong NDX, một mã thông báo quản trị cho Tài chính được lập chỉ mục vào thời điểm đó.
“Tôi chưa bao giờ nghĩ rằng mình sẽ phải đăng lại về quản trị được lập chỉ mục (đã hai năm kể từ cuộc tấn công và cũng lâu như lần cuối Dillon hoặc tôi thực hiện bất kỳ công việc nào về nó), nhưng chúng ta đang ở đây.”
Laurence Day, thành viên nhóm Tài chính được lập chỉ mục
Tuy nhiên, sau khi Day cảnh giác về đề xuất thù địch, những thành viên cộng đồng vẫn nắm giữ mã thông báo NDX đã phản hồi lại cảnh báo, sử dụng mã thông báo của họ để bỏ phiếu chống lại cuộc tấn công quản trị.
Tính đến thời điểm báo chí, 413.000 người đã bỏ phiếu chống lại việc thông qua nó , trong khi hacker chỉ nhận được 402.000 phiếu bầu cho đề xuất này. Theo CoinGecko, mặc dù cộng đồng Tài chính được lập chỉ mục đã đẩy lùi thành công cuộc tấn công nhưng giá NDX đã giảm gần 14% trong bối cảnh tin tức này giảm xuống còn 0,01 USD.
Bắc Triều Tiên phản công
Theo ghi nhận của thám tử trên chuỗi ZachXBT, hacker đứng sau vụ việc quản trị, cũng đã thử tấn công trên Relevant, một nền tảng thảo luận và chia sẻ tin tức.
Trong một bài đăng X vào ngày 19 tháng 11, ZachXBT nói thêm rằng hacker bị cáo buộc có quan hệ với Triều Tiên vì ví của hacker này từng được tài trợ bởi Alex Chon, một nhân viên CNTT được cho là của Triều Tiên, người “đã bị sa thải khỏi ít nhất hai vai trò vì hành vi đáng ngờ”. .” Tính đến thời điểm báo chí, không có tuyên bố công khai nào về vụ việc, điều này khiến không rõ liệu hacker có thành công trong nỗ lực của họ hay không.
Indexed Finance đã phải hứng chịu một cuộc tấn công cho vay nhanh vào năm 2021, dẫn đến việc mất số tiền điện tử trị giá 16 triệu đô la. Sau đó, Andean Medjedovic, tốt nghiệp Đại học Waterloo, bị buộc tội đánh cắp tiền điện tử từ Indexed Finance trong một vụ kiện dân sự. Anh ta đã phải chịu lệnh bắt giữ trong hơn một năm. Tuy nhiên, cơ quan chức năng đã không tìm thấy anh ta.
Việc tích hợp ví web3 vào các nền tảng giao dịch chính thống báo trước một kỷ nguyên mới trong tài chính kỹ thuật số, kết hợp giữa lĩnh vực cefi và defi, đồng thời làm dấy lên lo ngại về khả năng dễ bị lừa đảo tiền điện tử ngày càng tăng.
Theo Bitrace và WuBlockchain, việc tích hợp ví web3 vào các nền tảng giao dịch chính thống như OKX và Binance báo hiệu một sự thay đổi đáng kể. Sự kết hợp giữa tài chính tập trung và tài chính phi tập trung này đang định hình lại sự tương tác của người dùng với tài sản kỹ thuật số và các ứng dụng phi tập trung. Tuy nhiên, quá trình chuyển đổi này không phải là không có những cạm bẫy, đặc biệt là liên quan đến rủi ro gian lận.
Sự tiện lợi của ví tích hợp đi kèm với cái giá đắt: nạn lừa đảo tiền điện tử gia tăng. Các trường hợp đáng chú ý bao gồm gian lận lợi nhuận BNB giả, trong đó những kẻ lừa đảo mang lại lợi nhuận cao khi gửi Ethereum ( ETH ) vào nhóm thanh khoản giả và lừa đảo nắm giữ mã thông báo L1 khai thác USDT, trong đó nạn nhân bị dụ dỗ chuyển quyền tài sản dưới vỏ bọc của các giao thức khai thác sinh lợi. Tỷ lệ bán lừa đảo USDT giả càng làm nổi bật tính dễ bị tổn thương của người dùng, nơi bán stablecoin giả, khai thác lòng tin của những người mới tham gia.
