Lưu trữ cho từ khóa: hack tiền điện tử

DeFi

Những người xây dựng Defi phải chọn cây cầu của mình một cách khôn ngoan | Ý kiến

Để lại phản hồi

Tháng 11 năm ngoái, công cụ tổng hợp DEX KyberSwap đã bị tấn công trị giá 47 triệu đô la , làm hỏng giao thức của nó và làm mất tiền của các nhà cung cấp thanh khoản. Trong một diễn biến kỳ lạ, hacker bí ẩn đã đưa ra một yêu cầu chưa từng có là chỉ giải phóng số tiền bị đánh cắp nếu toàn bộ đội ngũ điều hành nghỉ việc và bổ nhiệm anh ta làm Giám đốc điều hành. Không có gì đáng ngạc nhiên, yêu cầu này đã bị từ chối và hacker bắt đầu chuyển số tiền bị đánh cắp sang Ethereum bằng giao thức Synapse.

KyberSwap hầu như không sống sót sau sự cố và buộc phải cắt giảm một nửa lực lượng lao động của mình trong quá trình này, vì tổng giá trị bị khóa của nó giảm 68%. Như với tất cả các vụ hack defi, vụ này thật đáng tiếc, nhưng cũng có một cơ hội tốt.

Cẩn thận với cây cầu

So với những ngày đầu của mùa đông tiền điện tử, giá trị bị mất trong các vụ hack defi đã giảm 64% vào năm 2023, với mức tổn thất trung bình trên mỗi vụ hack giảm 7,5%, theo dữ liệu của Chainalysis . Tất nhiên, đây là một sự phát triển tích cực và là minh chứng cho sự tiến bộ chung của không gian defi cũng như sự tiến bộ của nó trong lĩnh vực bảo mật. Các cầu nối—các giao thức blockchain thúc đẩy khả năng tương tác giữa các chuỗi—đã góp phần mở rộng khả năng của defi bằng cách mở khóa các “hòn đảo” thanh khoản biệt lập, cho phép tài sản lưu chuyển tự do hơn.

Giá trị bị mất trong các vụ hack defi | Nguồn: Phân tích chuỗi

Cầu nối cũng kích thích sự đổi mới bằng cách cho phép các nhà phát triển khám phá những cách mới để tận dụng khả năng chuỗi chéo. Chúng ta có thể thấy điều này thông qua việc tạo ra các sản phẩm tài chính mới, khả năng mở rộng được cải thiện, tính năng bảo mật nâng cao, các biện pháp hợp tác dễ dàng hơn và quản lý rủi ro linh hoạt.

Bất chấp sự suy giảm các vi phạm an ninh và sự gia tăng đổi mới defi dựa trên cầu nối, khả năng tương tác của blockchain vẫn còn khá hạn chế. Thay vì thúc đẩy khả năng tương tác phổ quát, mỗi giao thức hoặc cầu nối chuỗi chéo thể hiện một liên kết giữa hai mạng blockchain, nghĩa là khả năng tương tác thực sự sẽ yêu cầu một mạng lưới phức tạp gồm nhiều giao thức liên kết mọi blockchain với nhau.

Điều này cung cấp các thách thức bảo mật riêng của nó. Bất chấp số vụ hack giảm, không gian defi vẫn bị tràn ngập bởi các tin tặc đang thăm dò các lỗ hổng tiềm ẩn trong giao thức hoặc lỗ hổng hợp đồng thông minh để khai thác. Vì hầu hết các cầu nối đều phụ thuộc vào hợp đồng thông minh, nên bạn có thể mong đợi tin tặc tiếp tục thử nghiệm chúng—có thể là sàn giao dịch tập trung, chuỗi lớp 2 hoặc một tập hợp các oracle được lưu trữ bởi máy chủ bên thứ ba.

Những thách thức bảo mật cố hữu, đặc biệt là trên các cây cầu không được kiểm soát, gần như không thể loại bỏ hoàn toàn vì hầu hết các cây cầu đều tương tác với hệ thống bên ngoài, khiến chúng dễ bị hack hoặc thao túng. Người dùng chuyển tài sản giữa các mạng blockchain khác nhau thông qua một cây cầu đáng tin cậy hoặc không đáng tin cậy phải cân nhắc những lo ngại nghiêm trọng về bảo mật.

