Mạng Solana một lần nữa gặp phải vấn đề tắc nghẽn và hoa hồng.
Theo bài đăng hỗ trợ Ledger vào ngày 19 tháng 3, người dùng có thể nhận được thông báo lỗi mạng hoặc giao dịch do tắc nghẽn mạng. Điều này có thể xảy ra khi cố gắng gửi, đặt cược hoặc hủy đặt cược Solana ( SOL ) trên Ledger Live.
Mạng Solana hiện đang gặp vấn đề tắc nghẽn và vấn đề về phí 🚧
Do đó, bạn có thể gặp phải các thông báo lỗi như ‘Lỗi mạng’ hoặc ‘Giao dịch của bạn có thể không thành công…’ khi cố gắng gửi, đặt cược hoặc hủy đặt cược $SOL trong Ledger Live… pic.twitter.com/XbO47CS6bq
Người dùng được khuyên nên thử lặp lại giao dịch SOL nhiều lần cho đến khi nó được thực hiện. Thử lại giao dịch, người dùng có thể kết nối Ledger với ví tương thích của bên thứ ba như Phantom, Solflare hoặc Backpack.
Tuy nhiên, một số người dùng cho rằng vấn đề của Ledger không phải do Solana bị quá tải. Một trong những người dùng đã khuyên nhóm nên cập nhật mã.
Bạn nói có vẻ như đó là lỗi của Solana khi theo báo cáo sự cố của bạn thì đó là “ước tính phí bị suy giảm” của Ledger Live, cười lớn. Vui lòng cập nhật mã của bạn, vá nó. Solflare và Phantom đều hoạt động nhưng LL thì không. SOL ổn rồi
Một người dùng khác ủng hộ tuyên bố này và chỉ trích Ledger.
Đó là Ledger, không phải Solana. Tương tự như NEAR, sẽ không cho phép thiết lập ví trên Ledger Mobile, hiện đã sang tuần thứ 2 mà không có giải pháp.
Chuyển đến Tangem sớm. Thật khó chịu khi phải thêm lại tài khoản liên tục. Đây không phải là tài khoản biến mất đầu tiên, cũng không phải là tài khoản cuối cùng. 💀
Trong bối cảnh có báo cáo về tình trạng tắc nghẽn mạng, SOL đang suy giảm. Trong 24 giờ qua, đồng xu này đã giảm giá 12%, xuống còn 177 USD. Tuy nhiên, mã thông báo giảm mạnh cũng có thể là do sự điều chỉnh sau khi giá mã thông báo gốc SOL của mạng vượt quá 200 đô la vào ngày 18 tháng 3.
Hệ sinh thái Solana đã bùng nổ trong những tuần gần đây, với khối lượng giao dịch trên các sàn giao dịch phi tập trung ( DEX ) và tổng giá trị tài sản bị khóa trong các giao thức defi ( TVL ) phá kỷ lục. Khối lượng giao dịch tăng đáng kể này có thể là do hai yếu tố chính – phí mạng thấp và sự gia tăng phổ biến của các đồng meme như Dogwifhat ( WIF ), Bonk ( BONK ) và Book of Meme ( BOME ).
Bộ Tài chính Tây Ban Nha đặt mục tiêu tăng cường thẩm quyền thu giữ tiền điện tử và token không thể thay thế (NFT) như một phần của cải cách thuế mới.
Theo nhật báo El Economista của Tây Ban Nha, Bộ Tài chính Tây Ban Nha đang chuẩn bị thúc đẩy một cuộc cải cách thuế mới nhằm trao cho họ quyền lực mới để thu giữ tiền điện tử và đồ sưu tầm kỹ thuật số trong trường hợp không nộp thuế .
Báo cáo cho biết Bộ đã đề xuất cải cách Luật Thuế chung, cụ thể là Điều 162, sẽ trao quyền cho cơ quan thuế địa phương thu giữ tiền điện tử khi thực hiện khoản nợ của người dùng.
Ngoài ra, các sửa đổi đối với Quy định thu thập chung được đề xuất để cho phép cấm vận tiền điện tử. El Economista lưu ý rằng Bộ đã có thông tin về việc nắm giữ tiền điện tử của người nộp thuế, đồng thời nói thêm rằng các cá nhân và công ty bắt đầu từ năm nay có nghĩa vụ khai báo tiền điện tử của họ được nắm giữ ở nước ngoài.
Tuy nhiên, báo cáo không cung cấp chi tiết cụ thể về thời gian thực hiện sáng kiến này.
Tây Ban Nha đã đóng vai trò tiên phong trong số các nước châu Âu bằng cách thực thi các biện pháp kiểm soát thuế toàn diện đối với tiền điện tử. Người nộp thuế có nghĩa vụ nộp thuế đối với lợi nhuận hoặc thua lỗ liên quan đến tiền điện tử trong hồ sơ thuế thu nhập cá nhân của họ.
Hơn nữa, việc kê khai tài sản tiền điện tử vì mục đích thuế tài sản phải được thực hiện trước tháng 3 năm nay. Nghĩa vụ khai báo này đặc biệt áp dụng cho những người có số tiền nắm giữ tiền điện tử vượt quá 50.000 €. Đối với các cá nhân có tài sản tiền điện tử được lưu trữ trong ví tự quản lý (như MetaMask hoặc Ledger ), biểu mẫu thuế tài sản hiện có, Mẫu 714, được chỉ định cho mục đích kê khai.
