Thanh toán qua tài khoản ngân hàng vẫn đang được chờ đợi.
Gần 10 năm sau khi bị hack, sàn giao dịch tiền điện tử Mt. Gox dường như đang bắt đầu trả nợ cho những khách hàng đã mất 850.000 bitcoin (BTC) hiện trị giá khoảng 36 tỷ USD.
Một số người tham gia nhóm subreddit mtgoxinsolvency cho biết họ đã nhận được khoản thanh toán bằng đồng yên qua Paypal. Những người khác, những người đã chọn nhận tiền mặt vào tài khoản ngân hàng, cho biết họ chưa thấy bất kỳ dòng tiền nào vào.
Sàn giao dịch này, ra mắt vào năm 2010, là sàn giao dịch lớn nhất thế giới khi bị hack vào năm 2014. Cuối cùng, nó đã có thể phục hồi được khoảng 20% số tiền bị đánh cắp. Đầu năm nay, họ đã gia hạn thời hạn trả nợ thêm 12 tháng cho đến tháng 10 năm 2024.
UBS đã cho biết trong một báo cáo hồi đầu năm nay rằng việc hoàn trả có thể có một số tác động đến giá bitcoin, do khối lượng token được phát hành quá lớn, nhưng sẽ không gây bất ổn cho thị trường.
Tin tặc đã trả lại 36 BAYC và 18 MAYC sau khi nhận được khoản thanh toán tiền thưởng 120 Ether từ người đồng sáng lập Yuga Labs, Greg Solano.
Tất cả các token không thể thay thế (NFT) của Bored Ape Yacht Club (BAYC) và Mutant Ape Yacht Club (MAYC) bị đánh cắp từ nền tảng giao dịch ngang hàng NFT Trader đã được trả lại sau khi thanh toán tiền thưởng.
Các NFT trị giá gần 3 triệu USD đã bị đánh cắp trong vụ hack vào ngày 16 tháng 12. Theo các tin nhắn công khai, kẻ tấn công đã quy việc khai thác ban đầu cho một người dùng khác. “Tôi đến đây để nhặt rác còn sót lại,” họ viết và yêu cầu thanh toán tiền chuộc để trả lại NFT.
“Nếu bạn muốn lấy lại những NFT này thì bạn phải trả cho tôi 120 ETH […] và sau đó tôi sẽ gửi cho bạn NFT, chỉ đơn giản như vậy thôi và tôi không bao giờ nói dối, tin tôi đi […],” một trong những tin nhắn viết .
Một sáng kiến cộng đồng do Boring Security dẫn đầu – một dự án bảo mật Web3 phi lợi nhuận do ApeCoin tài trợ – đã thu hồi tất cả tài sản trong vòng chưa đầy 24 giờ sau khi trả khoản tiền thưởng 120 Ether (ETH), trị giá khoảng 267.000 USD tại thời điểm viết bài.
“Tất cả 36 BAYC và 18 MAYC mà kẻ khai thác có hiện đều thuộc quyền sở hữu của chúng tôi. Chúng tôi đã gửi cho cô ấy [hacker] 10% giá sàn của các bộ sưu tập dưới dạng tiền thưởng,” nhóm Boring Security viết trên X (trước đây là Twitter).
Xin chúc mừng @BoringSecDAO đã lấy lại được những con Khỉ đó.
Tiền thưởng được trả bởi Greg Solano, người đồng sáng lập Yuga Labs. Công ty là người tạo ra cả bộ sưu tập NFT và các cuộc đàm phán được hỗ trợ để khôi phục mã thông báo và trả lại miễn phí cho chủ sở hữu ban đầu của chúng.
Theo “Foobar”, người sáng lập và nhà phát triển có biệt danh của Delegate, lỗ hổng này đã được giới thiệu 11 ngày trước sau khi nâng cấp hợp đồng thông minh cho phép lạm dụng tính năng đa cuộc gọi, cho phép chuyển NFT trái phép từ chủ sở hữu hợp pháp của chúng do quyền giao dịch đã được cấp trước đó.