Nói chung, những cầu nối đáng tin cậy như Binance Bridge mang đến sự đơn giản và tuân thủ mà không cần phải tập trung hóa thông qua một thực thể bên thứ ba. Mặt khác, những cây cầu không cần tin cậy ưu tiên phân cấp, bảo mật và truy cập không cần cấp phép—nhưng sự phụ thuộc của chúng vào hợp đồng thông minh mang lại cho tin tặc một phương hướng tấn công rõ ràng.

Tuy nhiên, cả hai loại cầu đều có thể và đã được khai thác. Hơn nữa, việc thiếu giao thức KYC và AML trong hầu hết các cầu nối khiến chúng trở thành người bạn tốt nhất của hacker khi cần rửa tiền bị đánh cắp. Vì cầu nối là cơ chế gần nhất và dễ tiếp cận nhất để loại bỏ các rào cản giữa các chuỗi khối bị cô lập, nên các nhà phát triển và người dùng defi phải thận trọng khi sử dụng bất kỳ giao thức chuỗi chéo nào.

Tại sao việc tuân thủ lại quan trọng

Việc lựa chọn giữa cầu nối không đáng tin cậy và cầu nối đáng tin cậy tùy thuộc vào trường hợp sử dụng cụ thể, yêu cầu và sự đánh đổi mà nhà phát triển hoặc người dùng ưu tiên hoặc sẵn sàng chấp nhận. Một người dùng web3 trung bình muốn chuyển tiền từ ví này sang ví khác có thể chọn một cầu nối đáng tin cậy do tính đơn giản, tốc độ và phí gas thấp hơn. Tuy nhiên, nhà phát triển dApp có thể thích một cầu nối không cần sự tin cậy để duy trì quyền kiểm soát hoàn toàn đối với tài sản của họ trong môi trường phi tập trung.

Yếu tố bảo mật thường được coi là đương nhiên khi cố gắng kết nối tài sản. Mặc dù cả hai cây cầu không đáng tin cậy và đáng tin cậy đều có thể tuân thủ các mức độ tuân thủ và giảm thiểu rủi ro khác nhau—hoặc loại bỏ hoàn toàn—việc sử dụng một cây cầu có lớp tuân thủ mạnh mẽ chắc chắn có giá trị riêng.

Hãy quay lại vụ hack KyberSwap để hiểu rõ hơn về những tác động có thể xảy ra của những rủi ro bảo mật này.

Bằng cách phân tích dữ liệu trên chuỗi, rõ ràng là nếu giao thức Synapse triển khai lớp tuân thủ, hacker sẽ không bao giờ có thể chuyển tài sản vào ví dựa trên Ethereum và trốn thoát. Nền tảng giảm thiểu rủi ro với mô-đun tuân thủ từ đầu đến cuối có thể được áp dụng cho bất kỳ dApp hoặc giao thức nào và từ chối các giao dịch có thể có vấn đề, chẳng hạn như chuyển hàng triệu USD tiền bị đánh cắp.

Giảm thiểu rủi ro không còn là một “tính năng bổ sung” mà các dự án có thể bỏ qua nữa. Khi các cơ quan quản lý nghiên cứu các luật toàn diện hơn, việc tuân thủ sẽ trở nên quan trọng hơn bao giờ hết, đặc biệt là khi các tổ chức tài chính truyền thống tiếp tục quan tâm đến việc cung cấp dịch vụ defi cho khách hàng của họ.

Điều quan trọng cần lưu ý là việc thêm lớp tuân thủ vào bất kỳ giao thức phi tập trung nào không phải là về kiểm duyệt hoặc phản đối đặc tính cốt lõi của tiền điện tử là tự do tài chính và loại bỏ các bên trung gian. Đúng hơn, nó chỉ nhằm mục đích bảo vệ tài sản của người dùng khỏi bị bọn tội phạm, những kẻ ủng hộ khủng bố và những kẻ xấu khác chiếm đoạt.

