Lưu trữ cho từ khóa: #hack

Cách hacker Ledger Connect lừa người dùng thực hiện các phê duyệt độc hại

Theo Cyvers, kẻ tấn công đã khiến mã độc được chèn vào nhiều giao diện người dùng ứng dụng, cho phép kẻ khai thác đánh lừa người dùng xác nhận giao dịch.

Theo nhóm đằng sau nền tảng bảo mật blockchain Cyvers, hacker Ledger đã bòn rút ít nhất 484.000 USD từ nhiều ứng dụng Web3 vào ngày 14 tháng 12 bằng cách lừa người dùng thực hiện phê duyệt mã thông báo độc hại.

Theo tuyên bố công khai của nhiều bên liên quan, vụ hack xảy ra vào sáng ngày 14 tháng 12 . Kẻ tấn công đã sử dụng cách khai thác lừa đảo để xâm phạm máy tính của một cựu nhân viên Ledger , giành quyền truy cập vào tài khoản JavaScript (NPMJS) trình quản lý gói nút của nhân viên.

Sau khi có được quyền truy cập, họ đã tải một bản cập nhật độc hại lên kho lưu trữ GitHub của Ledger Connect. Ledger Connect là gói được sử dụng phổ biến cho các ứng dụng Web3.

Một số ứng dụng Web3 đã nâng cấp lên phiên bản mới khiến ứng dụng của chúng phát tán mã độc tới trình duyệt của người dùng. Các ứng dụng Web3 Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị nhiễm mã.

Kết quả là kẻ tấn công đã có thể bòn rút ít nhất 484.000 USD từ người dùng các ứng dụng này. Các ứng dụng khác cũng có thể bị ảnh hưởng vàcác chuyên gia đã cảnh báo rằng lỗ hổng này có thể ảnh hưởng đến toàn bộ hệ sinh thái Máy ảo Ethereum (EVM).

Làm sao nó có thể xảy ra được

Nói chuyện với Cointelegraph, Giám đốc điều hành Cyvers Deddy Lavid, giám đốc công nghệ Meir Dolev và nhà phân tích blockchain Hakal Unal đã làm sáng tỏ thêm về cách cuộc tấn công có thể xảy ra.

Theo họ, kẻ tấn công có thể đã sử dụng mã độc để hiển thị dữ liệu giao dịch khó hiểu trong ví của người dùng, khiến người dùng phê duyệt các giao dịch mà họ không có ý định thực hiện.

Dolev cho biết, khi các nhà phát triển tạo ứng dụng Web3, họ sử dụng “bộ công cụ kết nối” mã nguồn mở để cho phép ứng dụng của họ kết nối với ví của người dùng. Các bộ công cụ này là những đoạn mã có sẵn có thể được cài đặt trong nhiều ứng dụng, cho phép chúng xử lý quá trình kết nối mà không cần tốn thời gian viết mã. Bộ công cụ kết nối của Ledger là một trong những tùy chọn có sẵn để xử lý tác vụ này.

Khi nhà phát triển viết ứng dụng lần đầu tiên, họ thường cài đặt bộ kết nối thông qua trình quản lý gói nút. Sau khi tạo bản dựng và tải nó lên trang web của họ, ứng dụng của họ sẽ chứa bộ kết nối như một phần mã của nó, sau đó sẽ được tải xuống trình duyệt của người dùng bất cứ khi nào người dùng truy cập trang web.

Theo nhóm Cyvers, mã độc được chèn vào Ledger Connect Kit có thể cho phép kẻ tấn công thay đổi các giao dịch được đẩy tới ví của người dùng. Ví dụ: là một phần của quá trình sử dụng ứng dụng, người dùng thường cần đưa ra phê duyệt đối với các hợp đồng mã thông báo, cho phép ứng dụng chi tiêu mã thông báo từ ví của người dùng.

Mã độc có thể đã khiến ví của người dùng hiển thị yêu cầu xác nhận phê duyệt mã thông báo nhưng địa chỉ của kẻ tấn công được liệt kê thay vì địa chỉ của ứng dụng. Hoặc, nó có thể khiến xác nhận ví xuất hiện bao gồm mã khó hiểu, khiến người dùng nhầm lẫn nhấn “xác nhận” mà không hiểu họ đang đồng ý điều gì.

Một ví dụ về phê duyệt mã thông báo Web3. Nguồn: MetaMask

Dữ liệu chuỗi khối cho thấy các nạn nhân của cuộc tấn công đã phê duyệt mã thông báo rất lớn cho hợp đồng độc hại. Ví dụ: kẻ tấn công đã rút hơn 10.000 USD từ địa chỉ Ethereum 0xAE49C1ad3cf1654C1B22a6Ee38dD5Bc4ae08fEF7 trong một giao dịch. Nhật ký của giao dịch này cho thấy người dùng đã chấp thuận một lượng rất lớn USD Coin ( USDC ) được chi tiêu bởi hợp đồng độc hại.

