Lưu trữ cho từ khóa: #hack

Hacker KyberSwap yêu cầu kiểm soát hoàn toàn công ty Kyber

Hacker yêu cầu giao nộp tất cả tài sản của công ty Kyber, cả trên chuỗi và ngoài chuỗi, bao gồm cổ phiếu, vốn chủ sở hữu và mã thông báo.

Cập nhật ngày 30 tháng 11 1:10 chiều UTC: Bài viết này đã được cập nhật để bổ sung thông tin chi tiết về yêu cầu của tin tặc.

Hacker đằng sau vụ khai thác KyberSwap trị giá 46 triệu USD cuối cùng đã đưa ra các điều kiện để trả lại số tiền bị đánh cắp, trong đó bao gồm “quyền kiểm soát điều hành hoàn toàn” đối với công ty Kyber.

Vào ngày 30 tháng 11, hacker KyberSwap đã gửi một tin nhắn trực tuyến tới tất cả các bên liên quan và quan tâm. Tin tặc đưa ra các yêu cầu, bao gồm quyền kiểm soát công ty, toàn quyền tạm thời và quyền sở hữu cơ chế quản trị, KyberDAO, tất cả các tài liệu liên quan đến công ty và tất cả tài sản của công ty Kyber.

Trích đoạn tin nhắn của hacker gửi tới nhóm KyberSwap. Nguồn: Etherscan

Đổi lại, hacker hứa sẽ mua lại các giám đốc điều hành của công ty với mức định giá hợp lý và “chúc những điều tốt đẹp” trong “những nỗ lực trong tương lai” của họ. Hacker cũng hứa sẽ tăng gấp đôi lương cho nhân viên theo chế độ mới. Họ viết rằng trong khi một số có thể không muốn ở lại vẫn được nghỉ việc 12 tháng với đầy đủ phúc lợi và hỗ trợ tìm việc làm mới.

Ngoài ra, hacker còn nói rằng chủ sở hữu token và nhà đầu tư cũng sẽ được hưởng lợi từ quá trình chuyển đổi khi token của họ “không còn vô giá trị nữa”. Họ viết:

“Thế này chưa đủ ngọt sao? Tôi vẫn sẽ đi xa hơn nữa. Dưới sự quản lý của tôi, Kyber sẽ trải qua một cuộc lột xác hoàn toàn. Nó sẽ không còn là DEX phổ biến thứ 7 nữa mà thay vào đó là một dự án mật mã hoàn toàn mới.”

Đối với các nhà cung cấp thanh khoản, hacker hứa rằng họ sẽ được tặng quà giảm giá cho hoạt động tạo thị trường gần đây của họ. Khoản giảm giá sẽ là 50% số tiền thua lỗ mà họ phải gánh chịu. “Tôi biết số tiền này có thể ít hơn những gì bạn mong muốn. Tuy nhiên, nó cũng nhiều hơn những gì bạn xứng đáng được nhận”, hacker viết.

Hacker giải thích rằng đây là ưu đãi tốt nhất và duy nhất của họ. Theo kẻ khai thác, nhóm Kyber phải đáp ứng các yêu cầu trước ngày 10 tháng 12. Nếu không, “hiệp ước sẽ không thành công”. Hacker này cũng đe dọa rằng hiệp ước cũng sẽ vô hiệu nếu bất kỳ đại lý nào liên hệ với họ về các giao dịch mà họ thực hiện trên Kyber.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Poloniex chuẩn bị tiếp tục rút tiền sau vụ hack 100 triệu USD

Poloniex cho biết họ sẽ bắt đầu tiếp tục gửi tiền vào ngày 30 tháng 11 bằng TRX, tiền điện tử trên chuỗi khối Tron của Justin Sun.

Sàn giao dịch tiền điện tử Poloniex đang chuẩn bị tiếp tục rút và gửi tiền sau khi bị hack 100 triệu USD vào ngày 10 tháng 11.

Poloniex đã gửi đến X (trước đây là Twitter) vào ngày 29 tháng 11 để thông báo rằng họ sẽ dần dần nối lại dịch vụ gửi và rút tiền vào ngày 30 tháng 11 lúc 2:00 sáng UTC.

Sàn giao dịch tiền điện tử nhấn mạnh rằng họ sẽ triển khai việc nối lại các dịch vụ theo từng giai đoạn để “ưu tiên sự an toàn” cho tiền của người dùng. Thông báo cho biết Poloniex sẽ bắt đầu khôi phục các khoản tiền gửi và rút Tron ( TRX ) trước tiên, tiếp theo là Bitcoin ( BTC ), Ether ( ETH ), Tether ( USDT ) và các loại tiền điện tử khác “trong vòng hai tuần tới”.