Khi thế giới tiền điện tử nỗ lực để được áp dụng rộng rãi hơn, nhu cầu về cơ chế tuân thủ trở nên quan trọng hơn bao giờ hết. Với các vectơ tấn công trong defi không ngừng phát triển, các vụ hack và kẻ trộm sẽ tiếp tục đe dọa tính toàn vẹn của toàn bộ ngành và làm suy yếu mục tiêu áp dụng chính thống.

Mặc dù các cầu nối không cho phép khả năng tương tác phổ quát trên hệ sinh thái blockchain rộng lớn, nhưng việc tuân thủ đúng cách có thể giảm thiểu rủi ro cho người dùng và nhà phát triển, đồng thời bảo vệ tiến trình của defi. Do đó, các nhà phát triển sẽ khôn ngoan khi tính đến các tiêu chuẩn tuân thủ của cầu nối khi tham gia vào các giao dịch xuyên chuỗi.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

Công nghệ

Công ty chuỗi khối Match Sytems tiết kiệm 68 triệu đô la khỏi 'cuộc tấn công bụi'

Để lại phản hồi

Công ty pháp y chuỗi khối Match Systems đã công bố hôm thứ Bảy về việc thu hồi 68 triệu đô la tiền điện tử bị đánh cắp.

Vụ trộm xảy ra vào ngày 3 tháng 5 được mệnh danh là vụ tấn công “bụi”. Số tiền đã được trả lại cho nạn nhân nhờ sự hỗ trợ của Match Systems có trụ sở tại UAE và sàn giao dịch tiền điện tử Cryptex.net.

Cá voi tiền điện tử mất 69,3 triệu USD WBTC

Câu chuyện, được crypto.news đưa tin vào đầu tháng này, bắt đầu khi một con cá voi tiền điện tử trở thành nạn nhân của một cuộc tấn công “ đầu độc địa chỉ ”, dẫn đến vụ trộm trắng trợn 1.155,28 WBTC.

Con số này tương đương với con số đáng kinh ngạc là 69,3 triệu USD vào thời điểm đó.

Dữ liệu chuỗi khối cho thấy những nỗ lực ban đầu của nạn nhân nhằm thiết lập liên lạc với kẻ tấn công, thậm chí đưa ra lời đề nghị tiền thưởng hấp dẫn 10%, đều bị im lặng.

Tuy nhiên, trong một diễn biến bất ngờ, vào ngày 9/5, kẻ tấn công đã bắt đầu liên lạc, bày tỏ mong muốn tiếp cận nạn nhân qua Telegram.

Nguồn: Etherscan.io

Theo Giám đốc điều hành Match Systems, Andrei Kutin, nạn nhân đã tìm đến chuyên gia của công ty ông để truy tìm và thu hồi số tiền.

Dấu vết vụn vặt do thủ phạm vụ cướp để lại đã dẫn đến một loạt giao dịch phức tạp. Số tiền bị đánh cắp được cho là đang di chuyển giữa nhiều địa chỉ khác nhau để làm xáo trộn nguồn gốc của chúng.

Tuy nhiên, các nhà điều tra của Match Systems đã chứng tỏ mình không chỉ là đối thủ của họ, họ còn truy tìm tỉ mỉ dòng tài sản bất hợp pháp và dần dần tiếp cận thủ phạm.

Câu đố vẫn còn

Công ty không cung cấp đầy đủ thông tin chi tiết xung quanh việc thu hồi số tiền bị đánh cắp. Hơn nữa, sự thay đổi đột ngột trong lập trường của kẻ tấn công, từ phớt lờ nỗ lực liên lạc của nạn nhân sang tích cực tìm kiếm liên lạc, đã đặt ra những câu hỏi hấp dẫn trong cộng đồng tiền điện tử.

Match Systems chỉ báo cáo rằng sau một tuần truy đuổi căng thẳng, họ đã lấy lại thành công số tiền bị đánh cắp và trả lại cho chủ sở hữu hợp pháp của chúng.

Bất chấp sự mất giá nhẹ, do kẻ tấn công chuyển đổi WBTC thành Ether ( ETH ), nạn nhân được cho là đã lấy lại toàn bộ tài sản đã mất của mình.