Việc tích hợp ví web3 vào nền tảng giao dịch đã vô tình tạo điều kiện cho gian lận. Lớp vỏ chính thức của ví tích hợp làm giảm sự hoài nghi của người dùng, giúp những kẻ lừa đảo dễ dàng có được lòng tin hơn trong khi việc thiếu hướng dẫn đầy đủ cho những người mới tham gia vào không gian tiền điện tử khiến họ dễ bị lừa đảo. Bản chất không cần cấp phép vốn có của ví tiền điện tử, cùng với tính ẩn danh của chúng, khiến chúng trở thành mục tiêu lý tưởng cho các hoạt động bất hợp pháp.
Để chống lại những rủi ro này, điều quan trọng là các sàn giao dịch phải thực hiện các biện pháp đối phó toàn diện. Điều này bao gồm việc kết hợp nội dung giáo dục về bảo mật trên chuỗi, đưa ra các hạn chế về chức năng cho người dùng mới để ngăn chặn các quyết định thiếu hiểu biết và cộng tác với các tổ chức bảo mật bên thứ ba để tích hợp dữ liệu tình báo về mối đe dọa.
Các nền tảng Defi Aerodrome và Velodrome hứng chịu một cuộc tấn công từ phía trước, với thiệt hại ước tính khoảng 40.000 USD.
Hai nền tảng defi nổi bật, Aerodrome và Velodrome, đã gặp phải các vi phạm an ninh trong hệ thống giao diện người dùng của họ. Sự cố xảy ra vào ngày 28 tháng 11, theo tiết lộ của nền tảng.
Cả Aerodrome và Velodrome đều cảnh báo người dùng của họ thông qua X, khuyên họ nên ngừng mọi tương tác với dịch vụ của mình do những lo ngại về bảo mật này. Họ đã bắt đầu điều tra kỹ lưỡng về các vi phạm. Velodrome còn yêu cầu người dùng không sử dụng liên kết web đính kèm tiểu sử mạng xã hội của họ.
ZachXBT, một nhà phân tích và nhân vật nổi tiếng trong cộng đồng tiền điện tử, nhấn mạnh rằng ước tính khoảng 40.000 USD tài sản kỹ thuật số đang được chuyển từ các nền tảng bị xâm nhập. Những tài sản này được liên kết với hai địa chỉ ví kỹ thuật số riêng biệt.
Theo dữ liệu mới nhất từ DefiLlama, Aerodrome có tổng giá trị là 62,68 triệu USD, trong khi tổng giá trị của Velodrome là 136,76 triệu USD. Đáng chú ý, Velodrome được công nhận là sàn giao dịch phi tập trung (DEX) lớn nhất trên mạng Optimism. Trong khi đó, Aerodrome, hoạt động như một nhánh của giao thức Velodrome, đã tự khẳng định mình là DEX hàng đầu trên mạng Base.
Ivan Turogin và Sergei Potapenko bị nghi ngờ trong vụ lừa đảo trị giá 575 triệu USD, nhưng họ không thể bị áp dụng các điều kiện giam giữ của Hoa Kỳ.
Ivan Turogin và Sergei Potapenko, những người đồng sáng lập công cụ khai thác đám mây Bitcoin ( BTC ) HashFlare, đã kháng cáo thành công lệnh dẫn độ từ Estonia sang Hoa Kỳ, nơi cả hai phải đối mặt với 18 tội danh lừa đảo và rửa tiền. Theo báo chí địa phương, Tòa án lưu động Tallinn đã hủy bỏ lệnh của tòa án cấp dưới vào ngày 29 tháng 11.