Sự cố đã khiến người dùng kêu gọi thu hồi tất cả các quyền được cấp cho hai hợp đồng cũ 0xc310e760778ecbca4c65b6c559874757a4c4ece0 và 0x13d8faF4A690f5AE52E2D2C52938d1167057B9af. Foobar cho biết NFT có thể bị đánh cắp một lần nữa nếu phê duyệt không bị thu hồi. Nhà phát triển đã hỗ trợ nhóm của NFT Trader ngăn chặn cuộc tấn công ngay sau khi nó được phát hiện.
Ít nhất 13 token Mutant Ape Yacht Club và 37 token Bored Ape đã bị đánh cắp, cùng với các token VeeFriends và World of Women. Số tiền thiệt hại lên tới gần 3 triệu USD.
Nền tảng giao dịch ngang hàng NFT Trader đã bị vi phạm bảo mật vào ngày 16 tháng 12, cho phép tin tặc đánh cắp các mã thông báo không thể thay thế (NFT) trị giá hàng triệu đô la.
NFT Trader xác nhận sự cố trên X (trước đây là Twitter), cho biết cuộc tấn công nhắm vào các hợp đồng thông minh cũ, kêu gọi người dùng thu hồi ủy quyền đối với hai địa chỉ: 0xc310e760778ecbca4c65b6c559874757a4c4ece0 và 0x13d8faF4A690f5AE52E2D2C52938d1167057B9af.
Trong số các NFT bị đánh cắp có ít nhất 13 Mutant Ape Yacht Club và 37 token Bored Ape, cũng như NFT VeeFriends và World of Women, gây ra khoản lỗ gần 3 triệu USD, theo Revoke.cash.
Sau vụ hack là những tin đồn và thông tin sai lệch trên các nền tảng truyền thông xã hội. Ngoài ra, vẫn chưa rõ có bao nhiêu hacker đã khai thác lỗ hổng bảo mật này. Trong một tin nhắn công khai, một trong những kẻ tấn công đã quy kết việc khai thác ban đầu cho một người dùng khác. “Tôi đến đây để nhặt rác còn sót lại,” họ viết và yêu cầu thanh toán tiền chuộc để trả lại NFT.
“Lúc đầu, như thường lệ, tôi đến đây để nhặt rác còn sót lại. Lúc đầu tôi nghĩ mình chỉ có thể nhận được TOKEN, nhưng cuối cùng tôi phát hiện ra rằng mình cũng có thể nhận được NFT. […] Tôi là một người tốt, Giá trị của những nft này đủ để một người có thể sống một cuộc sống tự do, nhưng tôi không quan tâm đến điều đó. Tôi thích nhặt rác còn sót lại hơn”, một trong những kẻ tấn công nói.
Kẻ tấn công sau đó tuyên bố có kỹ năng kỹ thuật hạn chế và đề xuất nạn nhân trả 10% tiền thưởng bằng Ether (ETH) để đổi lấy NFT của họ. “Kỹ năng kỹ thuật của tôi còn hạn chế, tôi không thể lấy lại tất cả các nft bị ảnh hưởng cùng một lúc và điều đó khiến tôi tốn rất nhiều công sức và thời gian. […] Nếu bạn muốn lấy lại nft khỉ, thì bạn phải trả tiền thưởng cho tôi, đó là những gì tôi xứng đáng nhận được”, họ viết.
Trong một diễn biến không điển hình khác, một trong những nạn nhân cho biết kẻ tấn công đã trả lại một NFT hiếm cùng với 31 ETH, trị giá gần 70.680 USD vào thời điểm viết bài. “Và bây giờ hacker vừa gửi cho tôi 31 ETH? Chuyện quái gì đang xảy ra vậy. Đây có phải là cuộc sống thực không?”, nạn nhân viết trên X.
OKX DEX đã bị khai thác dẫn đến mất khoảng 2,7 triệu đô la tiền điện tử sau khi quản trị viên proxy nâng cấp hợp đồng cho phép tin tặc xâm phạm khóa riêng.