Như crypto.news đã đưa tin trước đó, cơ quan quản lý thuế của Tây Ban Nha đã đưa ra hơn 325.000 cảnh báo cho những cư dân không khai báo tiền điện tử của họ vào năm 2023, đánh dấu mức tăng đáng kể so với 150.000 cảnh báo được đưa ra vào năm 2022.
Sao không thử nhỉ? Ít nhất? Hãy xem danh sách THƯỜNG NIÊN ĐẦU TIÊN của The Protocol về các dự đoán công nghệ blockchain cho năm tới. CŨNG: Vụ hack sổ cái gây ra sự bất hòa trong DeFi trong khi hoạt động “NFT trên Bitcoin” của Ordinals khiến phí Bitcoin tăng đột biến và gây bất ngờ sinh lợi tại Sotheby’s.
Sự ảm đạm của thị trường tiền điện tử trong năm nay đã mang lại rất ít thời gian nghỉ ngơi từ các thông báo, triển khai sản phẩm, tích hợp, quan hệ đối tác, cộng tác, gây quỹ, ra mắt, triển khai, di chuyển, chuyển đổi. Có rất nhiều thông tin, tất cả đều khá kỹ thuật và phức tạp; Để bắt kịp đã khó đến mức nào thì việc theo kịp cũng khó khăn không kém. Hãy tưởng tượng bạn đang lái một con tàu vũ trụ đi qua một trường tiểu hành tinh dày đặc trong khi chơi trò chơi Tập trung với từng tiểu hành tinh; nhận dạng mẫu có thể là hy vọng duy nhất của bạn. Một số xu hướng chính của năm 2023 đã được các chuyên gia dự đoán rộng rãi. Nhiều người thì không. Sự thật mà nói, không ai thực sự biết tất cả những điều này sẽ đi đến đâu.
NHƯNG tại sao không thử? Ít nhất? Hãy xem danh sách THƯỜNG NIÊN ĐẦU TIÊN của The Protocol về các dự đoán công nghệ blockchain cho năm tới.
CŨNG: Những lời than thở về sổ cái và thử thách của Ordinals của Bitcoin.
Bài viết này được đăng trong số mới nhất củaThe Protocol, bản tin hàng tuần của chúng tôi khám phá công nghệ đằng sau tiền điện tử, từng khối một.Đăng ký tại đâyđể nhận nó trong hộp thư đến của bạn vào thứ Tư hàng tuần. Ngoài ra, vui lòng xempodcastThe Protocol hàng tuần của chúng tôi.
tin tức mạng
DANH SÁCH DỰ ĐOÁN CÔNG NGHỆ BLOCKCHAIN THƯỜNG NIÊN ĐẦU TIÊN CỦA PROTOCOL: Trong số tất cả các lộ trình, lá trà và những dự đoán hay nhất tràn ngập hộp thư đến của chúng tôi trong vài tuần qua, chúng tôi đã tuyển chọn 10 dự đoán từ các chuyên gia công nghệ blockchain cho năm tới. Vâng, đó là một điều đau đầu và có thể một số điều đó sẽ xảy ra. Ít nhất chúng ta cũng có nguồn tốt. David Schwartz của Ripple Labs coi “khả năng tương tác” là chủ đề chính; Abdelhamid Bakhta, nhà phát triển Ethereum chính và cốt lõi, hệ sinh thái Starknet, thích “tính mô-đun”. Tới đây để có danh sách đầy đủ.
LEDGER HACK LEDGER:
Khai thác tại Ledger, nhà sản xuất ví phần cứng, nâng cấp DeFi, của Oliver Knight . ( Liên kết )
Những gì chúng ta biết về vụ hack Ledger, của Daniel Kuhn ( Liên kết )
Lucas Tcheyan của Galaxy Research: “Việc kẻ khai thác có thể hack Ledger thông qua một nhân viên cũ chứng tỏ sự thiếu quản lý thông tin xác thực phù hợp và có thể dẫn đến việc xem xét kỹ lưỡng hơn các hoạt động bảo mật còn lại của họ.”
Bản tin Bankless : “Theo Ledger, không có khóa riêng tư nào của người dùng gặp rủi ro, nhưng sự kiện này đóng vai trò như một lời nhắc nhở về sự cần thiết phải ưu tiên bảo mật xung quanh việc nắm giữ tiền điện tử của một người. Theo nguyên tắc cơ bản, việc sử dụng một ví cho nắm giữ nghiêm ngặt tài sản và tài sản khác để tương tác với các ứng dụng phi tập trung.”
Tái bút: Vào thứ Tư, tài khoản Ledger chính thức trên Xđã đăng rằng “chúng tôi biết có khoảng 600 nghìn đô la” trong “tài sản bị ảnh hưởng, bị đánh cắp từ người dùng ký tên mù trên EVM DApps.” Công ty nói thêm: “Sổ cái sẽ đảm bảo rằng các nạn nhân bị ảnh hưởng sẽ được thực hiện toàn bộ và cam kết hợp tác với hệ sinh thái DApp để cho phép Ký rõ ràng và không còn cho phép Ký mù với các thiết bị Sổ cái nữa vào tháng 6 năm 2024.”
CŨNG:
Những chiếc điện thoại Solana Saga từng gặp khó khăn bắt đầu bán ra khỏi kệ với mức giá bán lẻ là 599 USD sau khi các nhà giao dịch tiền điện tử nhận ra rằng họ có thể đủ điều kiện nhận airdrop token BONK trị giá gần 700 USD. Những người bán điện thoại trên chợ trực tuyến eBay đã nhanh chóng tăng giá điện thoại, một số chiếc có giá lên tới 2.000 USD/chiếc. Các dự án khác dựa trên Solana sẽ sớm nhận được sự chú ý .