Phê duyệt mã thông báo bởi nạn nhân khai thác. Nguồn: Etherscan

Nhóm Cyvers cho biết, việc phê duyệt này có thể do người dùng thực hiện do nhầm lẫn do mã độc. Họ cảnh báo rằng việc tránh kiểu tấn công này là vô cùng khó khăn vì không phải lúc nào ví cũng cung cấp cho người dùng thông tin rõ ràng về những gì họ đồng ý. Một phương pháp bảo mật có thể hữu ích là đánh giá cẩn thận từng thông báo xác nhận giao dịch bật lên trong khi sử dụng ứng dụng. Tuy nhiên, điều này có thể không giúp ích gì nếu giao dịch được hiển thị bằng mã khó đọc hoặc gây nhầm lẫn.

Liên quan: Giám đốc điều hành ConsenSys về bảo mật MetaMask Snaps: ‘Sự đồng ý là vua’

Cyvers tuyên bố rằng nền tảng của họ cho phép các doanh nghiệp kiểm tra địa chỉ hợp đồng và xác định xem những địa chỉ này có liên quan đến sự cố bảo mật hay không. Ví dụ: tài khoản tạo hợp đồng thông minh được sử dụng trong cuộc tấn công này đã bị Cyvers phát hiện có liên quan đến 180 sự cố bảo mật.

Nền tảng bảo mật của Cyvers. Nguồn: Cyvers

Nhóm nói với Cointelegraph rằng mặc dù các công cụ Web3 trong tương lai có thể cho phép phát hiện và ngăn chặn trước các cuộc tấn công như thế này, nhưng ngành công nghiệp vẫn còn “một chặng đường dài phía trước” để giải quyết vấn đề này.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo CoinTelegraph

Cuộc tấn công sổ cái cho thấy công ty 'không học được gì' sau nhiều lần vi phạm: nhà phát triển ENS

Các thành viên của cộng đồng tiền điện tử đã chia sẻ cảm xúc của họ về việc khai thác Ledger Connect một ngày sau vụ hack.

Các thành viên cộng đồng tiền điện tử đã đăng phản hồi của họ về việc khai thác Ledger Connect Kit đã ảnh hưởng đến nhiều ứng dụng phi tập trung (DApp) trên không gian Web3.

Vào ngày 14 tháng 12, một hacker đã tấn công giao diện người dùng của nhiều DApp bằng trình kết nối của Ledger. Kẻ khai thác đã vi phạm các ứng dụng lớn như SushiSwap, Phantom và Revoke.cash và đánh cắp ít nhất 484.000 USD tài sản kỹ thuật số.

Ledger thông báo rằng họ đã khắc phục sự cố ba giờ sau khi có báo cáo ban đầu về vụ tấn công. Giám đốc điều hành của công ty, Pascal Gauthier, cho biết đây là một sự cố cá biệt và lưu ý rằng họ đang làm việc với các cơ quan thực thi pháp luật có liên quan để tìm ra hacker và “đưa chúng ra trước công lý”.

Trong khi Ledger tuyên bố đây là một sự kiện biệt lập, Linea, một bản tổng hợp không có kiến thức của Consensys,đã cảnh báo người dùng Web3 rằng lỗ hổng này có thể ảnh hưởng đến toàn bộ hệ sinh thái Máy ảo Ethereum (EVM).

Một ngày sau khi vụ việc xảy ra, các thành viên cộng đồng đã lên X (Twitter) để bày tỏ cảm xúc về vụ việc Ledger. Một số người theo dõi khuyên nên sử dụng các nền tảng ví khác, trong khi những người khác kêu gọi Ledger cung cấp mọi thứ nguồn mở.

Vào ngày 15 tháng 12, người ủng hộ Bitcoin ( BTC ) Brad Mills đã nói với những người theo dõi X của mình rằng hãy sử dụng phần cứng chỉ dành cho Bitcoin do các kỹ sư Bitcoin tập trung vào việc bảo mật BTC chế tạo. Mills kêu gọi các thành viên cộng đồng không bao giờ đưa bạn bè của họ đến BTC bằng ví phần cứng Ledger hoặc Trezor.

Vào năm 2020, một sự cố khác của Sổ cái dẫn đến rò rỉ thông tin người dùng như địa chỉ gửi thư, số điện thoại và địa chỉ email. Đề cập đến các vụ vi phạm Sổ cái trước đây, nhà phát triển Dịch vụ Tên Ethereum Nick Johnson cho biết trong một bài đăng rằng không ai nên đề xuất phần cứng hoặc sử dụng thư viện của họ.