Ngoài việc khôi phục việc rút tiền, Poloniex cho biết họ đang tích cực giới thiệu các danh sách mới sẽ có trong tương lai gần. Sàn giao dịch cũng yêu cầu tất cả người dùng sử dụng các địa chỉ gửi tiền mới được cập nhật sau khi chúng có sẵn. Thông báo nêu rõ:

“Xin lưu ý rằng việc không sử dụng địa chỉ cập nhật để gửi tiền sẽ dẫn đến việc tiền không được ghi có. Chúng tôi xin lỗi vì bất kỳ sự bất tiện nào mà điều này có thể gây ra và đánh giá cao sự thông cảm của bạn.”

Trong thông báo tương tự, Poloniex cũng hứa sẽ tiến hành airdrop cho những người dùng giữ tài sản của họ trên Poloniex. Được phát triển với sự hợp tác của HTX DAO, chiến dịch airdrop dự kiến sẽ ra mắt vào tháng 12, với việc tính toán số dư tài sản bắt đầu vào ngày 1 tháng 12. Người sáng lập Tron Justin Sun trước đó đã công bố kế hoạch airdrop vào ngày 24 tháng 11.

“Các token cho đợt airdrop sẽ được rút ra từ một dự án cao cấp sắp được niêm yết. Chúng tôi sẽ tiết lộ chi tiết cụ thể của sự kiện này vào tháng 12,” thông báo lưu ý.

Ngoài việc ưu tiên rút tiền cho Tron do Justin Sun sáng lập, Poloniex còn gắn thẻ doanh nhân này trong thông báo trên X. Các nền tảng tiền điện tử được liên kết với Sun, bao gồm HTX và Poloniex, đã bị hack bốn lần trong hai tháng qua, khiến tổng thiệt hại gần 240 triệu USD. .

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Giao thức bảo mật Web3 này đã thu hồi được 800 nghìn đô la tiền của người dùng sau khi khai thác Vulcan Forged

Giao thức bảo mật Web3 này đã tạm dừng các giao dịch trực tuyến để thu hồi 800.000 đô la tiền của người dùng Vulcan Forged sau khi nền tảng chơi game Web3 bị vi phạm bảo mật.

Khi Web3 ngày càng lớn hơn, nó phải vật lộn để theo kịp các tác nhân độc hại nhắm mục tiêu vào tiền của người dùng trên các chuỗi khối và mạng khác nhau. Giao thức bảo mật này thực hiện phương pháp phòng ngừa chống lại các vụ hack và khai thác, đóng băng tài sản trước khi chúng bị đánh cắp.

Web3 được hưởng lợi từ việc trở thành hệ sinh thái kỹ thuật số đầu tiên cho sự đổi mới và tăng trưởng. Tuy nhiên, nó cũng mở ra cơ hội cho các tác nhân độc hại, bao gồm cả tin tặc và kẻ khai thác, trong lĩnh vực kỹ thuật số. Tiền điện tử và Web3 càng lớn thì chúng càng dễ bị hack và khai thác – khiến người dùng trở thành nạn nhân và gây thiệt hại hàng tỷ USD.

Từ nền tảng tài chính phi tập trung (DeFi) đến thị trường token không thể thay thế (NFT) , không ai có thể tuyên bố hoàn toàn bất khả xâm phạm trước các cuộc tấn công nhắm vào các nhà đầu tư, nhà giao dịch và quỹ được lưu trữ trên toàn ngành Web3. Việc khai thác DeFi cũng khiến thị trường tiền điện tử liên quan theo hướng tiêu cực, như đã thấy khi sàn giao dịch phi tập trung (DEX) KyperSwap chứng kiến tổng giá trị của nó bị khóa sau vụ khai thác 46 triệu đô la .

Một báo cáo của công ty bảo mật blockchain CertiK tiết lộ rằng bối cảnh DeFi đã thiệt hại 1 tỷ USD do các cuộc tấn công độc hại, bao gồm hack, khai thác và lừa đảo, chỉ trong 8 tháng đầu năm 2023. Các vụ vi phạm lớn như vụ xảy ra trên cầu Ethereum của Multichain , dẫn đến thiệt hại hơn 100 triệu USD, hiện đang phổ biến trong không gian.

Bất chấp lời hứa về các biện pháp bảo mật tốt hơn, các nền tảng tập trung cũng không có khả năng chống hack. Các sàn giao dịch tiền điện tử như HTX và Poloniex cũng gặp rắc rối khi bị hack lần lượt 30 triệu USD100 triệu USD . Nhìn chung, hệ sinh thái Web3 cần được bảo vệ tốt hơn khi nó tiếp tục phát triển nhanh chóng.

Khai thác nền tảng chơi game Web3 bị ngăn chặn

Khi nói đến việc ngăn chặn việc khai thác Web3, Lossless Protocol có thành tích ấn tượng, gần đây nhất là đã thu hồi được số tiền trị giá 800.000 USD bị đánh cắp từ người dùng nền tảng chơi game Web3 Vulcan Forged . Sau khi khởi chạy lại mã thông báo PYR gốc có tích hợp Giao thức lossless , nền tảng Vulcan Forged đã gặp phải một cuộc tấn công khai thác tích hợp ví của bên thứ ba đã lỗi thời.