Người đồng sáng lập Ethereum Vitalik Buterin, người đã tranh luận ba năm trước về việc đẩy nhiều tải tính toán của blockchain lên các mạng liên kết được gọi là “mạng lớp 2” hoặc “cuộn”, đã vạch ra kế hoạch đưa một số chức năng trở lại chuỗi chính .
Đa giácngừng hoạt động trên ‘Edge’, được sử dụng để xây dựng Dogechain, khi trọng tâm chuyển sang ZK.
Cuộc chiến quảng cáo Bitcoin ETFchính thức diễn ra với chiến dịch Bitwise
Các nhà phát triển Shiba Inu có thể sớm cung cấp cho chủ sở hữu SHIB miền internet ‘.shib’ .
Làm nổi bật các nâng cấp và phát triển công nghệ blockchain.
1. Avail , đối thủ của Celestia trong cuộc đua cung cấp giải pháp dữ liệu trong hệ sinh thái chuỗi khối Ethereum, đã đạt được thỏa thuận với nhà phát triển hàng đầu Starkware để đóng vai trò quan trọng trong các mạng mới bắt đầu từ năm tới. Theo thỏa thuận được tiết lộ hôm thứ Tư, Avail sẽ cung cấp giải pháp “dữ liệu sẵn có” cho các chuỗi ứng dụng mới được xây dựng bằng Madara của Starkware, cái gọi là trình sắp xếp chuỗi phi tập trung . Starkware là nhà phát triển chính đằng sau StarkNet, blockchain lớp 2 hàng đầu trong hệ sinh thái Ethereum.
2.Lyra V2 đã xây dựng chuỗi tùy chỉnh của riêng mình trên nền tảng Optimism, theo nhóm : “Lyra hiện cung cấp giao dịch và khớp lệnh cực nhanh, đồng thời tiếp tục được giám sát hoàn toàn và giữ tất cả tiền cũng như logic tài chính trên chuỗi. Lyra V1 chiếm giữ 60% khối lượng tùy chọn phi tập trung, giao dịch trên 1,5 tỷ đô la với khối lượng danh nghĩa. Lyra V2 đã nâng cấp lên UX cấp chuyên nghiệp và đang bắt đầu nhắm mục tiêu đến người dùng sàn giao dịch tập trung với giao thức mới. giao dịch không cần gas.
3. Stellar , blockchain lớp 1, đã thông báo rằng kế hoạch nâng cấp để giới thiệu chức năng hợp đồng thông minh sẽ diễn ra theo giai đoạn triển khai trong nửa đầu năm 2024, với cuộc bỏ phiếu xác thực của mạng về bản nâng cấp diễn ra vào ngày 30 tháng 1, theo nhóm: “Để đảm bảo việc ra mắt mang lại trải nghiệm chất lượng cao cho các nhà xây dựng , Stellar sẽ đánh giá việc triển khai hợp đồng thử nghiệm và liên lạc với các nhà phát triển khi nền tảng hợp đồng thông minh (được gọi là Soroban ) đạt đến mức độ thuận lợi cho giao dịch mỗi giây mà người dùng sẵn sàng.”
4. Pontem sẽ ra mắt mạng lớp 2 của mình, Lumio , “để giải quyết các thách thức về khả năng mở rộng của Ethereum và mang lại trải nghiệm giống như Web2 trên Web3 cho hàng triệu người dùng,” theo nhóm. “L2 của Pontem có thể tăng băng thông giao dịch một cách hiệu quả, kết hợp lợi thế của chuỗi TPS cao như Aptos với tính bảo mật và tính thanh khoản của Ethereum với mục đích mở rộng quy mô Ethereum theo chiều ngang để đáp ứng nhu cầu của hàng triệu và cuối cùng là hàng tỷ người dùng đồng thời.” Theo thông cáo báo chí mà CoinDesk nhìn thấy, Lumio dựa trên khung OP Stack của Optimism và có “thời gian chạy tương thích với Move và EVM cho phép các nhà phát triển tận dụng lợi ích của ngôn ngữ Move trên Ethereum trong khi vẫn hỗ trợ hệ sinh thái Solidity”.
5.Intersect , một tổ chức dựa trên thành viên của hệ sinh thái Cardano , đã công bố kế hoạch chuyển cơ sở mã Cardano cốt lõi sang quyền quản lý của mình, theo nhóm.
Theo nhóm, Tap Protocol , một ” giao thức hỗ trợ OrdFi ” dành cho Bitcoin Ordinals do Trac tạo ra, đã thông báo kết thúc thành công vòng đầu tư trị giá 4,2 triệu USD do Sora Ventures dẫn đầu.
PROTOCOL VILLAGE ĐỘC QUYỀN:Metagood , “công ty công nghệ chuỗi khối và tài sản kỹ thuật số đã ra mắt thị trường OnChainMonkey NFTs và Osura sáng tạo, hôm nay đã công bố hoàn thành vòng tài trợ hạt giống trị giá 5 triệu đô la. Vòng này được dẫn dắt bởi Sora Ventures, với sự tham gia của ACTAI Ventures , Bitcoin Frontier Fund, Bitcoin Magazine Fund, London Real Ventures và Peach.xyz .
Ưu đãi và trợ cấp
Quỹ MetisDAO , tổ chức đứng sau Metis rollup lớp 2, cho biết hôm thứ Hai rằng họ đã tạo ra một quỹ trị giá khoảng 100 triệu đô la để đẩy nhanh sự phát triển của hệ sinh thái của mình.