Khuyến khích nạn nhân nhanh chóng trình báo vụ trộm

Ngộ độc địa chỉ, một mưu đồ lừa đảo bắt chước các địa chỉ ví hợp pháp, gây ra mối đe dọa đáng kể đối với an ninh tài chính của người dùng.

Theo Match Systems, những nạn nhân sớm hơn của các sự cố như chuyên gia cảnh báo ngộ độc địa chỉ thì cơ hội lấy lại số tiền bị đánh cắp của họ càng cao.

Công ty ước tính cơ hội thu hồi tài sản lên tới 70% nếu nạn nhân trình báo sự cố trong vòng một giờ đầu tiên. Tỷ lệ phục hồi thành công giảm xuống 60% nếu ca bệnh được báo cáo trong vòng bốn giờ; 50% khi được báo cáo trong vòng 24 giờ đầu tiên.

Cơ hội thành công thậm chí còn mỏng hơn, 20%, nếu bạn đợi một tháng để báo cáo sự việc.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

Altcoin

Hacker Poloniex lần đầu tiên di chuyển số tiền bị đánh cắp, giữ nguyên 182 triệu USD

Để lại phản hồi

Hacker sàn giao dịch tiền điện tử Poloniex đã chuyển 100 ETH sang máy trộn Tornado Cash.

Theo nhà báo Colin Wu, đây là lần đầu tiên một hacker quyết định rửa tài sản bị đánh cắp. Đồng thời, số tiền điện tử trị giá 182 triệu USD bằng Ethereum ( ETH ), Tron ( TRX ), Bitcoin ( BTC ) và Bitcoin Token (BTCT) vẫn còn trong ví của hacker.

Vào ngày 10 tháng 11 năm 2023, Poloniex đã mất gần 125 triệu đô la tiền điện tử do cuộc tấn công. Chủ sở hữu sàn giao dịch Justin Sun tuyên bố xác định thành công và đóng băng một phần tài sản liên quan đến địa chỉ của hacker. Sau đó, Sun đề nghị hacker trả lại tài sản bị đánh cắp với số tiền thưởng 10 triệu USD.

Tin tặc của nền tảng tiền điện tử Kronos Research và giao thức cho vay chuỗi chéo Hundred Finance cũng bắt đầu chuyển tiền sang dịch vụ trộn tiền điện tử Tornado Cash.

Công ty phân tích PeckShield báo cáo rằng hacker ban đầu đã thực hiện một giao dịch thử nghiệm với số ETH trị giá 200 USD, sau đó anh ta đã chuyển 1.314 ETH, tương đương gần 4 triệu USD, sang một địa chỉ mới. Từ địa chỉ cuối cùng, hacker đã thực hiện 10 giao dịch trị giá 100 ETH, chuyển tiền sang dịch vụ Tornado Cash.

Số tiền gửi đến Tornado Cash tăng lên 3.000 ETH với giá khoảng 3 triệu USD.

Kronos Capital đã bị hack vào tháng 11 năm 2023 sau khi những kẻ tấn công truy cập được vào khóa API.

Vì Tornado Cash có thể được sử dụng để chuyển các khoản tiền thu được bất hợp pháp nên chính phủ Hoa Kỳ đã áp dụng các biện pháp trừng phạt đối với công ty trộn tiền điện tử này vào tháng 8 năm 2022. Các nhà phát triển của nó đã bị buộc tội rửa tiền và vi phạm lệnh trừng phạt. Vào cuối tháng 3, văn phòng công tố yêu cầu tòa án tuyên phạt người đồng sáng lập Tornado Cash , Alexey Pertsev, mức án 5 năm tù.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

Bitcoin

Hacker của Kronos Research bắt đầu rửa tiền trên Tornado Cash

Để lại phản hồi

Sau sáu tháng, những kẻ chịu trách nhiệm khai thác Kronos Research trị giá 25 triệu USD đã bắt đầu chuyển số tiền bị đánh cắp.

Công ty bảo mật chuỗi khối PeckSheild đã cảnh báo động thái này vào ngày 7 tháng 5, lưu ý rằng các tin tặc đang hướng tiền vào nền tảng trộn Tornadocash.