Nhóm Vulcan Forged đã liên hệ với Lossless ngay sau khi có báo cáo về việc ví bị rút khỏi token LAVA, sau đó được giao dịch lấy PYR. Vì Giao thức không mất dữ liệu bảo vệ mã thông báo PYR của chính nền tảng nên các giao dịch độc hại đã bị đóng băng và 119.000 mã thông báo PYR đã được truy xuất.

Bên cạnh sự cố Vulcan Forged, Giao thức lossless đóng một vai trò quan trọng trong việc lấy lại tiền của người dùng sau một số vụ khai thác Web3 lớn trong những năm gần đây. Nó đã thu hồi được số token AAG trị giá 1,2 triệu đô la sau cuộc tấn công trị giá 100 triệu đô la vào năm 2022 vào Horizon Bridge của Harmony . Giao thức này cũng đã giúp thu hồi 16,7 triệu USD từ những kẻ khai thác Cream Finance.

Lossless gần đây đã giới thiệu một hệ thống giám sát hợp đồng thông minh được hỗ trợ bởi AI có tên Aegis . Không yêu cầu bất kỳ cấu hình nào, Aegis quét các giao dịch khối được khai thác bằng phân tích dự đoán. Công cụ bảo mật Web3 xác định các mẫu giao dịch và địa chỉ đáng ngờ để cảnh báo các nhóm dự án về các mối đe dọa tiềm ẩn trước khi chúng bị khai thác.

Bảo vệ Web3 bằng phân tích dự đoán

Giao thức bảo mật Web3 Lossless giới thiệu một cách tiếp cận mới để bảo vệ tiền của người dùng. Thay vì cố gắng lấy lại tiền sau khi việc khai thác đã xảy ra, Giao thức Lossless sử dụng các cơ chế phòng ngừa, chẳng hạn như chủ động giảm thiểu việc khai thác, để giữ an toàn cho các giao dịch.

Nguồn: Giao thức lossless

Với Aegis, một công cụ giám sát bảo mật của Lossless, các nhóm dự án có thêm một lớp bảo mật cho phép giám sát liên tục các hoạt động. Giao thức kiểm tra các hoạt động đáng ngờ trên Web3 bằng cả phương pháp thủ công và tự động do cộng đồng điều khiển, đóng băng mọi giao dịch được gắn cờ ngay tại chỗ cho đến khi hoàn tất điều tra kỹ lưỡng hơn. Khi cộng đồng gắn cờ một giao dịch đáng ngờ, giao dịch đó sẽ bị đóng băng và có khả năng được hoàn nguyên dựa trên kết quả của một cuộc điều tra độc lập.

Khi không gian Web3 phát triển và trưởng thành, nó cần các giải pháp sáng tạo để bảo vệ người dùng, nền tảng và tiền. Lossless sử dụng các công nghệ mới nhất, bao gồm phân tích dự đoán và AI, để ngăn chặn tổn thất trước khi chúng xảy ra. DeFi rõ ràng đang gặp khó khăn trong việc giữ an toàn cho tiền của người dùng và cách tiếp cận của Giao thức lossless có thể là chìa khóa để biến nó thành một môi trường an toàn và thân thiện với người dùng.

Tìm hiểu thêm về Giao thức lossless tại đây

Tuyên bố từ chối trách nhiệm. Cointelegraph không xác nhận bất kỳ nội dung hoặc sản phẩm nào trên trang này. Mặc dù chúng tôi mong muốn cung cấp cho bạn tất cả thông tin quan trọng mà chúng tôi có thể có được trong bài viết được tài trợ này, nhưng độc giả nên tự nghiên cứu trước khi thực hiện bất kỳ hành động nào liên quan đến công ty và chịu hoàn toàn trách nhiệm về quyết định của mình, bài viết này cũng không thể được coi là lời khuyên đầu tư .

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Nền tảng DeFi Aerodrome và Velodrome gặp phải các vụ hack front-end

Nền tảng DeFi Velodrome và Aerodrome đã lên mạng xã hội để cảnh báo người dùng rằng giao diện người dùng của cả hai nền tảng đang bị tấn công từ các tác nhân độc hại.

Các nền tảng tài chính phi tập trung (DeFi) Aerodrome và Velodrome đã báo cáo các thỏa hiệp đối với giao diện người dùng của họ vào ngày 28 tháng 11.

Hai nền tảng đã đăng thông báo trên X (trước đây là Twitter) cho biết giao diện người dùng của họ đã bị xâm phạm và yêu cầu người dùng không tương tác với nền tảng trong khi các cuộc điều tra đang được tiến hành.

Theo một người dùng X, số tiền lên tới khoảng 40.000 USD đang được di chuyển và truy ngược trở lại hai địa chỉ ví khác nhau.

DefiLlama báo cáo rằng Aerodrome có tổng giá trị bị khóa là 63,59 triệu USD và Velodrome có 139,73 triệu USD.