Sàn giao dịch phi tập trung OKX (DEX) đã bị hack 2,7 triệu USD vào ngày 13 tháng 12 sau khi khóa riêng của chủ sở hữu quản trị viên proxy được báo cáo là bị rò rỉ.
Vào ngày 13 tháng 12, công ty bảo mật blockchain SlowMist Zone đã đăng trên X (trước đây là Twitter) rằng OKX DEX “đã gặp sự cố”. Theo báo cáo, vấn đề bắt đầu xảy ra vào khoảng 10:23 tối UTC ngày 12 tháng 12 năm 2023 sau khi chủ sở hữu quản trị viên proxy nâng cấp hợp đồng proxy DEX lên hợp đồng triển khai mới và người dùng bắt đầu đánh cắp mã thông báo.
Cảnh báo bảo mật SlowMist: Khóa riêng của chủ sở hữu quản trị viên proxy OKX DEX bị nghi ngờ bị rò rỉ
Theo thông tin từ SlowMist Zone, hợp đồng OKX DEX dường như đã gặp sự cố. Sau phân tích của SlowMist, người ta thấy rằng khi người dùng trao đổi, họ ủy quyền…
Sau đó, vào khoảng 11:53 tối UTC, chủ sở hữu quản trị viên proxy đã thực hiện một nâng cấp khác cho hợp đồng và người dùng tiếp tục khai thác mã thông báo. Phân tích của SlowMist vào thời điểm đó cho biết cuộc tấn công “có thể” là kết quả của việc khóa của chủ sở hữu quản trị viên proxy bị rò rỉ.
Proxy DEX sau đó đã bị xóa khỏi danh sách đáng tin cậy của nền tảng.
Scopescan, một công ty phân tích on-chain, cũng báo cáo về cuộc tấn công và cho biết người dùng đang báo cáo sự kiện này. Nó báo cáo rằng sau khi liên hệ với DEX, họ được thông báo rằng một hợp đồng cũ bị bỏ rơi đã bị tấn công nhưng đã được xác định và dừng lại.
Ngoài ra, OKX DEX cho biết mọi tổn thất của người dùng bị ảnh hưởng bởi vụ hack sẽ “được gánh chịu hoàn toàn”.
Người dùng đã báo cáo sự kiện khai thác trên hợp đồng #OKX DEX.
Chúng tôi đã liên hệ với họ và nhận được phản hồi như sau:
“Hợp đồng MM cũ bị bỏ hoang đã bị tấn công, cuộc tấn công đã được xác định và dừng lại.
Những tổn thất của người dùng liên quan sẽ được chịu hoàn toàn.”
Theo một bài đăng từ công ty bảo mật blockchain PeckShield, tổng thiệt hại của cuộc tấn công OKX DEX là khoảng 2,7 triệu USD bằng nhiều loại tiền điện tử khác nhau. PeckShield khuyên người dùng “vui lòng thu hồi các khoản trợ cấp” nếu có.
Sau vụ hack, một người dùng X đã đăng lời nhắc rằng chỉ vì thứ gì đó “phi tập trung” không có nghĩa là tài sản đó nhất thiết phải an toàn:
Mọi người nói rằng họ muốn phân cấp, vì vậy các nhà xây dựng cung cấp cho họ DEX.
Chỉ vì nó phi tập trung nên mọi người nghĩ rằng chúng tôi sẽ không mất tài sản. Không, bạn sai rồi, bạn vẫn có thể bị hack và sự việc đáng tiếc hôm nay với OKX DEX là lời nhắc nhở về việc “hãy cẩn thận với những gì bạn mong muốn”.
Cho đến tháng 9 năm 2023, nghiên cứu cho thấy ngành công nghiệp tiền điện tử đã chịu thiệt hại 1,5 tỷ USD do các vụ hack, khai thác và lừa đảo trong năm nay.
Theo nền tảng phân tích blockchain Lookonchain, hacker đứng sau cuộc tấn công vào thư viện trình kết nối của Ledger đã đánh cắp ít nhất 484.000 USD.