‘Làn gió thứ hai’ đối với các đơn đặt hàng Bitcoin mang lại mức phí tăng vọt, sự chú ý phổ biến, một số người không mong muốn
Trong vài tuần qua trên The Protocol, chúng tôi đã ghi lại cách các dòng chữ Ordinals, thường được gọi là “NFT trên Bitcoin”, được người hâm mộ yêu mến như thế nào,được đánh giá cao bởi các thợ mỏ thèm khát phívà bị một số người ghétnhững người theo chủ nghĩa thuần túy blockchain. Từng gây tiếng vang lớn hồi đầu năm, giờ đây họ đã hoàn toàn đón được “cơn gió thứ hai”, như Reflexivity Research đã nói, giúptăng phí giao dịch Bitcoinđến mộtcao nhất mọi thời đại. Chúng cũng đã trở thành xu hướng chủ đạo: Tuần trước, bộ ba dòng chữ Ordinals từ “BitcoinShroom” bộ sưu tập – hai nhân vật nấm theo phong cách Super Mario và một quả bơ có pixel – được bán tại nhà đấu giá Sotheby’s nổi tiếngvới giá khoảng 450.000 USD, hoặc gấp năm lần ước tính cao nhất; không cần phải nói, sẽ sớm có kế hoạch bán hàng nhiều hơn. Mốt khắc chữ thậm chí còn lan sang các blockchain khác, với công nghệ tương tự làm tắc nghẽn các mạng bao gồmPhán quyết, Tuyết lở, Cronos,zkSync, The Open Network và Celestia, theo công ty phân tích FundStrat. Greg Cipolaro, người đứng đầu nghiên cứu tại Nydig, đã lưu ý trong mộtbáo cáoBitcoin được sao lưu như thế nào “mempool” – lượng giao dịch tồn đọng đang chờ xử lý – đã trở thành. “Hàng đợi giao dịch trải dài trên 372 khối đáng kinh ngạc, tương đương với gần 2,6 ngày dựa trên giả định là 144 khối mỗi ngày,” Cipolaro viết. theo Cipolaro, “Phí hiện đang đóng một vai trò quan trọng hơn nhiều trong doanh thu của thợ mỏ. Doanh thu tăng thêm có thể giúp bù đắp tác động dự kiến của đợt “halving” vào năm tới khi phần thưởng khối bị giảm được thiết lập để tự động điều chỉnh thấp hơn 50%. Nhưng kịch bản này cũng có thể buộc người dùng hoặc doanh nghiệp phải suy nghĩ lại sâu sắc (hoặc phản đối), những người có thể đã lập kế hoạch dựa trên kỳ vọng về giao dịch giá rẻ.
Số lượng giao dịch tồn đọng của Bitcoin được gọi là “mempool” đã tăng lên, một phần do tác động của tình trạng tắc nghẽn từ dòng chữ Ordinals. (Mempool.space)
Lịch
Ngày 1 tháng 1: Chúc mừng năm mới từ The Protocol!
Theo nền tảng phân tích blockchain Lookonchain, hacker đứng sau cuộc tấn công vào thư viện trình kết nối của Ledger đã đánh cắp ít nhất 484.000 USD.
Theo nền tảng phân tích blockchain Lookonchain, hacker đứng sau cuộc tấn công vào thư viện trình kết nối của Ledger đã đánh cắp tài sản trị giá gần 484.000 USD. Ledger vẫn chưa xác nhận các số liệu, nhưng theo công ty, tác động của vụ vi phạm an ninh có thể lên tới hàng trăm nghìn.
Người dùng trên X (Twitter) đã gắn cờ sự cố vào ngày 14 tháng 12 , cho rằng trình kết nối Web3 phổ biến đã bị xâm phạm, cho phép mã độc được đưa vào nhiều ứng dụng phi tập trung (DApps).
Các giao thức bị ảnh hưởng bởi sự cố bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash, nhưng thiệt hại có thể còn lớn hơn. Theo một số người dùng trên X, lỗ hổng này có thể tồn tại trong các chương trình tương tự khác thay thế cho LedgerHQ/connect-kit.
Theo MetaMask, vụ hack cũng ảnh hưởng đến người dùng. Nhà cung cấp ví đã triển khai bản sửa lỗi cho nền tảng của mình, cho biết người dùng sử dụng phiên bản mới nhất, v2.121.0, sẽ có thể “giao dịch lại và sẽ được cập nhật tự động. Nếu bạn chưa sử dụng phiên bản này, vui lòng làm mới dữ liệu trang web của bạn.”
hầu hết các tweet về sổ cái đều sai
đây là những gì bạn cần biết:
TẤT CẢ CÁC VÍ ETHEREUM HOẠT ĐỘNG ĐANG CÓ RỦI RO
không kết nối BẤT KỲ ví ethereum/evm nào với BẤT KỲ ứng dụng nào cho đến khi có thông báo mới
không quan trọng đó có phải là sổ cái hay không
nếu hôm nay bạn không sử dụng ví thì bạn sẽ an toàn
Gần ba giờ sau vụ việc, Ledger báo cáo rằng phiên bản độc hại của tệp đã được thay thế bằng phiên bản chính hãng vào khoảng 1:35 chiều UTC. Công ty đang cảnh báo người dùng của mình “luôn xóa các giao dịch Đăng nhập”, đồng thời bổ sung thêm rằng các địa chỉ và thông tin được trình bày trên màn hình Sổ cái là thông tin chính xác duy nhất:
“Nếu có sự khác biệt giữa màn hình hiển thị trên thiết bị Ledger và màn hình máy tính/điện thoại của bạn, hãy dừng giao dịch đó ngay lập tức.”
Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit.