Theo Bộ Tư pháp Hoa Kỳ, HashFlare, hoạt động từ năm 2015 đến năm 2019, là một kế hoạch Ponzi với hàng trăm nghìn nạn nhân phải trả tổng cộng 575 triệu USD. Công ty tuyên bố cho thuê sức mạnh băm để khai thác tiền điện tử và cũng khuyến khích đầu tư vào một ngân hàng giả mạo. Nếu bị kết án ở Hoa Kỳ, Turogin và Potapenko mỗi người phải đối mặt với án tù lên tới 20 năm.
Turogin và Potapenko bị bắt ở Estonia, nơi họ là công dân, sau khi đại bồi thẩm đoàn Hoa Kỳ đưa ra bản cáo trạng vào tháng 11 năm 2022. Chính phủ Estonia đã phê chuẩn việc dẫn độ họ vào tháng 9. Theo BBC, cuộc điều tra những người đàn ông này được thực hiện ở Estonia với sự giúp đỡ của 15 người Mỹ và là một trong những vụ lừa đảo lớn nhất trong lịch sử nước này.
Bộ phận Seattle của FBI đang tìm kiếm thông tin từ các nạn nhân tiềm năng của hai kế hoạch lừa đảo do Ivan Turõgin và Sergei Potapenko thực hiện thông qua các công ty HashCoins, https://t.co/nkvQ93QCgz và Polybius của họ.
Người bào chữa cho các doanh nhân đã cung cấp “bằng chứng liên quan đến các điều kiện giam giữ tại Hoa Kỳ” mà chính phủ chưa xem xét và cho rằng có những bất thường về thủ tục trong việc ban hành lệnh dẫn độ. Khi hủy bỏ các lệnh đó, tòa án lưu động đã viện dẫn thực tiễn của Tòa án Công lý Châu Âu và Tòa án Nhân quyền Châu Âu.
Tòa án yêu cầu Turogin, Potapenko và gia đình họ phải nhận số tiền bồi hoàn hơn 100.000 euro (110.000 USD). Quyết định của họ có thể bị kháng cáo trước ngày 11 tháng 12.
Estonia đã thông qua luật chống rửa tiền nâng cao, bao gồm cả việc đưa ra Quy tắc di chuyển của Lực lượng đặc nhiệm hành động tài chính , dẫn đến việc đóng cửa gần 400 nhà cung cấp dịch vụ tài sản ảo vào tháng 5.
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường Theo Coindesk
Luật sư của Binance.US, Matthew Laroche, đã yêu cầu thẩm phán liên bang xem xét việc chấm dứt cuộc điều tra của SEC về hành vi gian lận tiềm ẩn.
Theo báo cáo ngày 27 tháng 11 của Wall Street Journal, Ủy ban Chứng khoán và Giao dịch Hoa Kỳ vẫn đang tìm kiếm bằng chứng cho thấy Binance.US có cửa hậu để có thể kiểm soát tài sản của khách hàng theo cách tương tự như FTX.
Vào tháng 6, SEC đã đệ đơn kiện Binance và Binance.US, cáo buộc sàn giao dịch này có liên quan đến việc bán chứng khoán chưa đăng ký , đồng thời cáo buộc Binance và người sáng lập tham gia vào một âm mưu phức tạp liên quan đến gian lận, xung đột lợi ích, thiếu trách nhiệm pháp lý. tiết lộ và cố tình coi thường pháp luật.
Trong phiên điều trần ngày 27 tháng 11 tại tòa án liên bang, các luật sư của Binance.US được cho là đã lập luận rằng cơ quan quản lý chứng khoán không có bằng chứng nào cho thấy tài sản đã bị lạm dụng, đồng thời yêu cầu Thẩm phán Zia Faruqui của Thẩm phán Hoa Kỳ xem xét ngừng cuộc điều tra của cơ quan quản lý chứng khoán về hành vi gian lận tiềm ẩn.
Luật sư của Binance.US, Matthew Laroche cũng trích dẫn chi phí tăng vọt của vụ kiện, lưu ý rằng tài sản của Binance.US đã giảm gần 90% và cơ sở người dùng của nó đã giảm một nửa kể từ khi SEC đệ đơn kiện.