Tornado Cash là một nền tảng nguồn mở được thiết kế để trộn tiền điện tử từ nhiều nguồn, điều này gây khó khăn cho việc theo dõi nguồn gốc của tài sản. Nền tảng này, thường được những kẻ xấu sử dụng để rửa tiền bất chính, đã thu hút sự chỉ trích đáng kể từ các cơ quan quản lý.

Trong khi một số người coi nó như một công cụ để trao quyền riêng tư cho người dùng thì Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ đã áp đặt các biện pháp trừng phạt đối với việc sử dụng nó vào tháng 8 năm 2022.

Bất chấp các lệnh trừng phạt, nền tảng này vẫn tiếp tục là mục tiêu của những kẻ xấu, rửa tiền điện tử trị giá hơn nửa tỷ đô la chỉ riêng trong năm 2023.

Những người tạo ra nền tảng này cũng bị buộc tội rửa tài sản tiền điện tử bị đánh cắp. Tuy nhiên, họ đã phủ nhận các cáo buộc và có động thái bác bỏ chúng .

Hacker của Kronos Research ban đầu đã chuyển 1.314 Ether sang một địa chỉ mới, bắt đầu bằng 0x8F5e4 . Vào thời điểm chuyển đi, số tài sản này có giá trị khoảng 4 triệu USD.

Sau đó, tiền đã được chuyển sang một ví khác được xác định bởi 0x164A24b . Ví này sau đó được sử dụng để thực hiện 10 giao dịch với giá 100 ETH mỗi giao dịch và tiền được gửi đến nền tảng trộn tiền điện tử.

Hacker chuyển tiền sang Tornado Cash | Nguồn: Pecksheildalert trên X

Kronos Research ban đầu tiết lộ cách khai thác vào ngày 18 tháng 11. Cuộc tấn công đã được xác nhận bởi nhà điều tra trên chuỗi ZachXBT, người đã gắn cờ các dòng tiền Ether đáng chú ý từ một ví được liên kết. Sau đó người ta phát hiện ra rằng tin tặc đã sử dụng các khóa API bị đánh cắp để thực hiện cuộc tấn công.

Công ty có trụ sở tại Đài Loan cũng đã cố gắng đàm phán với hacker vài ngày sau khi vụ tấn công xảy ra. Tiền thưởng 10% đã được đưa ra với điều kiện 90% số tiền còn lại phải được trả lại, nhưng vô ích.

Kể từ đầu năm 2024, đã có nhiều cuộc tấn công trong không gian tiền điện tử. Điều thú vị là các báo cáo gần đây cho thấy xu hướng này có sự suy giảm đáng chú ý, với tháng 4 chứng kiến số vụ trộm tiền điện tử giảm 67% so với tháng 3.

Tương tự, tháng 3 năm 2024 cũng ghi nhận tổn thất tiền điện tử do bị hack giảm 50% so với tháng 2.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

DeFi

Giao thức được hỗ trợ vòng tròn Pike Finance mất 1,6 triệu USD do ‘lỗ hổng USDC’

Để lại phản hồi

Giao thức phi tập trung cho vay xuyên chuỗi Pike Finance đã bị lỗ 1,6 triệu USD do các biện pháp bảo mật yếu kém trong chức năng quản lý chuyển USDC.

Pike Finance, một giao thức tài chính phi tập trung chuyên cho vay xuyên chuỗi, đã trở thành nạn nhân của một cuộc tấn công hack, dẫn đến tổn thất đáng kể số altcoin trị giá hơn 1,6 triệu USD. Trong một bài đăng X vào ngày 1 tháng 5, tài khoản chính thức của dự án cho biết giao thức Pike Beta đã bị khai thác trên Ethereum, Arbitrum và Optimism, làm mất 99.970,48 ARB, 64.126 OP và 479,39 ETH.

Theo nhóm Pike Finance, việc khai thác có liên quan đến “lỗ hổng USDC”, trước đây đã khiến giao thức này thiệt hại 299.127 USD bằng USDC bị đánh cắp trên Ethereum, Arbitrum và Optimism. Trong một báo cáo khám nghiệm tử thi vào ngày 28 tháng 4, nhóm cho biết Pike Finance đã mất tài sản “do các biện pháp bảo mật yếu kém trong chức năng quản lý chuyển USDC” thông qua giao thức chuyển tiền xuyên chuỗi.