Một phiên bản chính hãng hiện đang được đẩy mạnh để thay thế tệp độc hại. Không tương tác với bất kỳ dApps nào vào lúc này. Chúng tôi sẽ thông báo cho bạn khi tình hình phát triển.
Nhiều ứng dụng phi tập trung sử dụng thư viện trình kết nối của Ledger đã bị xâm phạm, bao gồm SushiSwap và Revoke.cash. Ledger tuyên bố vấn đề đã được khắc phục.
Cập nhật (lúc 2:45 chiều UTC ngày 14 tháng 12): Bài viết này đã được cập nhật để làm rõ rằng Ledger được cho là đã khắc phục sự cố.
Giao diện người dùng của nhiều ứng dụng phi tập trung (DApps) sử dụng trình kết nối của Ledger, bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị xâm phạm vào ngày 14 tháng 12. Gần ba giờ sau khi phát hiện vi phạm bảo mật, Ledger đã báo cáo rằng phiên bản độc hại của tệp đã được thay thế bằng phiên bản chính hãng vào khoảng 1:35 chiều UTC.
Ledger đang cảnh báo người dùng các giao dịch “luôn xóa dấu hiệu”, đồng thời nói thêm rằng địa chỉ và thông tin được trình bày trên màn hình Ledger là thông tin chính xác duy nhất. “Nếu có sự khác biệt giữa màn hình hiển thị trên thiết bị Ledger và màn hình máy tính/điện thoại của bạn, hãy dừng giao dịch đóngay lập tức.”
Giám đốc kỹ thuật của SushiSwap, Matthew Lilley là một trong những người đầu tiên báo cáo vấn đề, lưu ý rằng trình kết nối Web3 thường được sử dụng đã bị xâm phạm, cho phép mã độc xâm nhập vào nhiều DApp. Nhà phân tích on-chain cho biết thư viện Ledger đã xác nhận sự xâm phạm trong đó mã dễ bị tấn công đã chèn địa chỉ tài khoản Drainer.
BÁO ĐỘNG ĐỎ :
Không tương tác với BẤT KỲ dApp nào cho đến khi có thông báo mới. Có vẻ như một trình kết nối web3 thường được sử dụng đã bị xâm phạm, cho phép tiêm mã độc ảnh hưởng đến nhiều dApp.
Lilley đổ lỗi cho Ledger về lỗ hổng và sự xâm phạm đang diễn ra trên nhiều DApp. Giám đốc điều hành tuyên bố rằng mạng phân phối nội dung của Ledger đã bị xâm phạm, trong đó JavaScript được tải từ mạng bị xâm nhập.
Trình kết nối sổ cái là một thư viện được nhiều DApp sử dụng và được Ledger duy trì. Một công cụ rút ví đã được thêm vào, do đó việc rút tài sản khỏi tài khoản của người dùng có thể không tự xảy ra. Tuy nhiên, lời nhắc từ ví trình duyệt như MetaMask sẽ hiển thị và có thể cấp cho các tác nhân độc hại quyền truy cập vào tài sản.
Lilley cảnh báo người dùng tránh bất kỳ DApp nào sử dụng trình kết nối Ledger, đồng thời nói thêm rằng “bộ kết nối” cũng dễ bị tấn công và đây không phải là một cuộc tấn công đơn lẻ mà là một cuộc tấn công quy mô lớn vào nhiều DApp.
Lỗ hổng với Ledger Connect Kit cần được giải quyết ngay bây giờ
Đây dường như chỉ là một cách khai thác EVM, nhưng chúng tôi có thể xác nhận rằng người dùng Phantom trên các dapp có giao diện người dùng bị xâm nhập sẽ thấy các cảnh báo thích hợp trong bản xem trước giao dịch của chúng tôi.
Phó chủ tịch Polygon Labs, Hudson Jameson cho biết ngay cả sau khi Ledger sửa mã xấu trong thư viện của mình, các dự án sử dụng và triển khai thư viện sẽ cần phải cập nhật trước khi có thể sử dụng DApps bằng thư viện Web3 của Ledger một cách an toàn.
có vẻ như 0K+ đã cạn kiệt
khách hàng thoát nước 0x658729879fca881d9526480b82ae00efc54b5c2d địa chỉ thu phí thông cống 0x412f10AAd96fD78da6736387e2C84931Ac20313f pic.twitter.com/Rld2BsKNDo
Ido Ben-Natan, đồng sáng lập và CEO của Blockaid, nói với Cointelegraph:
“Người dùng sổ cái không gặp rủi ro nếu không giao dịch. Nó không thể khai thác được khi được phê duyệt trước. Revoke.cash đặc biệt bị ảnh hưởng, vì vậy đừng tương tác với nó. số tiền bị ảnh hưởng là hàng trăm nghìn đô la trong hai giờ qua. Nhiều trang web vẫn bị ảnh hưởng và người dùng đang bị ảnh hưởng.”
Ledger thừa nhận lỗ hổng trong mã của nó và cho biết họ đã “xóa phiên bản độc hại của Ledger Connect Kit”, đồng thời nói thêm rằng “một phiên bản chính hãng hiện đang được đẩy để thay thế tệp độc hại”.
Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit.
Một phiên bản chính hãng hiện đang được đẩy mạnh để thay thế tệp độc hại. Không tương tác với bất kỳ dApps nào vào lúc này. Chúng tôi sẽ thông báo cho bạn khi tình hình phát triển.
Nhà cung cấp ví MetaMask cũng bị ảnh hưởng bởi vụ việc. Ledger đã phát hành bản vá để giải quyết vấn đề nhưng cảnh báo người dùng phải đợi 24 giờ trước khi sử dụng lại thư viện trình kết nối của nó.