Theo nền tảng phân tích blockchain Lookonchain, hacker đứng sau cuộc tấn công vào thư viện trình kết nối của Ledger đã đánh cắp tài sản trị giá gần 484.000 USD. Ledger vẫn chưa xác nhận các số liệu, nhưng theo công ty, tác động của vụ vi phạm an ninh có thể lên tới hàng trăm nghìn.
Người dùng trên X (Twitter) đã gắn cờ sự cố vào ngày 14 tháng 12 , cho rằng trình kết nối Web3 phổ biến đã bị xâm phạm, cho phép mã độc được đưa vào nhiều ứng dụng phi tập trung (DApps).
Các giao thức bị ảnh hưởng bởi sự cố bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash, nhưng thiệt hại có thể còn lớn hơn. Theo một số người dùng trên X, lỗ hổng này có thể tồn tại trong các chương trình tương tự khác thay thế cho LedgerHQ/connect-kit.
Theo MetaMask, vụ hack cũng ảnh hưởng đến người dùng. Nhà cung cấp ví đã triển khai bản sửa lỗi cho nền tảng của mình, cho biết người dùng sử dụng phiên bản mới nhất, v2.121.0, sẽ có thể “giao dịch lại và sẽ được cập nhật tự động. Nếu bạn chưa sử dụng phiên bản này, vui lòng làm mới dữ liệu trang web của bạn.”
hầu hết các tweet về sổ cái đều sai
đây là những gì bạn cần biết:
TẤT CẢ CÁC VÍ ETHEREUM HOẠT ĐỘNG ĐANG CÓ RỦI RO
không kết nối BẤT KỲ ví ethereum/evm nào với BẤT KỲ ứng dụng nào cho đến khi có thông báo mới
không quan trọng đó có phải là sổ cái hay không
nếu hôm nay bạn không sử dụng ví thì bạn sẽ an toàn
Gần ba giờ sau vụ việc, Ledger báo cáo rằng phiên bản độc hại của tệp đã được thay thế bằng phiên bản chính hãng vào khoảng 1:35 chiều UTC. Công ty đang cảnh báo người dùng của mình “luôn xóa các giao dịch Đăng nhập”, đồng thời bổ sung thêm rằng các địa chỉ và thông tin được trình bày trên màn hình Sổ cái là thông tin chính xác duy nhất:
“Nếu có sự khác biệt giữa màn hình hiển thị trên thiết bị Ledger và màn hình máy tính/điện thoại của bạn, hãy dừng giao dịch đó ngay lập tức.”
Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit.
Một phiên bản chính hãng hiện đang được đẩy mạnh để thay thế tệp độc hại. Không tương tác với bất kỳ dApps nào vào lúc này. Chúng tôi sẽ thông báo cho bạn khi tình hình phát triển.
Dữ liệu được CertiK chia sẻ cho thấy rằng một phần ba số tổn thất từ 50 vụ khai thác tiền điện tử lớn nhất vào năm 2023 đều thuộc về mạng Bitcoin.
Trong khi tính phân quyền của Bitcoin mang lại cho nhiều người quyền tự do chuyển tài sản mà không gặp rủi ro bị kiểm duyệt, những kẻ độc hại cũng đang lợi dụng quyền riêng tư vốn có của mạng để chuyển tiền bị đánh cắp.
Trước khi bị Mỹ trừng phạt Theo Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính vào năm 2022, Tornado Cash là lựa chọn nổi bật để tin tặc rửa tiền điện tử bị đánh cắp. Theo OFAC, hơn 7 tỷ USD tài sản tiền điện tử đã được rửa bằng cách sử dụng máy trộn kể từ năm 2019. Tuy nhiên, những phát hiện mới từ công ty bảo mật blockchain CertiK cho thấy rằng đã có sự thay đổi vào năm 2023.
Dữ liệu do CertiK phân tích cho thấy hơn 300 triệu đô la số tiền thu được bị đánh cắp từ 50 vụ khai thác lớn nhất năm 2023 đã chuyển sang Bitcoin, khi tin tặc cố gắng tìm nơi khác để chuyển số tiền thu được bất chính của chúng sau khi cơ quan quản lý tăng cường giám sát đối với Tornado Cash.