Theo Johnson, Ledger đã thể hiện sự coi thường nhất quán đối với an ninh hoạt động và không còn xứng đáng với “lợi ích của sự nghi ngờ rằng họ sẽ cải thiện”.

Trong khi đó, nhà giao dịch và phân tích tiền điện tử Krillin đã chỉ trích Ledger và kêu gọi họ dành một ngày để xóa những bình luận tiêu cực dưới bài đăng của họ trên X.

Trong vụ hack vào ngày 14 tháng 12, kẻ tấn công đã sử dụng cách khai thác lừa đảo để giành quyền truy cập vào máy tính của một cựu nhân viên Ledger. Tài khoản JavaScript quản lý gói nút của nhân viên đã bị truy cập, dẫn đến vi phạm.

Sau vụ hack, một thành viên cộng đồng đã khuyên Ledger nên “mở nguồn mọi thứ” và để cộng đồng trở thành “bác sĩ phẫu thuật” để gắn kết chúng lại với nhau. Công ty đã thông báo vào ngày 24 tháng 5 rằng họ đã cấp nguồn mở cho nhiều ứng dụng của mình và đã cam kết để cung cấp nguồn mở nhiều hơn cho mã của nó .

Theo các thành viên cộng đồng, tính minh bạch không phải là điều xa xỉ mà là cứu cánh. “Niềm tin, một khi đã mất, đòi hỏi những mạch máu mở rộng, chứ không phải những lời hứa hẹn che đậy.”

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo CoinTelegraph

Kỹ sư bảo mật nhận tội khai thác Nirvana Finance và một vụ hack khác

Shakeeb Ahmed đã bị bắt vì hack một DEX không xác định, và sau đó cũng thừa nhận hành vi hack Nirvava Finance.

Một kỹ sư phần mềm đã nhận tội tại Tòa án quận phía Nam của New York vào ngày 14 tháng 12 về một tội gian lận máy tính liên quan đến vụ hack Nirvana Finance và một sàn giao dịch tiền điện tử phi tập trung giấu tên. Văn phòng Luật sư Hoa Kỳ cho biết đây là vụ án đầu tiên bị kết tội hack hợp đồng thông minh.

Shakeeb Ahmed, được mô tả là “kỹ sư bảo mật cấp cao của một công ty công nghệ quốc tế”, đã bị bắt vào tháng 7 do liên quan đến vụ hack sàn giao dịch giấu tên vào khoảng ngày 2 và 3 tháng 7 năm 2022. Theo tuyên bố của Văn phòng Luật sư Hoa Kỳ:

“AHMED đã thực hiện một cuộc tấn công vào Sàn giao dịch tiền điện tử bằng cách khai thác lỗ hổng trong một trong các hợp đồng thông minh của Sàn giao dịch tiền điện tử và chèn dữ liệu giá giả để lừa đảo khiến hợp đồng thông minh đó tạo ra khoản phí tăng cao trị giá khoảng 9 triệu đô la.”

Ahmed đã trả lại tất cả trừ 1,5 triệu đô la cho sàn giao dịch, nơi “đồng ý không chuyển vụ tấn công cho cơ quan thực thi pháp luật”. Sàn giao dịch “cho phép người dùng trao đổi các loại tiền điện tử khác nhau và trả phí cho người dùng đã gửi tiền điện tử để cung cấp tính thanh khoản trên Sàn giao dịch tiền điện tử”.

Chỉ sau khi bị bắt, Ahmed mới thừa nhận hành vi khai thác khoản vay nhanh Nirvana Finance trị giá 3,49 triệu USD, diễn ra vào cuối tháng đó . Nirvana đã đề nghị cho anh ta một khoản tiền thưởng mũ trắng trị giá 300.000 đô la cho việc trả lại số tiền bị hack bởi Twitter (nay là X).

Theo tuyên bố, Ahmed và Nirvana Finance đã mặc cả về số tiền thưởng, nhưng cuối cùng Ahmed đã bán tất cả số tiền ANA của mình để kiếm lời, dẫn đến việc Nirvana Finance phải đóng cửa.

“Ahmed đã sử dụng bí quyết kỹ thuật của mình để đánh cắp hơn 12 triệu đô la và cố gắng che giấu dấu vết của mình bằng cách hoán đổi tiền điện tử bị đánh cắp lấy Monero, sử dụng máy trộn tiền điện tử, nhảy qua các chuỗi khối và sử dụng các sàn giao dịch tiền điện tử ở nước ngoài.”