Theo nhóm Linea, một bản tổng hợp không có kiến thức của Consensys, cuộc tấn công vào thư viện trình kết nối của Ledger có thể ảnh hưởng đến toàn bộ hệ sinh thái Máy ảo Ethereum (EVM).
Tin tặc đã nhắm mục tiêu vào thư viện kết nối Ledger, được thiết kế để cho phép liên lạc giữa ví phần cứng Ledger và các ứng dụng phi tập trung (DApps) khác nhau. Nhà cung cấp ví MetaMask cũng bị ảnh hưởng bởi sự cố bảo mật.
Gửi tới tất cả người dùng web3, Có vẻ như lỗ hổng này đang ảnh hưởng đến nhiều dapp trên toàn bộ hệ sinh thái EVM. Sẽ rất rủi ro khi tương tác với bất kỳ dapp nào cho đến khi vấn đề được giải quyết đúng cách.
Theo một bài đăng trên X (Twitter), MetaMask đã triển khai một bản cập nhật để khắc phục sự cố trên Danh mục MetaMask của mình. “Hãy đảm bảo rằng bạn đã bật tính năng Blockaid trong Tiện ích mở rộng MetaMask trước khi thực hiện bất kỳ giao dịch nào trên Danh mục MetaMask,” công ty cảnh báo trên X.
Các giao thức bị ảnh hưởng khác bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash. Công ty bảo mật chuỗi khối CertiK nói với Cointelegraph rằng bất kỳ DApp nào nhập CDN sổ cái sẽ tự động thực thi mã thoát nước, nhắc nạn nhân kết nối qua bất kỳ ví nào họ hỗ trợ.
Ledger là một loại ví phần cứng phổ biến được nhiều người trong cộng đồng tiền điện tử sử dụng. Thư viện trình kết nối của nó là một thành phần quan trọng giúp giao tiếp giữa phần cứng Ledger và các DApp khác nhau. Thư viện này có thể ảnh hưởng đến nhiều người dùng và giao dịch EVM nếu bị xâm phạm.
Cuộc tấn công được bắt đầu sau khi một cựu nhân viên Ledger bị lừa đảo và tài khoản NPMJS của họ bị xâm phạm. “Kẻ tấn công đã xuất bản một phiên bản độc hại của Ledger Connect Kit (ảnh hưởng đến các phiên bản 1.1.5, 1.1.6 và 1.1.7). Mã độc đã sử dụng dự án WalletConnect lừa đảo để định tuyến lại tiền đến ví của hacker,” công ty viết trên X.
Bản sửa lỗi đã được đưa ra gần 40 phút sau khi Ledger phát hiện ra sự cố. Công ty đang cảnh báo người dùng đợi 24 giờ trước khi sử dụng lại Ledger Connect Kit.
THỜI GIAN CUỐI CÙNG VÀ CẬP NHẬT CHO KHÁCH HÀNG:
4:49 chiều CET:
Ledger Connect Kit phiên bản chính hãng 1.1.8 hiện đang được phổ biến tự động. Chúng tôi khuyên bạn nên đợi 24 giờ cho đến khi sử dụng lại Ledger Connect Kit.
Cuộc điều tra vẫn tiếp tục, đây là dòng thời gian của những gì chúng tôi biết về…
Nền tảng phân tích chuỗi khối Lookonchain tuyên bố hacker đã đánh cắp tài sản trị giá gần 484.000 USD, nhưng tác động của vi phạm bảo mật có thể lớn hơn, Ledger lưu ý.
Ledger kể từ đó đã quy kết việc khai thác là một cuộc tấn công lừa đảo nhằm vào một nhân viên cũ.
Nhiều ứng dụng phi tập trung (DApp) đã tạm thời vô hiệu hóa giao diện người dùng front-end của Ledger Connect trong bối cảnh bị khai thác vào ngày 14 tháng 12.
Các nhà phát triển nền tảng mã thông báo không thể thay thế (NFT) OpenSea cho biết vào ngày 14 tháng 12 rằng người dùng “không nên kết nối với bất kỳ dApps nào bằng Ledger Connect cho đến khi có thông báo mới”.
Trong khi đó, giao thức tài chính phi tập trung (DeFi) Lido Finance cho biết “giao diện người dùng của nó đã bị tắt như một biện pháp phòng ngừa trong khi vấn đề kết nối Ledger đang được điều tra”.
Trước đó trong ngày, giao diện người dùng của Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị xâm phạm như một phần của hoạt động khai thác Ledger Connect. Ledger kể từ đó đã tuyên bố rằng lỗ hổng này đã được vá, với vấn đề bắt nguồn từ “phiên bản độc hại của Ledger Connect Kit”.
“Một phiên bản chính hãng đang được đẩy mạnh để thay thế tệp độc hại. Không tương tác với bất kỳ dApps nào vào lúc này. Chúng tôi sẽ thông báo cho bạn khi tình hình phát triển.”
Các báo cáo sơ bộ cho rằng cuộc tấn công đã tiêu tốn ít nhất 484.000 USD tài sản kỹ thuật số. Tether, nhà phát hành stablecoin Tether ( USDT ), kể từ đó đã đóng băng địa chỉ của kẻ khai thác. Theo các nhà phát triển Ledger, “phiên bản chính hãng” của Ledger Connect Kit “hiện đang được phổ biến tự động”. Điều đó có nghĩa là người dùng nên đợi 24 giờ trước khi sử dụng lại bộ sản phẩm.