Trình trộn tiền điện tử là các giao thức được sử dụng để giữ các giao dịch tiền điện tử ở chế độ riêng tư. Công cụ này kết hợp các khoản tiền có khả năng nhận dạng được với số tiền lớn khác để ẩn danh các giao dịch chuyển tiền giữa các địa chỉ ví .
Joe Green, trưởng nhóm phản ứng nhanh của CertiK, nói với Cointelegraph rằng trong khi tính phân cấp và quyền riêng tư trong Bitcoin trao quyền cho người dùng hợp pháp, những kẻ độc hại cũng có thể khai thác nó để trục lợi. Xanh giải thích:
“Hệ sinh thái Bitcoin lưu trữ nhiều công cụ trộn lẫn quyền riêng tư phục vụ cả người dùng quan tâm đến quyền riêng tư và những người có ý định bất chính. […] Mặc dù kịch bản này đưa ra một thách thức, nhưng điều quan trọng là phải thừa nhận nó như một khía cạnh nội tại của các hệ thống phi tập trung.”
Việc chuyển sang máy trộn Bitcoin ( BTC ) có nghĩa là các tác nhân độc hại đang cố gắng tìm cách loại bỏ Tornado Cash vì các lệnh trừng phạt theo quy định. Phân tích của CertiK cho thấy các công cụ trộn Bitcoin như Sinbad, vốn đã bị chính quyền Hoa Kỳ trừng phạt và đóng cửa , đã trở thành công cụ được nhóm hacker tiền điện tử khét tiếng Lazarus lựa chọn vào năm 2023.
Theo CertiK, các máy trộn Bitcoin sử dụng một cách tiếp cận khác để ẩn danh các giao dịch. Với các bộ trộn như Tornado Cash, bộ trộn sẽ làm xáo trộn liên kết giữa người gửi và người nhận. Tuy nhiên, người dùng chỉ có thể rút số tiền tương đương với số tiền họ đã nạp vào ví mới, trừ đi một khoản phí.
Mặt khác, công cụ trộn Bitcoin cho phép người dùng gửi Bitcoin và phân phối nó trên nhiều ví với các tỷ lệ phần trăm khác nhau, điều này càng làm phức tạp thêm việc theo dõi.
Trong khi Tornado Cash vẫn là một công cụ trộn “phù hợp” cho tội phạm mạng quy mô nhỏ hơn, CeriK nhấn mạnh rằng các sự cố liên quan đến 50 triệu đô la trở lên đã xoay quanh các giải pháp rửa tiền dựa trên Bitcoin. CertiK tin rằng đây có thể là một xu hướng và là bản xem trước những thách thức phía trước đối với không gian tiền điện tử.
Khi các chiến thuật rửa tiền điện tử phát triển, nhu cầu cấp thiết về các biện pháp đối phó năng động hơn trong cuộc chiến chống lại tội phạm tài chính dựa trên blockchain. Xanh giải thích:
“Có lẽ biện pháp đối phó hiệu quả nhất là truy tìm toàn diện các chuyển động của các quỹ ‘bẩn’. Việc chia sẻ thông tin với các bên liên quan như sàn giao dịch cũng là một bước quan trọng.”
Hơn nữa, chuyên gia bảo mật cũng tin rằng điều cần thiết là các bên liên quan phải nhận thức được các chiến thuật mà tội phạm sử dụng để có thể chống lại chúng.
Nhiều ứng dụng phi tập trung sử dụng thư viện trình kết nối của Ledger đã bị xâm phạm, bao gồm SushiSwap và Revoke.cash. Ledger tuyên bố vấn đề đã được khắc phục.
Cập nhật (lúc 2:45 chiều UTC ngày 14 tháng 12): Bài viết này đã được cập nhật để làm rõ rằng Ledger được cho là đã khắc phục sự cố.