Aerodrome là sản phẩm của nhà phát triển Velodrome Finance, một nhà tạo lập thị trường tự động (AMM). Nó ra mắt vào cuối tháng 8 và được xây dựng trên giao thức Base và nhanh chóng trở thành một trong những dự án hàng đầu của mạng về TVL.

Trong số các khả năng khác, nền tảng này hoạt động bằng cách cho phép người dùng gửi tiền thanh khoản để đổi lấy việc kiếm được token gốc AERO. Đầu năm nay, nó đã gây chú ý sau khi thu về 150 triệu đô la chỉ trong một ngày, cho phép Base vượt lên trên mạng Solana với TVL gần 400 triệu đô la.

Trong ngành công nghiệp tiền điện tử, không gian DeFi đã được chứng minh là đặc biệt dễ bị tổn thất lớn dưới bàn tay của tin tặc.

Theo dữ liệu của Chainalysis, vào năm 2022, không gian DeFi đã hứng chịu hơn 80% các vụ hack trong toàn bộ ngành công nghiệp tiền điện tử với tổng thiệt hại lên tới hơn 3 tỷ USD. Dữ liệu từ Footprint Analytics tiết lộ rằng trong quý 1 năm 2023, DeFi chiếm 62% số lỗ.

Nguồn: Phân tích dấu chân

DeFi Llama gần đây đã báo cáo rằng cho đến nay vào năm 2023, các giao thức DeFi và các công ty tiền điện tử không liên quan đến DeFi đã mất 735 triệu đô la sau 69 vụ hack, trong đó giao thức DeFi Euler Finance đã phải hứng chịu vụ hack nghiêm trọng nhất vào tháng 3 với khoản lỗ 197 triệu đô la.

Báo cáo bổ sung của Arijit Sarkar

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Chuyên gia bảo mật cho biết kiểm tra bảo mật 'không đủ' vì tổn thất lên tới 1,5 tỷ USD vào năm 2023

Người đồng sáng lập CertiK, Ronghui Gu nói với Cointelegraph rằng “không thể chấp nhận được” khi ngành công nghiệp tiền điện tử phải đối mặt với những thất bại liên tục trong hoạt động hoán đổi SIM và đa chữ ký, vì các sự cố trước đó đã nêu bật vấn đề.

Khi các công ty tiếp tục rơi vào tình trạng bị hack và khai thác, các chuyên gia làm việc trong lĩnh vực an ninh mạng đã nghiên cứu những gì có thể cải thiện về mặt bảo mật tiền điện tử cho các công ty tài sản kỹ thuật số và ngành công nghiệp tiền điện tử nói chung.

Trước tháng 9, gần 1 tỷ đô la đã bị mất do các vụ hack, khai thác và lừa đảo tiền điện tử vào năm 2023. Tuy nhiên, nhiều sự cố tiếp tục làm rung chuyển thế giới tiền điện tử trong quý 4 năm 2023, chẳng hạn như vụ khai thác Poloniex, với hơn100 triệu đô la tài sản kỹ thuật số tổn thất và vụ hack cầu HECO Chain, với thiệt hại hơn 80 triệu USD .

Với số lượng sự cố bảo mật xảy ra trong không gian và giá trị bị mất do mỗi vụ hack hoặc khai thác, không thể phủ nhận rằng có những lỗ hổng cần được lấp đầy về mặt bảo mật tài sản kỹ thuật số trong không gian tiền điện tử. Vì điều này, Cointelegraph đã liên hệ với các chuyên gia an ninh mạng để xem họ nghĩ có thể làm gì để ngăn chặn các sự cố tiếp theo và thắt chặt an ninh trong tiền điện tử.

Những sự cố tiếp diễn là “không thể chấp nhận”

Ronghui Gu, người đồng sáng lập công ty bảo mật blockchain CertiK, nói với Cointelegraph trong một tuyên bố rằng việc tiếp tục xảy ra các sự cố do lỗi hoán đổi SIM và đa chữ ký gây ra sau các sự cố đã cho thấy vấn đề bảo mật này. Theo Gu, các công ty nên áp dụng xác thực đa yếu tố gốc tiền điện tử và tiến hành kiểm tra bảo mật thường xuyên. Anh ấy nói:

“Chúng tôi đang xây dựng công nghệ có tính ứng dụng cao, độ phức tạp cao và điều quan trọng là phải đặt vấn đề bảo mật lên hàng đầu, ngay cả khi thường có những động lực lớn để xây dựng nhanh chóng và phá vỡ mọi thứ.”

Christian Seifert, nhà nghiên cứu thường trú tại Forta Network, cũng đồng ý rằng bảo mật cần phải được ưu tiên hàng đầu. Seifert, người trước đây từng giữ chức vụ lãnh đạo bảo mật tại Microsoft, nói rằng người dùng cần yêu cầu bảo mật và nếu điều này không xảy ra, các cơ quan quản lý cần phải vào cuộc. Chuyên gia bảo mật cho biết bằng cách này, các dự án tiền điện tử sẽ áp dụng bảo mật toàn diện hơn chiến lược.