Việc khai thác được cho là do một cuộc tấn công lừa đảo nhằm vào một cựu nhân viên của Ledger, cho phép tin tặc truy cập thông tin nhạy cảm. Các nhà phát triển viết: “Chúng tôi đang nộp đơn khiếu nại và làm việc với cơ quan thực thi pháp luật để điều tra nhằm tìm ra kẻ tấn công”. Ước tính mất khoảng hai giờ kể từ khi rút hết tiền cho đến khi bản sửa lỗi được triển khai.
THỜI GIAN CUỐI CÙNG VÀ CẬP NHẬT CHO KHÁCH HÀNG:
4:49 chiều CET:
Ledger Connect Kit phiên bản chính hãng 1.1.8 hiện đang được phổ biến tự động. Chúng tôi khuyên bạn nên đợi 24 giờ cho đến khi sử dụng lại Ledger Connect Kit.
Cuộc điều tra vẫn tiếp tục, đây là dòng thời gian của những gì chúng tôi biết về…
Giám đốc điều hành kiêm chủ tịch Pascal Gauthier cho biết công ty đang hợp tác với cơ quan thực thi pháp luật để “tìm ra kẻ xấu này và đưa chúng ra trước công lý”.
Giám đốc điều hành Ledger Pascal Gauthier đã giải quyết vụ hack ngày 14 tháng 12 về vụ hack nhà cung cấp ví trong một bài đăng trên blog của công ty. Ông cho biết vụ hack thư viện trình kết nối Javascript của Ledger là một “sự cố riêng lẻ” và hứa hẹn sẽ kiểm soát an ninh chặt chẽ hơn.
Cam kết cá nhân của tôi: Ledger sẽ dành nhiều nguồn lực bên trong và bên ngoài nhất có thể để giúp các cá nhân bị ảnh hưởng lấy lại tài sản của họ.
Gauthier cho biết, quá trình khai thác diễn ra trong chưa đầy hai giờ và bị vô hiệu hóa trong vòng 40 phút kể từ khi phát hiện và bị giới hạn ở các ứng dụng phi tập trung (DApps) của bên thứ ba. Ông nói, điều đó đã được thực hiện sau khi một nhân viên cũ trở thành nạn nhân của một vụ lừa đảo lừa đảo. Danh tính của nhân viên đó được cho là đã bị bỏ lại trong đoạn mã bị tấn công. Phần cứng sổ cái và nền tảng Ledger Live không bị ảnh hưởng. Hơn nữa:
“Thông lệ tiêu chuẩn tại Ledger là không một cá nhân nào có thể triển khai mã mà không được nhiều bên xem xét. Chúng tôi có các biện pháp kiểm soát quyền truy cập mạnh mẽ, đánh giá nội bộ và mã đa chữ ký khi nói đến hầu hết các phần trong quá trình phát triển của chúng tôi. Đây là trường hợp xảy ra ở 99% hệ thống nội bộ của chúng tôi. Bất kỳ nhân viên nào rời khỏi công ty đều bị thu hồi quyền truy cập vào mọi hệ thống Sổ cái.”
Gauthier tiếp tục gọi vụ hack là “một sự cố cá biệt đáng tiếc”. Anh ấy đã hứa rằng trong tương lai:
“Ledger sẽ triển khai các biện pháp kiểm soát bảo mật mạnh mẽ hơn, kết nối quy trình xây dựng của chúng tôi nhằm triển khai bảo mật chuỗi cung ứng phần mềm nghiêm ngặt với kênh phân phối NPM.”
Gauthier cho biết thêm, một vụ hack kiểu này có thể xảy ra với những người khác. Ông cho biết Ledger Connect Kit 1.1.8 an toàn và sẵn sàng để sử dụng. Ganthier cảm ơn WalletConnect, Tether, Chainalysis và ZachXBT đã hỗ trợ.
Quy mô của vụ hack ban đầu được ước tính là 484.000 USD , nhưng dịch vụ bảo mật Web3 Blockaid sau đó nói với Cointelegraph rằng số tiền đã tăng lên 504.000 USD vào lúc 8 giờ tối theo giờ UTC. Công ty cho biết thêm, vụ hack có thể ảnh hưởng đến bất kỳ người dùng Máy ảo Ethereum nào tương tác với DApp bị ảnh hưởng.
Dưới đây là danh sách các dapp có thể bị ảnh hưởng bởi vụ hack @ledger ! Tuyệt đối không tương tác với DEFI ngay hôm nay! Không có ứng dụng nào an toàn cho dù bạn có sử dụng Sổ cái hay không. pic.twitter.com/2ihbasF3R7
Theo Cyvers, kẻ tấn công đã khiến mã độc được chèn vào nhiều giao diện người dùng ứng dụng, cho phép kẻ khai thác đánh lừa người dùng xác nhận giao dịch.
Theo nhóm đằng sau nền tảng bảo mật blockchain Cyvers, hacker Ledger đã bòn rút ít nhất 484.000 USD từ nhiều ứng dụng Web3 vào ngày 14 tháng 12 bằng cách lừa người dùng thực hiện phê duyệt mã thông báo độc hại.
Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit.
Một phiên bản chính hãng hiện đang được đẩy mạnh để thay thế tệp độc hại. Không tương tác với bất kỳ dApps nào vào lúc này. Chúng tôi sẽ thông báo cho bạn khi tình hình phát triển.
Sau khi có được quyền truy cập, họ đã tải một bản cập nhật độc hại lên kho lưu trữ GitHub của Ledger Connect. Ledger Connect là gói được sử dụng phổ biến cho các ứng dụng Web3.