Giao diện người dùng của nhiều ứng dụng phi tập trung (DApps) sử dụng trình kết nối của Ledger, bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị xâm phạm vào ngày 14 tháng 12. Gần ba giờ sau khi phát hiện vi phạm bảo mật, Ledger đã báo cáo rằng phiên bản độc hại của tệp đã được thay thế bằng phiên bản chính hãng vào khoảng 1:35 chiều UTC.
Ledger đang cảnh báo người dùng các giao dịch “luôn xóa dấu hiệu”, đồng thời nói thêm rằng địa chỉ và thông tin được trình bày trên màn hình Ledger là thông tin chính xác duy nhất. “Nếu có sự khác biệt giữa màn hình hiển thị trên thiết bị Ledger và màn hình máy tính/điện thoại của bạn, hãy dừng giao dịch đóngay lập tức.”
Giám đốc kỹ thuật của SushiSwap, Matthew Lilley là một trong những người đầu tiên báo cáo vấn đề, lưu ý rằng trình kết nối Web3 thường được sử dụng đã bị xâm phạm, cho phép mã độc xâm nhập vào nhiều DApp. Nhà phân tích on-chain cho biết thư viện Ledger đã xác nhận sự xâm phạm trong đó mã dễ bị tấn công đã chèn địa chỉ tài khoản Drainer.
BÁO ĐỘNG ĐỎ :
Không tương tác với BẤT KỲ dApp nào cho đến khi có thông báo mới. Có vẻ như một trình kết nối web3 thường được sử dụng đã bị xâm phạm, cho phép tiêm mã độc ảnh hưởng đến nhiều dApp.
Lilley đổ lỗi cho Ledger về lỗ hổng và sự xâm phạm đang diễn ra trên nhiều DApp. Giám đốc điều hành tuyên bố rằng mạng phân phối nội dung của Ledger đã bị xâm phạm, trong đó JavaScript được tải từ mạng bị xâm nhập.
Trình kết nối sổ cái là một thư viện được nhiều DApp sử dụng và được Ledger duy trì. Một công cụ rút ví đã được thêm vào, do đó việc rút tài sản khỏi tài khoản của người dùng có thể không tự xảy ra. Tuy nhiên, lời nhắc từ ví trình duyệt như MetaMask sẽ hiển thị và có thể cấp cho các tác nhân độc hại quyền truy cập vào tài sản.
Lilley cảnh báo người dùng tránh bất kỳ DApp nào sử dụng trình kết nối Ledger, đồng thời nói thêm rằng “bộ kết nối” cũng dễ bị tấn công và đây không phải là một cuộc tấn công đơn lẻ mà là một cuộc tấn công quy mô lớn vào nhiều DApp.
Lỗ hổng với Ledger Connect Kit cần được giải quyết ngay bây giờ
Đây dường như chỉ là một cách khai thác EVM, nhưng chúng tôi có thể xác nhận rằng người dùng Phantom trên các dapp có giao diện người dùng bị xâm nhập sẽ thấy các cảnh báo thích hợp trong bản xem trước giao dịch của chúng tôi.
Phó chủ tịch Polygon Labs, Hudson Jameson cho biết ngay cả sau khi Ledger sửa mã xấu trong thư viện của mình, các dự án sử dụng và triển khai thư viện sẽ cần phải cập nhật trước khi có thể sử dụng DApps bằng thư viện Web3 của Ledger một cách an toàn.
có vẻ như 0K+ đã cạn kiệt
khách hàng thoát nước 0x658729879fca881d9526480b82ae00efc54b5c2d địa chỉ thu phí thông cống 0x412f10AAd96fD78da6736387e2C84931Ac20313f pic.twitter.com/Rld2BsKNDo
Ido Ben-Natan, đồng sáng lập và CEO của Blockaid, nói với Cointelegraph:
“Người dùng sổ cái không gặp rủi ro nếu không giao dịch. Nó không thể khai thác được khi được phê duyệt trước. Revoke.cash đặc biệt bị ảnh hưởng, vì vậy đừng tương tác với nó. số tiền bị ảnh hưởng là hàng trăm nghìn đô la trong hai giờ qua. Nhiều trang web vẫn bị ảnh hưởng và người dùng đang bị ảnh hưởng.”