Yêu cầu được đưa ra khi Binance và CZ đồng ý nhận tội vi phạm luật chống rửa tiền của Hoa Kỳ như một phần của thỏa thuận trị giá 4,3 tỷ USD với Bộ Tư pháp, Bộ Tài chính và Ủy ban Giao dịch Hàng hóa Tương lai Hoa Kỳ (CFTC) vào tuần trước.
Tuy nhiên, vụ kiện của Bộ Tư pháp Hoa Kỳ không bao gồm bất kỳ khiếu nại nào liên quan đến gian lận của SEC xuất phát từ vụ kiện của họ với sàn giao dịch tiền điện tử vào tháng 6.
Binance.US, SEC yêu cầu giải quyết tranh chấp
Thẩm phán Faruqui, người chủ trì vụ kiện Binance và SEC, được cho là cho biết những lời nhận tội khiến khả năng Binance.US và CZ chiếm đoạt tài sản của khách hàng ít hơn.
Faruqui đã nói với các luật sư của SEC: “Tại một thời điểm nào đó, tôi phải có niềm tin mạnh mẽ và nói rằng thế là đủ rồi”.
Faruqui đã yêu cầu Binance.US và SEC giải quyết tranh chấp và cập nhật cho anh ấy trước ngày 15 tháng 12.
Trong khi đó, CZ hiện đang chờ tòa án xem xét liệu anh ta có thể rời Mỹ bây giờ và trở về hai tuần trước ngày tuyên án, dự kiến vào tháng Hai hay không.
Thẩm phán đã ra lệnh rằng CZ sẽ không được phép đến Các Tiểu vương quốc Ả Rập Thống nhất – nơi CZ có trụ sở chính – cho đến khi tòa án ra phán quyết về đề nghị xem xét lại từ chính phủ Hoa Kỳ.
Tin nóng: Thẩm phán ra lệnh rằng điều kiện cho phép CZ quay trở lại UAE đang chờ tuyên án vẫn được GIỮ LẠI (tức là CZ phải ở lại Hoa Kỳ lục địa trong thời gian này)
(Xem Bản tóm tắt cập nhật bên dưới kèm theo liên kết tới tất cả hồ sơ tòa án DOJ/Binance/CZ có liên quan)
Kẻ tấn công đã nói rằng các cuộc đàm phán sẽ bắt đầu khi họ “nghỉ ngơi hoàn toàn” và kể từ đó không nhận được phản hồi nào nữa.
Tổ chức tự trị phi tập trung (DAO) điều hành sàn giao dịch phi tập trung KyberSwap (DEX) đã liên hệ với kẻ tấn công đã lấy đi 50 triệu đô la vào ngày 22 tháng 11 với một thông điệp: Chúng tôi muốn đàm phán.
Cuộc tấn công nhắm vào nhóm thanh khoản (LP) của KyberSwap. DEX, vốn có tổng giá trị bị khóa (TVL) khoảng 80 triệu USD trước cuộc tấn công, giờ chỉ còn 7,78 triệu USD.
“Bạn đã thực hiện một trong những vụ hack phức tạp nhất. Đó là EV cao và mọi người đã bỏ lỡ nó”, DAO viết qua tin nhắn từ ví của người triển khai hợp đồng , sử dụng ký tự viết tắt cho giá trị kỳ vọng. “Trên bàn là một khoản tiền thưởng tương đương với 10% số tiền mà người dùng đã lấy do vụ hack của bạn, để lấy lại tất cả số tiền của người dùng một cách an toàn.”
KyberSwap đưa ra cho kẻ tấn công thời hạn cuối cùng là ngày 25 tháng 11, 06:00 UTC để trả lại tiền.
Tin tặc trêu chọc nạn nhân của chúng thông qua việc ký kết các giao dịch bằng chuỗi văn bản là một xu hướng ngày càng phổ biến với các hoạt động khai thác tài chính phi tập trung. Đó cũng là một cách để các nhóm giao thức đàm phán với những kẻ tấn công của họ.