“Cụ thể, lỗ hổng nghiêm trọng nằm ở các chức năng được thiết kế để đốt USDC trên chuỗi nguồn và đúc trên chuỗi mục tiêu (được tự động hóa bởi các dịch vụ tự động hóa của Gelato). Việc bảo vệ không đầy đủ chức năng này đã cho phép kẻ tấn công thao túng địa chỉ và số tiền của người nhận, những thông tin này được giao thức Pike xử lý là hợp lệ.”

Tài chính Pike

Lần này, lỗ hổng bảo mật đã dẫn đến “sự sai lệch trong ánh xạ lưu trữ”, khiến hợp đồng thông minh của giao thức hoạt động theo cách khác, cho phép kẻ tấn công bỏ qua quyền truy cập của quản trị viên và kết quả là rút tiền. Nhóm cũng đã công bố phần thưởng 20% cho việc hoàn lại tiền hoặc cho những người có thể cung cấp “thông tin dẫn đến việc thu hồi tiền”.

Ra mắt vào năm 2023, Pike đã nhận được khoản tài trợ 50.000 USD bằng USDC từ Circle và Wormhole để giúp giao thức này khởi chạy mạng chính vào đầu quý 1 năm 2024. Pike Finance là nhà cung cấp thanh khoản xuyên chuỗi, cung cấp cho người dùng tùy chọn cung cấp và vay tài sản gốc trên các mạng blockchain và sidechain khác nhau.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

DeFi

CertiK: Thiệt hại do hack, lừa đảo đạt mức thấp nhất kể từ năm 2021

Để lại phản hồi

Vào tháng 4 năm 2024, thiệt hại do các sự cố an ninh mạng như khai thác và lừa đảo lên tới 25,7 triệu USD.

Các chuyên gia của CertiK cho biết con số hiện tại là thấp nhất kể từ năm 2021. Tổn thất do khai thác an ninh mạng đã giảm 141% kể từ tháng 3.

Hầu hết các tổn thất là do bị hack, với 21 triệu USD bị xâm phạm trong các cuộc tấn công Defi. Dẫn đầu trong hạng mục này là cuộc tấn công vào dự án FixFloat, dự án này lại bị tấn công vào đầu tháng này. Nhóm nghiên cứu tuyên bố rằng chính những kẻ tấn công đã xâm phạm dự án vào tháng 2 năm 2024 đứng đằng sau nó.

Lừa đảo thoát là hoạt động khai thác tốn kém thứ hai, với tổng số tiền bị mất tương đương 4,3 triệu USD. Các khoản cho vay tức thời, sự cố tốn kém thứ ba trong danh mục này, đã khiến 129.000 USD bị xâm phạm.

Các chuyên gia lưu ý rằng sòng bạc tiền điện tử ZKasino không được đưa vào báo cáo vì việc kéo thảm chưa được xác nhận . Tại thời điểm viết bài, người ta ước tính rằng 32 triệu USD đã bị mất trong vụ lừa đảo bị nghi ngờ. Nhóm ZKasino bị cáo buộc đã thu thập được 10.515 ETH như một phần của đợt bán trước mã thông báo ZKAS. Vào ngày 20 tháng 4, tiền được chuyển đến một địa chỉ khác, việc rút tiền bị chặn và nhóm Telegram bị đóng cửa.

Theo dữ liệu của DefiLlama , tính đến ngày 1 tháng 4, tổng thiệt hại từ các vụ hack tiền điện tử đã vượt quá 7,7 tỷ USD, mặc dù số vụ việc trong quý đầu tiên của năm 2024 đã giảm 23% so với năm ngoái.

Dữ liệu cho thấy các giao thức defi bị tổn thất nhiều nhất kể từ năm 2016, với việc tin tặc đánh cắp 5,8 tỷ USD từ defi trong 7 năm.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

Altcoin

FixFloat được cho là lại bị khai thác một lần nữa, mất 2,8 triệu USD

Để lại phản hồi

Sàn giao dịch tiền điện tử phi tập trung FixFloat được cho là đã hứng chịu một cuộc tấn công khác của hacker, làm mất hàng triệu ETH, USDT, WETH, DAI và USDC.