Ahmed, một công dân Hoa Kỳ và cư dân thành phố New York, đã được tại ngoại sau khi bị buộc tội vào tháng Bảy. Anh ta sẽ bị kết án vào ngày 13 tháng 3 năm 2024.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo CoinTelegraph

Công ty Web3 phát hiện lỗ hổng bảo mật lớn trong các hợp đồng thông minh phổ biến

Công ty Web3 Thirdweb đã báo cáo một lỗ hổng bảo mật có khả năng ảnh hưởng đến hàng trăm hợp đồng thông minh được xây dựng trước bằng thư viện nguồn mở thường được sử dụng.

Công ty phát triển hợp đồng thông minh Thirdweb đã báo cáo một lỗ hổng bảo mật có khả năng “tác động đến nhiều loại hợp đồng thông minh trên hệ sinh thái Web3”.

Vào ngày 4 tháng 12, Thirdweb đã báo cáo một lỗ hổng trong thư viện nguồn mở thường được sử dụng có thể ảnh hưởng đến các hợp đồng thông minh được xây dựng sẵn cụ thể, bao gồm cả một số hợp đồng của chính nó. Tuy nhiên, các cuộc điều tra của Thirdweb kết luận rằng lỗ hổng hợp đồng thông minh vẫn chưa bị khai thác, tạo ra một cơ hội nhỏ cho các công ty Web3 tránh bị hack có thể xảy ra.

Làm nổi bật khả năng gây ra thiệt hại lớn của lỗ hổng nếu không được khắc phục ngay lập tức, Thirdweb tuyên bố :

“Các hợp đồng xây dựng trước bị ảnh hưởng bao gồm nhưng không giới hạn ở DropERC20, ERC721, ERC1155 (tất cả các phiên bản) và AirdropERC20.”

Sau cảnh báo chủ động đối với hệ sinh thái Web3, công ty đã cảnh báo những người dùng đã triển khai hợp đồng trước ngày 22 tháng 11 phải “thực hiện các bước giảm thiểu” một cách độc lập hoặc bằng cách sử dụng công cụ do công ty cung cấp.

Thirdweb cũng khuyên các nhà phát triển nên giúp người dùng thu hồi phê duyệt đối với tất cả các hợp đồng bị ảnh hưởng bằng cách sử dụng revoke.cash, “điều này sẽ bảo vệ người dùng của bạn nếu bạn chọn không giảm nhẹ hợp đồng”, nhà phát triển DefiLlama “0xngmi” đã nhận xét về yêu cầu thu hồi phê duyệt.

Thirdweb đã liên hệ với những người bảo trì thư viện nguồn mở để giải quyết tận gốc lỗ hổng và liên hệ với các nhóm khác có khả năng bị ảnh hưởng bởi sự cố này.

Nó cũng cam kết tăng cường đầu tư vào các biện pháp bảo mật và tăng gấp đôi số tiền thưởng cho lỗi từ 25.000 USD lên 50.000 USD trong khi thực hiện quy trình kiểm toán nghiêm ngặt hơn. Công ty cũng cung cấp một khoản tài trợ để trang trải các biện pháp giảm thiểu hợp đồng.

“Chúng tôi hiểu rằng điều này sẽ gây ra sự gián đoạn và chúng tôi đang xử lý việc giảm thiểu vấn đề một cách nghiêm túc nhất. Chúng tôi sẽ cung cấp một khoản trợ cấp khí đốt có hiệu lực hồi tố để trang trải phí cho việc giảm nhẹ hợp đồng.”

Chi tiết đầy đủ về lỗ hổng không được tiết lộ vì mục đích bảo mật và Cointelegraph đã liên hệ với Thirdweb để cập nhật thêm nhưng đã đượcchuyển hướng đến bài đăng trên blog.

Công ty đã huy động được 24 triệu USD trong vòng cấp vốn Series A với Haun Ventures, Coinbase, Shopify và Polygon vào tháng 8 năm 2022.

Công ty Web3 , nơi cung cấp các công cụ triển khai hợp đồng thông minh đa chuỗi để chơi game, đào tiền, thị trường và ví, tuyên bố có hơn 70.000 nhà phát triển sử dụng dịch vụ của mình hàng tháng.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Hacker Platypus được tự do với 8,5 triệu USD sau khi tự nhận là ‘hacker có đạo đức’

Trong khi tin tặc Mohammed M. và anh trai của anh ta được xóa bỏ mọi cáo buộc hình sự, thì số token tiền điện tử trị giá 7,8 triệu euro đã không thể truy cập được sau khi bị kẹt trong ví.

Hai anh em, chịu trách nhiệm về vụ trộm 8,5 triệu đô la từ giao thức tài chính phi tập trung (DeFi) Platypus, đã được tòa án Pháp cho phép ra đi tự do mà không bị trừng phạt.