Hơn nữa, Seifert cũng lập luận rằng mặc dù việc kiểm tra bảo mật có hiệu quả nhưng những điều này “là chưa đủ”. Ông nói thêm: “Người ta cần một chiến lược bảo mật toàn diện bắt đầu bằng thiết kế an toàn và chuyển sang các giải pháp giám sát và ngăn chặn mối đe dọa”.

Jerry Peng, nhà phân tích nghiên cứu tại công ty phân tích Web3 0xScope, nói với Cointelegraph trong một tuyên bố rằng cần phải hiểu rõ hơn về vị trí và cách thức các mối đe dọa bảo mật có thể xuất hiện. Bằng cách này, các công ty và cá nhân có thể phát hiện các mẫu và kết nối được hiển thị theo các địa chỉ liên quan đến các cuộc tấn công trước đó. Peng giải thích: “Đây là nơi các dịch vụ phân tích dữ liệu tiền điện tử có thể giúp các nhà điều tra ngăn chặn vụ hack tiềm năng tiếp theo”.

Hacks cản trở việc áp dụng tiền điện tử như thế nào

Gu nói với Cointelegraph rằng dựa trên dữ liệu do CertiK tổng hợp, chỉ riêng các vụ hack vào năm 2023 đã khiến không gian này thiệt hại 1,5 tỷ USD tính đến ngày 28 tháng 11. Giám đốc điều hành tin rằng những sự cố tiếp tục gây tai họa cho không gian này cũng có ảnh hưởng lớn đến việc áp dụng tiền điện tử. Gu nói thêm: “Những vụ hack và khai thác này tác động đáng kể đến việc áp dụng tiền điện tử bằng cách làm suy yếu niềm tin của công chúng vào tính bảo mật và tính ổn định của tài sản kỹ thuật số”.

Seifert cũng bày tỏ tình cảm tương tự. Nhà nghiên cứu bảo mật lưu ý rằng mặc dù những người áp dụng công nghệ này sớm chấp nhận rằng có những rủi ro, nhưng điều này sẽ không còn được chấp nhận đối với cơ sở người dùng rộng hơn mà không gian tiền điện tử đang cố gắng thu hút. Seifert giải thích:

“Hãy tưởng tượng bạn mất tất cả tiền tiết kiệm vì chi nhánh ngân hàng của bạn bị đột nhập chỉ sau một đêm. Bạn sẽ không giao dịch ngân hàng ở đó.”

Peng cũng tin rằng các vụ hack sẽ cản trở sự tăng trưởng tiềm năng của thị trường. Theo Peng, những điều này có thể khiến những người trước đây muốn khám phá không gian Web3 sợ hãi.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Hacker KyberSwap DEX gửi một tin nhắn trên chuỗi: Hãy tử tế, nếu không

Kẻ khai thác đằng sau vụ hack KyberSwap trị giá 46 triệu USD cho biết họ có kế hoạch phác thảo một hiệp ước về khả năng hoàn trả tiền vào ngày 30 tháng 11, nhưng sẽ không thực hiện nếu các mối đe dọa và thù địch từ các nhà điều hành vẫn tiếp tục.

Kẻ khai thác đằng sau vụ trộm tiền điện tử trị giá 46 triệu USD chống lại KyberSwap đã yêu cầu các nhà điều hành và chủ sở hữu token giảm bớt sự thù địch, đe dọa sẽ thúc đẩy các cuộc đàm phán cho đến khi mọi người “văn minh hơn”.

Trong một tin nhắn trực tuyến gửi tới các giám đốc điều hành, chủ sở hữu token và nhà cung cấp thanh khoản của KyberSwap vào ngày 28 tháng 11, kẻ khai thác cho biết họ có kế hoạch đưa ra tuyên bố xung quanh một hiệp ước tiềm năng với KyberSwap vào ngày 30 tháng 11 – nhưng sẽ không thực hiện nếu tình trạng thù địch tiếp tục.

“Tôi đã nói là tôi sẵn sàng đàm phán. Đổi lại, tôi đã nhận được (hầu hết) những lời đe dọa, thời hạn và sự thiếu thân thiện nói chung từ đội ngũ điều hành,” họ nói.

Họ cảnh báo: “Với giả định rằng tôi bị đối xử với thái độ thù địch hơn nữa, chúng ta có thể dời lại vào một ngày sau đó, khi tất cả chúng ta đều cảm thấy văn minh hơn”.

Đội ngũ đằng sau KyberSwap – một sàn giao dịch phi tập trung xuyên chuỗi – ban đầu đề xuất một thỏa thuận tiền thưởng trong đó hacker trả lại 90% số tiền trong tất cả các lần khai thác, cho phép hacker giữ 10% còn lại.

Nhưng họ tiếp tục đe dọa sẽ theo đuổi hành động pháp lý sau khi hacker không tuân thủ ngay lập tức.