Sàn giao dịch tiền điện tử phi tập trung FixFloat, vốn đã hứng chịu một cuộc tấn công trị giá 26,1 triệu đô la của hacker vào đầu tháng 2, rõ ràng đã bị khai thác khác, dẫn đến việc mất số tiền điện tử trị giá gần 3 triệu đô la trên mạng Ethereum

Theo dữ liệu từ CyversAlerts, một thực thể không xác định đã nhanh chóng rút 2,8 triệu đô la Ethereum (ETH), Tether (USDT), Wrapped Ether (WETH), DAI và USD Coin (USDC) từ ví nóng của FixFloat trên chuỗi khối Ethereum. Kẻ tấn công được cho là đã tận dụng eXch, một hợp đồng thông minh để hoán đổi token, để tạo điều kiện thuận lợi cho các giao dịch bất hợp pháp.

“Địa chỉ đáng ngờ đã nhanh chóng hoán đổi những tài sản này thành ETH thông qua DEX, trước khi chuyển tất cả số tiền vào sàn giao dịch eXch. Sau những giao dịch này, ví nóng đã ngừng hoạt động và trang web của công ty hiện đang được bảo trì.” Cảnh báo Cyvers

Tính đến thời điểm báo cáo, FixFloat chưa đưa ra bất kỳ tuyên bố công khai nào liên quan đến vấn đề này và trang web chính thức hiện không thể truy cập được do bảo trì kỹ thuật.

Vụ việc mới nhất đánh dấu một hành vi vi phạm thành công khác chống lại FixFloat, sau một cuộc tấn công trước đó vào tháng 2 khiến sàn giao dịch mất 26,1 triệu USD do truy cập trái phép vào quỹ của mình. Mặc dù các chi tiết cụ thể xung quanh bản chất của vụ vi phạm tháng 2 vẫn chưa được tiết lộ, nhưng các nhà phát triển dự án trước đó đã hạ thấp tầm quan trọng của những sự cố như vậy, coi vụ hack trị giá 26 triệu USD là một “vấn đề nhỏ”.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

DeFi

Thiệt hại của ngành công nghiệp tiền điện tử do bị hack giảm 23% trong quý 1

Để lại phản hồi

Trong quý đầu tiên của năm, ngành công nghiệp tiền điện tử đã thiệt hại 336,3 triệu USD do bị hack, ít hơn 23,1% so với năm ngoái.

Theo báo cáo của Immunefi , trong ba tháng đầu năm 2024, các dự án tiền điện tử đã thiệt hại hơn 321 triệu USD do 46 vụ hack và 15 vụ lừa đảo.

Tài chính phi tập trung ( defi ) là mục tiêu hàng đầu của tin tặc , chiếm 100% tổn thất trong ngành tiền điện tử. Theo Giám đốc điều hành Immunefi, Mitchell Amador, defi thường xuyên bị xâm phạm khóa riêng.

“Đặc biệt, hệ sinh thái đã chứng kiến một lượng tổn thất đáng kể do xâm phạm khóa riêng, nhấn mạnh nhu cầu quan trọng là phải bảo mật cả cơ sở hạ tầng mã và giao thức.”

Mitchell Amador, Người sáng lập và Giám đốc điều hành tại Immunefi

Số vụ tấn công của hacker trong quý 1 năm 2024 giảm 17,5% so với cùng kỳ năm 2023. Những kẻ tấn công thường khai thác mạng Ethereum ( ETH ), nạn nhân của 33 vụ việc. Chuỗi khối BNB Chain ( BNB ) chứng kiến các cuộc tấn công nhiều thứ hai, đã bị khai thác 14 lần. Chuỗi Ethereum và BNB chiếm hơn 73% số tiền bị mất.

Vụ hack lớn nhất là tấn công vào Orbit Bridge và nền tảng chơi game web3 Munchables . Những kẻ tấn công đã đánh cắp hơn 81 triệu USD từ Orbit và gần 63 triệu USD từ Munchables. Theo sau cặp đôi này là PlayDappFixFloat , lần lượt mất 32 triệu USD và 26 triệu USD.