Vào ngày 16 tháng 2, tin tặc đã tìm cách rút và chuyển 8,5 triệu đô la từ Platypus thông qua một cuộc tấn công cho vay nhanh, buộc giao thức này phải tạm dừng các dịch vụ giao dịch cho đến khi tìm ra giải pháp. Điều tra ban đầu xác định Mohammed M. là thủ phạm, người đã lợi dụng lỗi mã và rút toàn bộ tài sản thông qua khoản vay không thế chấp.

Với sự giúp đỡ của đội ngũ bảo mật của Binance và các nhà điều tra tiền điện tử độc lập, số tiền bị đánh cắp đã được theo dõi, cuối cùng dẫn đến việc các hacker – Mohammed và anh trai Benamar M.

Trong khi bộ đôi này bị giam giữ vô thời hạn từ ngày 24 tháng 2, thì tại phiên tòa ngày 26 tháng 10, hai anh em này đã tự nhận mình là “tin tặc có đạo đức” đồng thời thừa nhận đã ăn cắp và bòn rút tiền. Các tin tặc cũng đã nói với tòa án tư pháp Paris về ý định trả lại tiền để đổi lấy 10% số tiền cướp được.

Xem xét sự giống nhau với nỗ lực trao thưởng lỗi, hai anh em đã được xóa bỏ mọi cáo buộc hình sự. Trong quá trình khai thác, số token tiền điện tử trị giá 7,8 triệu euro đã không thể truy cập được sau khi bị kẹt trong ví.

Trong bối cảnh các thủ tục pháp lý liên quan đến vụ hack, Platypus gần đây đã bị lỗ 2,2 triệu USD trong một vụ khai thác khoản vay chớp nhoáng khác .

Cuộc điều tra của công ty bảo mật chuỗi khối CertiK tiết lộ rằng vụ hack ngày 12 tháng 10 được thực hiện thành ba phần, với mỗi cuộc tấn công tiêu tốn lần lượt 2,23 triệu USD, 575.000 USD và 450.000 USD bằng nhiều loại tiền điện tử khác nhau.

Vào ngày 17 tháng 10, Platypus đã tìm cách phục hồi được 90% số tài sản bị đánh cắp sau khi hiểu rõ về hacker.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Báo cáo: Tin tặc Triều Tiên đã đánh cắp 3 tỷ USD tiền điện tử trong sáu năm qua

Theo công ty an ninh mạng Recorded Future của Hoa Kỳ, vào năm 2022, tin tặc Triều Tiên đã đánh cắp tiền điện tử có giá trị gấp 10 lần số tiền mà quốc gia này kiếm được từ xuất khẩu vào năm 2021.

Theo công ty an ninh mạng Recorded Future của Hoa Kỳ, tin tặc Triều Tiên đã đánh cắp khoảng 3 tỷ USD tiền điện tử kể từ năm 2017, với hơn một nửa số tiền đó bị đánh cắp chỉ trong năm qua.

Recorded Future chỉ ra trong một báo cáo gần đây rằng số lượng tiền điện tử bị đánh cắp tương đương với khoảng một nửa toàn bộ chi phí quân sự của Triều Tiên trong năm:

“Các tác nhân đe dọa của Triều Tiên đã bị cáo buộc đánh cắp số tiền điện tử trị giá ước tính 1,7 tỷ USD chỉ trong năm 2022, số tiền tương đương với khoảng 5% nền kinh tế Triều Tiên hoặc 45% ngân sách quân sự của nước này.”

Hơn nữa, số tiền bị đánh cắp vượt quá tổng thu nhập hàng năm từ xuất khẩu của quốc gia một cách đáng kể.

Báo cáo nêu rõ: “Số tiền này cũng cao gần gấp 10 lần so với giá trị xuất khẩu của Triều Tiên vào năm 2021, ở mức 182 triệu USD”.

Trong khi đó, họ giải thích rằng tin tặc Triều Tiên ban đầu nhắm mục tiêu vào Hàn Quốc vì tiền điện tử của nước này , trước khi mở rộng mục tiêu sang phần còn lại của thế giới:

“Các nhà khai thác mạng của Triều Tiên đã chuyển mục tiêu từ tài chính truyền thống sang công nghệ tài chính kỹ thuật số mới này bằng cách nhắm mục tiêu đầu tiên vào thị trường tiền điện tử Hàn Quốc trước khi mở rộng đáng kể phạm vi tiếp cận của họ trên toàn cầu.”

Cần lưu ý rằng sự hỗ trợ từ chính phủ Triều Tiên đã dẫn đến sự mở rộng đáng kể về quy mô của hoạt động bất hợp pháp.