Ledger thừa nhận lỗ hổng trong mã của nó và cho biết họ đã “xóa phiên bản độc hại của Ledger Connect Kit”, đồng thời nói thêm rằng “một phiên bản chính hãng hiện đang được đẩy để thay thế tệp độc hại”.
Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit.
Một phiên bản chính hãng hiện đang được đẩy mạnh để thay thế tệp độc hại. Không tương tác với bất kỳ dApps nào vào lúc này. Chúng tôi sẽ thông báo cho bạn khi tình hình phát triển.
Nhà cung cấp ví MetaMask cũng bị ảnh hưởng bởi vụ việc. Ledger đã phát hành bản vá để giải quyết vấn đề nhưng cảnh báo người dùng phải đợi 24 giờ trước khi sử dụng lại thư viện trình kết nối của nó.
Theo nhóm Linea, một bản tổng hợp không có kiến thức của Consensys, cuộc tấn công vào thư viện trình kết nối của Ledger có thể ảnh hưởng đến toàn bộ hệ sinh thái Máy ảo Ethereum (EVM).
Tin tặc đã nhắm mục tiêu vào thư viện kết nối Ledger, được thiết kế để cho phép liên lạc giữa ví phần cứng Ledger và các ứng dụng phi tập trung (DApps) khác nhau. Nhà cung cấp ví MetaMask cũng bị ảnh hưởng bởi sự cố bảo mật.
Gửi tới tất cả người dùng web3, Có vẻ như lỗ hổng này đang ảnh hưởng đến nhiều dapp trên toàn bộ hệ sinh thái EVM. Sẽ rất rủi ro khi tương tác với bất kỳ dapp nào cho đến khi vấn đề được giải quyết đúng cách.
Theo một bài đăng trên X (Twitter), MetaMask đã triển khai một bản cập nhật để khắc phục sự cố trên Danh mục MetaMask của mình. “Hãy đảm bảo rằng bạn đã bật tính năng Blockaid trong Tiện ích mở rộng MetaMask trước khi thực hiện bất kỳ giao dịch nào trên Danh mục MetaMask,” công ty cảnh báo trên X.
Các giao thức bị ảnh hưởng khác bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash. Công ty bảo mật chuỗi khối CertiK nói với Cointelegraph rằng bất kỳ DApp nào nhập CDN sổ cái sẽ tự động thực thi mã thoát nước, nhắc nạn nhân kết nối qua bất kỳ ví nào họ hỗ trợ.
Ledger là một loại ví phần cứng phổ biến được nhiều người trong cộng đồng tiền điện tử sử dụng. Thư viện trình kết nối của nó là một thành phần quan trọng giúp giao tiếp giữa phần cứng Ledger và các DApp khác nhau. Thư viện này có thể ảnh hưởng đến nhiều người dùng và giao dịch EVM nếu bị xâm phạm.
Cuộc tấn công được bắt đầu sau khi một cựu nhân viên Ledger bị lừa đảo và tài khoản NPMJS của họ bị xâm phạm. “Kẻ tấn công đã xuất bản một phiên bản độc hại của Ledger Connect Kit (ảnh hưởng đến các phiên bản 1.1.5, 1.1.6 và 1.1.7). Mã độc đã sử dụng dự án WalletConnect lừa đảo để định tuyến lại tiền đến ví của hacker,” công ty viết trên X.
Bản sửa lỗi đã được đưa ra gần 40 phút sau khi Ledger phát hiện ra sự cố. Công ty đang cảnh báo người dùng đợi 24 giờ trước khi sử dụng lại Ledger Connect Kit.
THỜI GIAN CUỐI CÙNG VÀ CẬP NHẬT CHO KHÁCH HÀNG:
4:49 chiều CET:
Ledger Connect Kit phiên bản chính hãng 1.1.8 hiện đang được phổ biến tự động. Chúng tôi khuyên bạn nên đợi 24 giờ cho đến khi sử dụng lại Ledger Connect Kit.