“Chúng tôi đã liên hệ với cơ quan thực thi pháp luật và an ninh mạng về trường hợp này. Chúng tôi có dấu chân của bạn để theo dõi bạn,” nhóm KyberSwap cho biết trong một thông báo trên chuỗi ngày 25 tháng 11, đồng thời bổ sung thêm:

“Vì vậy, sẽ tốt hơn cho bạn nếu bạn chấp nhận lời đề nghị đầu tiên từ tin nhắn trước đó của chúng tôi trước khi cơ quan thực thi pháp luật và an ninh mạng theo dõi bạn.”

KyberSwap cũng nói với hacker rằng họ sẽ khởi xướng một chương trình tiền thưởng công khai để khuyến khích bất kỳ ai cung cấp thông tin hỗ trợ thực thi pháp luật, điều này có thể dẫn đến việc họ bị bắt giữ và thu hồi tiền của người dùng.

Đội ngũ đằng sau KyberSwap đã tìm cách thu hồi được 4,67 triệu đô la từ vụ khai thác trị giá 46 triệu đô la vào ngày 26 tháng 11 từ các nhà khai thác các bot chạy trước, đã tìm cách trích xuất khoảng 5,7 triệu đô la tiền điện tử từ các nhóm KyberSwap trên mạng Polygon và Avalanche.

Nhóm vẫn chưa phản hồi tin nhắn mới nhất của kẻ khai thác trên X (trước đây là Twitter) và có lẽ đang chờ xem hiệp ước mới do hacker đề xuất.

Một ngày sau vụ hack ngày 22 tháng 11, chuyên gia tài chính phi tập trung Doug Colkitt cho biết kẻ tấn công đã sử dụng “trục trặc tiền vô hạn” để thực hiện “việc khai thác hợp đồng thông minh phức tạp và được thiết kế cẩn thận” trên một số mạng triển khai nhóm KyberSwap.

Các quỹ được khai thác từ Avalanche, Polygon và Ethereum cũng như các mạng lớp 2 Arbitrum, Optimism và Base.

KyberSwap chạy trên Kyber Network, một trung tâm thanh khoản dựa trên blockchain tổng hợp thanh khoản trên các blockchain khác nhau và cho phép trao đổi token mà không cần qua trung gian.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Sàn giao dịch tiền điện tử HTX khôi phục dịch vụ Bitcoin sau vụ hack 30 triệu USD

Justin Sun cho biết anh hy vọng chức năng của các loại tiền điện tử khác sẽ dần được khôi phục với đầy đủ các dịch vụ vào tuần tới.

Việc gửi và rút Bitcoin ( BTC ) đã quay trở lại sàn giao dịch tiền điện tử có liên kết với Justin Sun, trước đây là Huobi, sau khi bị khai thác 30 triệu USD vào ngày 22 tháng 11.

Trong một bài đăng trên blog ngày 26 tháng 11, HTX cho biết chức năng gửi và rút tiền đã hoạt động trở lại đối với nhiều loại tiền tệ, bao gồm BTC, Ether ( ETH ), Tron ( TRX ) và Tether ( USDT ).

Trong một bài đăng sau đó trên X (Twitter), Justin Sun cho biết HTX đặt mục tiêu dần dần mang lại chức năng cho các loại tiền điện tử còn lại, điều mà anh dự kiến sẽ hoàn thành “vào tuần tới”.

Ví nóng của sàn giao dịch đã bị thiệt hại 30 triệu USD và là một trong bốn vụ hack chỉ trong nửa tháng trên các nền tảng tiền điện tử được liên kết hoặc kiểm soát bởi Sun.

Cầu chuỗi Hợp tác sinh thái (HECO) — bao gồm Hợp tác xã, Tron và BitTorrent, tất cả đều được liên kết hoặc kiểm soát bởi Sun — đã bị tấn công với giá 86,6 triệu đô la vào cùng ngày với Hợp tác xã.

Sàn giao dịch tiền điện tử Poloniex thuộc sở hữu của Sun cũngphải hứng chịu một cuộc tấn công trị giá 100 triệu USD vào ngày 10 tháng 11, mà công ty bảo mật blockchain CertiK cho biết có khả năng là do bị xâm phạm khóa riêng.

Vào ngày 24 tháng 9, ngay sau khi Huobi được đổi tên thành HTX, một kẻ tấn công đã đánh cắp gần 8 triệu đô la tiền điện tử từ ví nóng của sàn giao dịch.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Indexed Finance ngăn chặn những kẻ tấn công, chuẩn bị bồi thường cho các nạn nhân bị hack vào năm 2021

Trong một chủ đề X, Laurence Day, một cựu cộng tác viên cốt lõi, đã trình bày chi tiết những nỗ lực của cộng đồng được lập chỉ mục trong việc vượt qua hai nỗ lực chiếm đoạt kho bạc còn lại của DAO được lập chỉ mục.