Báo cáo tuyên bố: “Sự hỗ trợ của nhà nước cho phép các tác nhân đe dọa của Triều Tiên mở rộng quy mô hoạt động của họ vượt xa những gì có thể đối với tội phạm mạng truyền thống”.

Trong tin tức gần đây, Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ đã áp đặt các biện pháp trừng phạt đối với nhà trộn tiền điện tử Sinbad, cáo buộc nền tảng này đã tạo điều kiện cho hoạt động rửa tiền cho Tập đoàn Lazarus có trụ sở tại Triều Tiên.

Liên quan: Kho bạc Hoa Kỳ trừng phạt máy trộn tiền điện tử Sinbad, cáo buộc có quan hệ với Triều Tiên

Theo báo cáo của Liên hợp quốc, các cuộc tấn công mạng vào năm 2022 phức tạp hơn những năm trước, khiến việc truy tìm số tiền bị đánh cắp trở nên khó khăn hơn bao giờ hết.

Trong khi đó, công ty phân tích chuỗi khối Chainalysis đã coi các tập đoàn tội phạm mạng là “những kẻ tin tặc tiền điện tử phát triển mạnh nhất trong vài năm qua”.

Ngoài ra, Chainalysis lưu ý rằng các tin tặc có liên quan đến Triều Tiên đang chuyển tiền thông qua các công cụ trộn tiền điện tử như Tornado Cash và Sinbad với tốc độ cao hơn nhiều so với các nhóm tội phạm khác.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

KyberSwap công bố tài trợ ngân quỹ cho nạn nhân bị hack

Khoản tài trợ này được thiết kế để giảm bớt gánh nặng tài chính cho các cá nhân bị ảnh hưởng và sẽ tương đương với số tiền USD tương đương với tài sản bị mất do vi phạm an ninh.

KyberSwap dự định cung cấp hỗ trợ tài chính cho người dùng bị ảnh hưởng bởi một vụ khai thác đáng kể vào ngày 22 tháng 11, dẫn đến khoản lỗ 48,8 triệu USD cho giao thức tài chính phi tập trung. Để giải quyết vấn đề này, KyberSwap đang thiết lập một sáng kiến tài trợ từ kho bạc của mình để bồi thường cho những người bị ảnh hưởng bất lợi bởi sự kiện này.

Khoản tài trợ này được thiết kế để giảm bớt gánh nặng tài chính cho các cá nhân bị ảnh hưởng và sẽ tương đương với số tiền USD tương đương với tài sản bị mất do vi phạm an ninh. Động thái này nêu bật sự cống hiến của KyberSwap cho cộng đồng người dùng và bảo mật nền tảng. Mặc dù các chi tiết và tiêu chí cụ thể cho khoản tài trợ đang được hoàn thiện nhưng KyberSwap đã cam kết cung cấp thông tin bổ sung trong vòng hai tuần.

Các cuộc kiểm tra về vi phạm bảo mật đã tiết lộ rằng điểm yếu bắt nguồn từ ranh giới khoảng thời gian đánh dấu trong nhóm thanh khoản tập trung của KyberSwap. Lỗ hổng này cho phép kẻ tấn công thao túng thanh khoản một cách giả tạo , dẫn đến sự cạn kiệt đáng kể số tiền.

Ban đầu được đánh giá là 47 triệu USD, khoản lỗ sau đó được xác minh là 48,8 triệu USD. Trong nỗ lực đòi lại tài sản bị đánh cắp, KyberSwap đề xuất phần thưởng 10% cho người thực hiện sai trái, gặp phải những yêu cầu bất thường thay vì được chấp nhận.

Điều thú vị là KyberSwap đã thu hồi thành công 4,7 triệu USD số tiền bị đánh cắp, số tiền này đã bị các bot MEV của bên thứ ba lấy riêng trong vụ hack. Việc phục hồi một phần này và các khoản tài trợ kho bạc được đề xuất phản ánh cách tiếp cận chủ động của nền tảng trong việc giải quyết các vi phạm an ninh. Ngoài ra, sự cố đã thúc đẩy việc xem xét kỹ lưỡng các giao thức bảo mật của KyberSwap, đồng thời nhóm cam kết tăng cường các biện pháp bảo vệ để ngăn chặn các hành vi khai thác trong tương lai.

Bằng cách cung cấp các khoản tài trợ kho bạc, phản ứng trước cuộc khủng hoảng này đánh dấu một nỗ lực đáng chú ý trong cộng đồng tài chính phi tập trung nhằm duy trì niềm tin và sự hỗ trợ của người dùng sau các vi phạm an ninh.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Tổng quan thị trường DeFi tháng 11 năm 2023

Công ty luật Cadena Legal cho biết hướng dẫn do Văn phòng Thuế Úc đưa ra là “không mang tính ràng buộc” và phải được coi như “giấy vệ sinh”.