Cuộc điều tra vẫn tiếp tục, đây là dòng thời gian của những gì chúng tôi biết về…
Nền tảng phân tích chuỗi khối Lookonchain tuyên bố hacker đã đánh cắp tài sản trị giá gần 484.000 USD, nhưng tác động của vi phạm bảo mật có thể lớn hơn, Ledger lưu ý.
Giám đốc điều hành kiêm chủ tịch Pascal Gauthier cho biết công ty đang hợp tác với cơ quan thực thi pháp luật để “tìm ra kẻ xấu này và đưa chúng ra trước công lý”.
Giám đốc điều hành Ledger Pascal Gauthier đã giải quyết vụ hack ngày 14 tháng 12 về vụ hack nhà cung cấp ví trong một bài đăng trên blog của công ty. Ông cho biết vụ hack thư viện trình kết nối Javascript của Ledger là một “sự cố riêng lẻ” và hứa hẹn sẽ kiểm soát an ninh chặt chẽ hơn.
Cam kết cá nhân của tôi: Ledger sẽ dành nhiều nguồn lực bên trong và bên ngoài nhất có thể để giúp các cá nhân bị ảnh hưởng lấy lại tài sản của họ.
Gauthier cho biết, quá trình khai thác diễn ra trong chưa đầy hai giờ và bị vô hiệu hóa trong vòng 40 phút kể từ khi phát hiện và bị giới hạn ở các ứng dụng phi tập trung (DApps) của bên thứ ba. Ông nói, điều đó đã được thực hiện sau khi một nhân viên cũ trở thành nạn nhân của một vụ lừa đảo lừa đảo. Danh tính của nhân viên đó được cho là đã bị bỏ lại trong đoạn mã bị tấn công. Phần cứng sổ cái và nền tảng Ledger Live không bị ảnh hưởng. Hơn nữa:
“Thông lệ tiêu chuẩn tại Ledger là không một cá nhân nào có thể triển khai mã mà không được nhiều bên xem xét. Chúng tôi có các biện pháp kiểm soát quyền truy cập mạnh mẽ, đánh giá nội bộ và mã đa chữ ký khi nói đến hầu hết các phần trong quá trình phát triển của chúng tôi. Đây là trường hợp xảy ra ở 99% hệ thống nội bộ của chúng tôi. Bất kỳ nhân viên nào rời khỏi công ty đều bị thu hồi quyền truy cập vào mọi hệ thống Sổ cái.”
Gauthier tiếp tục gọi vụ hack là “một sự cố cá biệt đáng tiếc”. Anh ấy đã hứa rằng trong tương lai:
“Ledger sẽ triển khai các biện pháp kiểm soát bảo mật mạnh mẽ hơn, kết nối quy trình xây dựng của chúng tôi nhằm triển khai bảo mật chuỗi cung ứng phần mềm nghiêm ngặt với kênh phân phối NPM.”
Gauthier cho biết thêm, một vụ hack kiểu này có thể xảy ra với những người khác. Ông cho biết Ledger Connect Kit 1.1.8 an toàn và sẵn sàng để sử dụng. Ganthier cảm ơn WalletConnect, Tether, Chainalysis và ZachXBT đã hỗ trợ.
Quy mô của vụ hack ban đầu được ước tính là 484.000 USD , nhưng dịch vụ bảo mật Web3 Blockaid sau đó nói với Cointelegraph rằng số tiền đã tăng lên 504.000 USD vào lúc 8 giờ tối theo giờ UTC. Công ty cho biết thêm, vụ hack có thể ảnh hưởng đến bất kỳ người dùng Máy ảo Ethereum nào tương tác với DApp bị ảnh hưởng.
Dưới đây là danh sách các dapp có thể bị ảnh hưởng bởi vụ hack @ledger ! Tuyệt đối không tương tác với DEFI ngay hôm nay! Không có ứng dụng nào an toàn cho dù bạn có sử dụng Sổ cái hay không. pic.twitter.com/2ihbasF3R7