Indexed Finance, một dự án dựa trên Ethereum đã bị hack 16 triệu đô la vào năm 2021, đã ngăn chặn thành công hai nỗ lực chiếm đoạt. Quyền kiểm soát tổ chức tự trị phi tập trung (DAO) của dự án sẽ được trả lại cho những người sáng lập, những người nhằm mục đích phân bổ kho bạc còn lại cho các nạn nhân của vụ hack năm 2021.

Trong một chủ đề trên X (trước đây là Twitter), Laurence Day, một cựu cộng tác viên cốt lõi, đã trình bày chi tiết những nỗ lực của cộng đồng được lập chỉ mục trong việc vượt qua hai nỗ lực chiếm đoạt kho bạc còn lại của DAO được lập chỉ mục. Cả hai kẻ tấn công đều đã mua được số lượng đáng kể mã thông báo NDX của giao thức và nhằm mục đích kiểm soát số tài sản kỹ thuật số trị giá khoảng 120.000 USD của DAO thông qua các đề xuất độc hại.

Đề xuất ban đầu, thiếu tiêu đề hoặc mô tả nhằm tránh bị phát hiện, đã bị cản trở khi Day và các thành viên cộng đồng huy động DAO được lập chỉ mục để bỏ phiếu chống lại nó. Đề xuất của kẻ tấn công gần như được chấp thuận trong vòng một giờ, nhưng số phiếu “Không” đã được bỏ đủ để ngăn cản việc thông qua.

Tuy nhiên, vì nhóm Indexed phải công khai phối hợp bỏ phiếu chống lại đề xuất này, Day đã lường trước khả năng xảy ra một cuộc tấn công bắt chước. Ngoài ra, như Day đã trình bày chi tiết trong chủ đề của mình, một lỗ hổng khác có thể gây nguy hiểm cho các khoản tiền ngoài kho bạc của DAO nếu nó rơi vào tình trạng kiểm soát không thân thiện.

Để giảm thiểu mối đe dọa của một cuộc tấn công tiếp theo, Indexed DAO đã phê duyệt đề xuất “thuốc độc”, cấp cho nó quyền đốt số quỹ kho bạc còn lại nếu cần thiết để ngăn chặn những kẻ tấn công tiềm năng.

Sau cuộc tấn công thứ hai được dự đoán trước, kẻ tấn công ban đầu tìm cách thương lượng để lấy 50% số kho bạc còn lại, như được tiết lộ trong các tin nhắn trên chuỗi. Người sáng lập Indexed Dillon Kellar đã phản ứng bằng cách đề xuất Dai ( DAI ) trị giá 10.000 USD và cảnh báo sẽ đốt toàn bộ kho bạc nếu kẻ tấn công từ chối.

Chỉ còn bốn giờ nữa là đến tối hậu thư của Kellar và sau nỗ lực thương lượng ngược lại với số tiền 17.000 USD, kẻ tấn công đã chấp nhận lời đề nghị ban đầu và rút lại đề xuất ác ý của họ. Quyền lực đối với DAO giờ đây sẽ quay trở lại một multisig do Day, Kellar và người đồng sáng lập có bút danh PR0 kiểm soát, với kế hoạch bồi thường cho các nạn nhân của vụ hack năm 2021 bằng cách sử dụng số tiền kho bạc còn lại.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Mạng Blast đạt 400 triệu USD TVL, bác bỏ tuyên bố rằng nó quá tập trung

Nhóm Blast đã phản hồi lại những tuyên bố rằng chức năng nâng cấp đa chữ ký khiến nó trở nên quá tập trung.

Theo dữ liệu từ nền tảng phân tích blockchain DeBank, giao thức Web3 Mạng Blast đã kiếm được hơn 400 triệu USD tổng giá trị bị khóa (TVL) trong 4 ngày kể từ khi ra mắt. Nhưng trong một chủ đề truyền thông xã hội ngày 23 tháng 11, kỹ sư quan hệ nhà phát triển Polygon Labs, Jarrod Watts đã tuyên bố rằng mạng mới gây ra rủi ro bảo mật đáng kể do tính tập trung hóa.

Nhóm Blast đã phản hồi những lời chỉ trích từ tài khoản X (trước đây là Twitter) của chính họ, nhưng không đề cập trực tiếp đến chủ đề của Watts. Trong chủ đề riêng của mình, Blast tuyên bố rằng mạng này được phân cấp như các lớp 2 khác, bao gồm Optimism, Arbitrum và Polygon.

Mạng Blast tuyên bố là “Ethereum L2 duy nhất có lợi nhuận gốc cho ETH và stablecoin,” theo tài liệu tiếp thị từ trang web chính thức của nó. Trang web cũng tuyên bố rằng Blast cho phép số dư của người dùng được “tự động gộp” và các stablecoin được gửi tới nó sẽ được chuyển đổi thành “USDB”, một loại stablecoin tự động gộp thông qua giao thức T-Bill của MakerDAO. Nhóm Blast chưa phát hành các tài liệu kỹ thuật giải thích cách thức hoạt động của giao thức nhưng cho biết chúng sẽ được xuất bản khi đợt airdrop diễn ra vào tháng 1.