Chào mừng bạn đến với chuyên mục Tài chính, nguồn thông tin chi tiết cần thiết về tài chính phi tập trung (DeFi) hàng tuần – một bản tin được tạo ra để mang đến cho bạn những phát triển quan trọng nhất trong tuần qua.

Hacker đã đánh cắp hơn 46 triệu USD từ giao thức DeFi KyberSwap đã đưa ra danh sách các yêu cầu, bao gồm toàn quyền kiểm soát công ty Kyber và tất cả tài sản của công ty. Hacker đã chỉ định thời hạn để nhóm Kyber thực hiện các yêu cầu.

Một công ty luật ở Úc đã mô tả hướng dẫn về thuế DeFi do cơ quan quản lý tài chính của nước này đưa ra là “giấy vệ sinh”. Cadena Legal nói với Cointelegraph rằng hướng dẫn này sẽ chỉ khiến người Úc bối rối và có thể làm giảm mức độ sẵn sàng tuân thủ các quy tắc của họ.

Hệ sinh thái DeFi tiếp tục đà tăng trưởng của thị trường từ tuần trước, với hầu hết các token đều cho thấy mức tăng ổn định trên biểu đồ hàng tuần.

Hacker KyberSwap yêu cầu kiểm soát hoàn toàn công ty Kyber

Hacker KyberSwap cuối cùng đã tiết lộ các điều kiện cần phải đáp ứng để họ có thể trả lại một số tiền lấy được từ vụ hack 46 triệu USD. Trong một tin nhắn trên chuỗi, hacker cho biết họ muốn có toàn quyền kiểm soát công ty Kyber và tài sản của công ty, cả trên chuỗi và ngoài chuỗi.

Mặc dù yêu cầu của hacker có thể vô lý nhưng họ cũng cho biết họ sẽ làm gì nếu được đáp ứng. Theo thông điệp, họ sẽ tăng gấp đôi lương của nhân viên Kyber và mua đứt các giám đốc điều hành của công ty trước khi đuổi họ ra khỏi công ty. Hacker cũng cho nhóm Kyber thời hạn đến ngày 10 tháng 12 để thực hiện các yêu cầu.

Tiếp tục đọc

Công ty luật cho biết hướng dẫn thuế tiền điện tử mới khó hiểu của Úc là “giấy vệ sinh”

Công ty luật Cadena Legal của Úc đã xuất bản một bài đăng trên blog nhấn mạnh rằng các quy tắc DeFi không rõ ràng do Văn phòng Thuế Úc đưa ra là “không ràng buộc”. Công ty luật mô tả hướng dẫn này giống như “giấy vệ sinh” và cho rằng nó khiến mọi người thêm bối rối.

Ngoài ra, người sáng lập công ty luật, Harrison Dell, đã nói với Cointelegraph trong một tuyên bố rằng loại hướng dẫn này có thể làm giảm “sự sẵn sàng tuân thủ” từ các thành viên cộng đồng tiền điện tử ở Úc.

Tiếp tục đọc

Giám đốc điều hành neobank cho biết DeFi có thể giải quyết các vấn đề ngoại hối của Châu Phi

Giám đốc điều hành của một dự án neobank nói với Cointelegraph rằng DeFi có thể giải quyết các vấn đề thanh khoản trên thị trường ngoại hối của Châu Phi. Pascal Ntsama IV, Giám đốc điều hành của Canza Finance, cho biết công nghệ DeFi có thể giải quyết các vấn đề trên mặt trận này bằng cách cung cấp ngoại hối phi tập trung cho các loại tiền tệ của Châu Phi.

Cộng đồng DeFi Châu Phi dự kiến sẽ tăng trưởng với tốc độ hơn 20% và đạt hơn nửa triệu người dùng vào năm 2027. Các chuyên gia trong ngành đã tranh luận về việc sửa đổi các dự đoán khi mức độ thâm nhập sản phẩm blockchain tiếp tục đạt mức cao mới.

Tiếp tục đọc

Wormhole huy động được 225 triệu USD với mức định giá 2,5 tỷ USD

Giao thức chuỗi chéo Wormhole gần đây đã nhận được 225 triệu đô la tài trợ trong vòng đầu tư do Brevan Howard, Coinbase Ventures, Multicoin Capital và nhiều người khác dẫn đầu. Khoản đầu tư này đặt công ty ở mức định giá mới là 2,5 tỷ USD.