Nguồn: Miễn dịch

Hack vẫn là phương thức trộm tiền điện tử phổ biến nhất trong ngành, chiếm 95,6% tổng số thiệt hại, trong khi gian lận chỉ chiếm 4,4%. Theo các nhà phân tích, các vụ lừa đảo đã giảm 22,4% trong 12 tháng qua.

Vào năm 2023, tin tặc đã rút được 19 triệu USD từ các dự án tiền điện tử, so với 14 triệu USD trong năm nay. Tuy nhiên, chỉ có 22% số tiền bị đánh cắp được trả lại trong năm nay với số tiền 73 triệu USD.

Đáng chú ý, lĩnh vực tài chính tập trung ( cefi ) không lỗ gì trong 3 tháng đầu năm 2024, trong khi cùng kỳ năm ngoái lỗ 1,8 triệu USD.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

Bitcoin

Lazarus đã rửa 174 triệu đô la ETH bị đánh cắp từ HTX, chuyển tài sản sang Bitcoin

Để lại phản hồi

Mặc dù bị OFAC đưa vào danh sách đen, máy trộn Tornado Cash vẫn tiếp tục hoạt động, giúp các tin tặc có liên quan đến Triều Tiên rửa hàng triệu tiền điện tử bị đánh cắp.

Nhóm hack Lazarus Group liên kết với CHDCND Triều Tiên đã rửa thành công số Ethereum (ETH) trị giá hàng trăm triệu đô la bị đánh cắp từ HTX (trước đây là Huobi ) và Heco Bridge vào tháng 11 năm 2023.

Taylor Monahan, người sáng lập và Giám đốc điều hành của MyEtherWallet, tiết lộ trong một bài đăng X vào ngày 28 tháng 3 rằng tin tặc đã rửa thành công hơn 48.194 ETH (hiện có giá trị ~ 170 triệu USD) thông qua Tornado Cash, một dịch vụ trộn được Văn phòng Tài sản Nước ngoài xử phạt Kiểm soát (OFAC), nhằm cố gắng che giấu dấu vết giao dịch.

Monahan cũng đính kèm các biểu đồ minh họa các chiến thuật mà tin tặc sử dụng, những kẻ đã phát tán tiền điện tử bị đánh cắp của họ trong hàng trăm giao dịch trên nhiều ví, đồng thời cho biết thêm rằng họ “đã nhảy qua mỗi lần rút tiền một vài lần”.

Sau khi tin tặc trộn tiền của chúng trên mạng Ethereum , chúng sẽ chuyển chúng sang chuỗi khối Bitcoin bằng cách sử dụng THORSwap , một dịch vụ cho phép chuyển tài sản chuỗi chéo giữa các mạng khác nhau. Vẫn chưa rõ liệu các tin tặc đã rút tiền mặt hay chưa, vì chúng thường bán tiền điện tử bị đánh cắp trên các thị trường phi tập trung (OTC) để lấy tiền tệ fiat.

Vào tháng 11 năm 2023, Hợp tác xã và cây cầu Ethereum của Heco Chain trở thành nạn nhân của một cuộc tấn công của hacker , dẫn đến việc mất số tiền điện tử trị giá hàng chục triệu đô la. Vào thời điểm đó, Justin Sun, một nhà đầu tư tại sàn giao dịch, đã đảm bảo với khách hàng rằng họ sẽ được hoàn trả đầy đủ. Tuy nhiên, cho đến nay vẫn chưa rõ chính xác bằng cách nào tin tặc giành được quyền kiểm soát ví nóng của sàn giao dịch.

OFAC đã áp đặt các biện pháp trừng phạt đối với Tornado Cash vào năm 2022, tuyên bố dịch vụ này đã được sử dụng để rửa tiền điện tử trị giá hơn 7 tỷ đô la kể từ năm 2019. Điều này bao gồm hơn 455 triệu đô la bị Lazarus Group đánh cắp, hơn 96 triệu đô la tiền của các tác nhân mạng độc hại có nguồn gốc từ Tornado Cash. Vụ cướp Harmony Bridge và ít nhất 7,8 triệu USD từ vụ cướp Nomad.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News