Vụ nổ được phát hành vào ngày 20 tháng 11. Trong bốn ngày qua, TVL của giao thức đã tăng từ 0 lên hơn 400 triệu USD.

Bài đăng ban đầu của Watts cho biết Blast có thể kém an toàn hoặc phi tập trung hơn những gì người dùng nhận ra, đồng thời tuyên bố rằng Blast “chỉ là một đa chữ kí 3/5”. Ông cáo buộc rằng nếu kẻ tấn công giành quyền kiểm soát ba trong số năm khóa của thành viên nhóm, họ có thể đánh cắp tất cả tiền điện tử được gửi vào hợp đồng của mình.

Theo Watts, các hợp đồng Blast có thể được nâng cấp thông qua tài khoản ví đa chữ ký Safe (trước đây là Gnosis Safe). Tài khoản yêu cầu ba trong số năm chữ ký để ủy quyền cho bất kỳ giao dịch nào. Nhưng nếu khóa riêng tạo ra những chữ ký này bị xâm phạm, hợp đồng có thể được nâng cấp để tạo ra bất kỳ mã nào mà kẻ tấn công mong muốn. Điều này có nghĩa là kẻ tấn công thực hiện được điều này có thể chuyển toàn bộ TVL trị giá 400 triệu USD vào tài khoản của chính chúng.

Ngoài ra, Watts còn tuyên bố rằng Blast “không phải là lớp 2”, mặc dù nhóm phát triển của nó đã tuyên bố như vậy. Thay vào đó, Blast chỉ đơn giản là “[a]chấp tiền từ người dùng” và “[s]đưa tiền của người dùng vào các giao thức như LIDO,” mà không có cầu nối hoặc mạng thử nghiệm thực tế nào được sử dụng để thực hiện các giao dịch này. Hơn nữa, nó không có chức năng rút tiền. Để có thể rút tiền trong tương lai, người dùng phải tin tưởng rằng các nhà phát triển sẽ triển khai chức năng rút tiền vào một thời điểm nào đó trong tương lai, Watts tuyên bố.

Ngoài ra, Watts tuyên bố rằng Blast chứa chức năng “enableTransition” có thể được sử dụng để đặt bất kỳ hợp đồng thông minh nào làm “mainnetBridge”, có nghĩa là kẻ tấn công có thể đánh cắp toàn bộ tiền của người dùng mà không cần nâng cấp hợp đồng.

Bất chấp những vectơ tấn công này, Watts khẳng định rằng anh không tin Blast sẽ mất tiền. “Cá nhân tôi, nếu phải đoán, tôi không nghĩ tiền sẽ bị đánh cắp”, ông nói, nhưng cũng cảnh báo rằng “Cá nhân tôi nghĩ việc gửi tiền Blast trong tình trạng hiện tại là rất rủi ro”.

Trong một chủ đề từ tài khoản X của chính mình, nhóm Blast đã tuyên bố rằng giao thức của họ cũng an toàn như các lớp 2 khác. Nhóm khẳng định: “Bảo mật tồn tại trên một phạm vi rộng (không có gì an toàn 100%)” và nó có nhiều sắc thái khác nhau. Có vẻ như hợp đồng không thể nâng cấp sẽ an toàn hơn hợp đồng có thể nâng cấp, nhưng quan điểm này có thể bị nhầm lẫn. Nếu một hợp đồng không thể nâng cấp được nhưng có lỗi, thì “bạn đã chết trong nước”, chủ đề này nêu rõ.

Liên quan: Cuộc tranh luận về Uniswap DAO cho thấy các nhà phát triển vẫn đang gặp khó khăn trong việc đảm bảo các cầu nối chuỗi chéo

Nhóm Blast tuyên bố giao thức sử dụng các hợp đồng có thể nâng cấp vì lý do này. Tuy nhiên, chìa khóa của tài khoản An toàn là “trong kho lạnh, được quản lý bởi một bên độc lập và tách biệt về mặt địa lý”. Theo quan điểm của nhóm, đây là một phương tiện “có hiệu quả cao” để bảo vệ tiền của người dùng, đó là “tại sao các L2 như Arbitrum, Optimism, Polygon” cũng sử dụng phương pháp này.

Blast không phải là giao thức duy nhất bị chỉ trích vì có hợp đồng có thể nâng cấp. Vào tháng 1, người sáng lập Summa, James Prestwich, đã lập luận rằng cầu Stargate cũng gặp vấn đề tương tự . Vào tháng 12 năm 2022, giao thức Ankr đã bị khai thác khi hợp đồng thông minh của nó được nâng cấp để cho phép tạo ra 20 nghìn tỷ BNB (aBNBc) Phần thưởng Ankr được tạo ra một cách bất ngờ . Trong trường hợp của Ankr, việc nâng cấp được thực hiện bởi một nhân viên cũ đã đột nhập vào cơ sở dữ liệu của nhà phát triển để lấy khóa triển khai.

Theo Cointelegraph

Exit mobile version