Một số ứng dụng Web3 đã nâng cấp lên phiên bản mới khiến ứng dụng của chúng phát tán mã độc tới trình duyệt của người dùng. Các ứng dụng Web3 Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị nhiễm mã.
Kết quả là kẻ tấn công đã có thể bòn rút ít nhất 484.000 USD từ người dùng các ứng dụng này. Các ứng dụng khác cũng có thể bị ảnh hưởng vàcác chuyên gia đã cảnh báo rằng lỗ hổng này có thể ảnh hưởng đến toàn bộ hệ sinh thái Máy ảo Ethereum (EVM).
Làm sao nó có thể xảy ra được
Nói chuyện với Cointelegraph, Giám đốc điều hành Cyvers Deddy Lavid, giám đốc công nghệ Meir Dolev và nhà phân tích blockchain Hakal Unal đã làm sáng tỏ thêm về cách cuộc tấn công có thể xảy ra.
Theo họ, kẻ tấn công có thể đã sử dụng mã độc để hiển thị dữ liệu giao dịch khó hiểu trong ví của người dùng, khiến người dùng phê duyệt các giao dịch mà họ không có ý định thực hiện.
Dolev cho biết, khi các nhà phát triển tạo ứng dụng Web3, họ sử dụng “bộ công cụ kết nối” mã nguồn mở để cho phép ứng dụng của họ kết nối với ví của người dùng. Các bộ công cụ này là những đoạn mã có sẵn có thể được cài đặt trong nhiều ứng dụng, cho phép chúng xử lý quá trình kết nối mà không cần tốn thời gian viết mã. Bộ công cụ kết nối của Ledger là một trong những tùy chọn có sẵn để xử lý tác vụ này.
Có vẻ như sự cố bảo mật ngày hôm nay là đỉnh điểm của 3 lỗi riêng biệt tại Ledger:
1. Tải mã một cách mù quáng mà không ghim phiên bản và tổng kiểm tra cụ thể. 2. Không thực thi “quy tắc 2 người” xung quanh việc xem xét và triển khai mã. 3. Không thu hồi quyền truy cập của nhân viên cũ.
Khi nhà phát triển viết ứng dụng lần đầu tiên, họ thường cài đặt bộ kết nối thông qua trình quản lý gói nút. Sau khi tạo bản dựng và tải nó lên trang web của họ, ứng dụng của họ sẽ chứa bộ kết nối như một phần mã của nó, sau đó sẽ được tải xuống trình duyệt của người dùng bất cứ khi nào người dùng truy cập trang web.
Theo nhóm Cyvers, mã độc được chèn vào Ledger Connect Kit có thể cho phép kẻ tấn công thay đổi các giao dịch được đẩy tới ví của người dùng. Ví dụ: là một phần của quá trình sử dụng ứng dụng, người dùng thường cần đưa ra phê duyệt đối với các hợp đồng mã thông báo, cho phép ứng dụng chi tiêu mã thông báo từ ví của người dùng.
Mã độc có thể đã khiến ví của người dùng hiển thị yêu cầu xác nhận phê duyệt mã thông báo nhưng địa chỉ của kẻ tấn công được liệt kê thay vì địa chỉ của ứng dụng. Hoặc, nó có thể khiến xác nhận ví xuất hiện bao gồm mã khó hiểu, khiến người dùng nhầm lẫn nhấn “xác nhận” mà không hiểu họ đang đồng ý điều gì.
Một ví dụ về phê duyệt mã thông báo Web3. Nguồn: MetaMask
Dữ liệu chuỗi khối cho thấy các nạn nhân của cuộc tấn công đã phê duyệt mã thông báo rất lớn cho hợp đồng độc hại. Ví dụ: kẻ tấn công đã rút hơn 10.000 USD từ địa chỉ Ethereum 0xAE49C1ad3cf1654C1B22a6Ee38dD5Bc4ae08fEF7 trong một giao dịch. Nhật ký của giao dịch này cho thấy người dùng đã chấp thuận một lượng rất lớn USD Coin ( USDC ) được chi tiêu bởi hợp đồng độc hại.
Phê duyệt mã thông báo bởi nạn nhân khai thác. Nguồn: Etherscan
Nhóm Cyvers cho biết, việc phê duyệt này có thể do người dùng thực hiện do nhầm lẫn do mã độc. Họ cảnh báo rằng việc tránh kiểu tấn công này là vô cùng khó khăn vì không phải lúc nào ví cũng cung cấp cho người dùng thông tin rõ ràng về những gì họ đồng ý. Một phương pháp bảo mật có thể hữu ích là đánh giá cẩn thận từng thông báo xác nhận giao dịch bật lên trong khi sử dụng ứng dụng. Tuy nhiên, điều này có thể không giúp ích gì nếu giao dịch được hiển thị bằng mã khó đọc hoặc gây nhầm lẫn.
Cyvers tuyên bố rằng nền tảng của họ cho phép các doanh nghiệp kiểm tra địa chỉ hợp đồng và xác định xem những địa chỉ này có liên quan đến sự cố bảo mật hay không. Ví dụ: tài khoản tạo hợp đồng thông minh được sử dụng trong cuộc tấn công này đã bị Cyvers phát hiện có liên quan đến 180 sự cố bảo mật.
Nền tảng bảo mật của Cyvers. Nguồn: Cyvers
Nhóm nói với Cointelegraph rằng mặc dù các công cụ Web3 trong tương lai có thể cho phép phát hiện và ngăn chặn trước các cuộc tấn công như thế này, nhưng ngành công nghiệp vẫn còn “một chặng đường dài phía trước” để giải quyết vấn đề này.