Công ty đã gây chú ý vào tháng 2 năm 2022 sau khi mất 321 triệu đô la trong một trong những vụ hack DeFi lớn nhất trong năm. Để giảm thiểu tổn thất, công ty đầu tư mạo hiểm Jump Crypto cam kết sẽ bổ sung số tiền bị mất trong vụ hack.

Tiếp tục đọc

Tổng quan về thị trường DeFi

Dữ liệu từ Cointelegraph Markets Pro và TradingView cho thấy 100 token hàng đầu của DeFi theo vốn hóa thị trường đã có một tuần tăng giá, với hầu hết các token giao dịch trong sắc xanh trên biểu đồ hàng tuần. Tổng giá trị bị khóa trong các giao thức DeFi vẫn ở mức trên 47,4 tỷ USD.

Cảm ơn bạn đã đọc bản tóm tắt của chúng tôi về những phát triển DeFi có ảnh hưởng nhất trong tuần này. Hãy tham gia cùng chúng tôi vào thứ Sáu tới để có thêm câu chuyện, thông tin chi tiết và kiến thức về không gian đang phát triển năng động này.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Tháng 11 tháng 'thiệt hại' nhất năm 2023 khi kẻ trộm ăn cắp 363 triệu đô la tiền điện tử

Theo công ty bảo mật blockchain CertiK, việc khai thác Poloniex, Hợp tác/Heco Bridge và cuộc tấn công cho vay nhanh KyberSwap là ba sự cố lớn nhất trong tháng 11.

Theo một công ty bảo mật blockchain, ngành công nghiệp tiền điện tử hiện đã chứng kiến tháng “thiệt hại” nhất đối với hành vi trộm cắp, lừa đảo và khai thác tiền điện tử, với việc bọn tội phạm tiền điện tử đã bỏ đi 363 triệu USD trong tháng 11.

Chỉ riêng khoảng 316,4 triệu USD đến từ việc khai thác, các khoản vay nhanh gây thiệt hại 45,5 triệu USD và 1,1 triệu USD bị mất do các vụ lừa đảo thoát khác nhau, CertiK cho biết trong một bài đăng ngày 30 tháng 11 X (trước đây là Twitter).

Vụ khai thác lớn nhất trong tháng 11 xảy ra trên PoloniexHTX/Heco Bridge , với khoản lỗ lần lượt là 131,4 triệu USD và 113,3 triệu USD.

Vụ khai thác lớn thứ ba xảy ra với một nạn nhân, người đã mất 27 triệu USD từ một cuộc tấn công lừa đảo.

Trong khi đó, cuộc tấn công KyberSwap trị giá 45 triệu USD gây ra gần như toàn bộ thiệt hại do các cuộc tấn công cho vay nhanh trong tháng.

Con số hàng tháng mới nhất đã vượt qua kỷ lục trước đó là 329 triệu USD, được thiết lập vào tháng 9, chủ yếu do cuộc tấn công Mixin Network trị giá 200 triệu USD.

Tính đến cuối tháng 11, khoảng 1,7 tỷ USD hiện đã bị mất do khai thác, lừa đảo và các cuộc tấn công cho vay chớp nhoáng vào năm 2023, chỉ chiếm 54% số tiền điện tử bị rút cạn trong cả năm 2022, khi 3,7 tỷ USD bị thất thoát do các sự cố tiền điện tử, trong khi năm 2021 chứng kiến khoản lỗ 1,7 tỷ USD, theo CertiK.

Trong những bình luận gần đây với Cointelegraph, Ronghui Gu, một trong những người sáng lập của CertiK, đã lập luận rằng việc kiểm toán hợp đồng thông minh tiêu chuẩn ngày nay là chưa đủ

Ông nhấn mạnh rằng những kẻ trộm tiếp tục tìm ra những cách mới và sáng tạo để khai thác các giao thức và nạn nhân, với các lỗ hổng hoán đổi SIM và đa chữ ký là một trong những cạm bẫy bảo mật gần đây nhất đang được lợi dụng.

Christian Seifert, một nhà nghiên cứu tại công ty bảo mật Forta Network, người cũng đã nói chuyện với Cointelegraph cho biết , việc khai thác tính chất này đang cản trở việc áp dụng:

“Hãy tưởng tượng bạn mất tất cả tiền tiết kiệm vì chi nhánh ngân hàng của bạn bị đột nhập chỉ sau một đêm. Bạn sẽ không giao dịch ngân hàng ở đó.”

Jerry Peng, nhà phân tích nghiên cứu tại công ty phân tích Web3 0xScope, cho biết trong một ghi chú gần đây với Cointelegraph rằng những sự cố này “làm hoảng sợ” những người trước đây sẵn sàng khám phá không gian Web3.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Exit mobile version