Lưu trữ cho từ khóa: #tin tặc

DeFi

Tổng quan thị trường DeFi tháng 11 năm 2023

Để lại phản hồi

Công ty luật Cadena Legal cho biết hướng dẫn do Văn phòng Thuế Úc đưa ra là “không mang tính ràng buộc” và phải được coi như “giấy vệ sinh”.

Chào mừng bạn đến với chuyên mục Tài chính, nguồn thông tin chi tiết cần thiết về tài chính phi tập trung (DeFi) hàng tuần – một bản tin được tạo ra để mang đến cho bạn những phát triển quan trọng nhất trong tuần qua.

Hacker đã đánh cắp hơn 46 triệu USD từ giao thức DeFi KyberSwap đã đưa ra danh sách các yêu cầu, bao gồm toàn quyền kiểm soát công ty Kyber và tất cả tài sản của công ty. Hacker đã chỉ định thời hạn để nhóm Kyber thực hiện các yêu cầu.

Một công ty luật ở Úc đã mô tả hướng dẫn về thuế DeFi do cơ quan quản lý tài chính của nước này đưa ra là “giấy vệ sinh”. Cadena Legal nói với Cointelegraph rằng hướng dẫn này sẽ chỉ khiến người Úc bối rối và có thể làm giảm mức độ sẵn sàng tuân thủ các quy tắc của họ.

Hệ sinh thái DeFi tiếp tục đà tăng trưởng của thị trường từ tuần trước, với hầu hết các token đều cho thấy mức tăng ổn định trên biểu đồ hàng tuần.

Hacker KyberSwap yêu cầu kiểm soát hoàn toàn công ty Kyber

Hacker KyberSwap cuối cùng đã tiết lộ các điều kiện cần phải đáp ứng để họ có thể trả lại một số tiền lấy được từ vụ hack 46 triệu USD. Trong một tin nhắn trên chuỗi, hacker cho biết họ muốn có toàn quyền kiểm soát công ty Kyber và tài sản của công ty, cả trên chuỗi và ngoài chuỗi.

Mặc dù yêu cầu của hacker có thể vô lý nhưng họ cũng cho biết họ sẽ làm gì nếu được đáp ứng. Theo thông điệp, họ sẽ tăng gấp đôi lương của nhân viên Kyber và mua đứt các giám đốc điều hành của công ty trước khi đuổi họ ra khỏi công ty. Hacker cũng cho nhóm Kyber thời hạn đến ngày 10 tháng 12 để thực hiện các yêu cầu.

Tiếp tục đọc

Công ty luật cho biết hướng dẫn thuế tiền điện tử mới khó hiểu của Úc là “giấy vệ sinh”

Công ty luật Cadena Legal của Úc đã xuất bản một bài đăng trên blog nhấn mạnh rằng các quy tắc DeFi không rõ ràng do Văn phòng Thuế Úc đưa ra là “không ràng buộc”. Công ty luật mô tả hướng dẫn này giống như “giấy vệ sinh” và cho rằng nó khiến mọi người thêm bối rối.

Ngoài ra, người sáng lập công ty luật, Harrison Dell, đã nói với Cointelegraph trong một tuyên bố rằng loại hướng dẫn này có thể làm giảm “sự sẵn sàng tuân thủ” từ các thành viên cộng đồng tiền điện tử ở Úc.

Tiếp tục đọc

Giám đốc điều hành neobank cho biết DeFi có thể giải quyết các vấn đề ngoại hối của Châu Phi

Giám đốc điều hành của một dự án neobank nói với Cointelegraph rằng DeFi có thể giải quyết các vấn đề thanh khoản trên thị trường ngoại hối của Châu Phi. Pascal Ntsama IV, Giám đốc điều hành của Canza Finance, cho biết công nghệ DeFi có thể giải quyết các vấn đề trên mặt trận này bằng cách cung cấp ngoại hối phi tập trung cho các loại tiền tệ của Châu Phi.

Cộng đồng DeFi Châu Phi dự kiến sẽ tăng trưởng với tốc độ hơn 20% và đạt hơn nửa triệu người dùng vào năm 2027. Các chuyên gia trong ngành đã tranh luận về việc sửa đổi các dự đoán khi mức độ thâm nhập sản phẩm blockchain tiếp tục đạt mức cao mới.

Tiếp tục đọc

Wormhole huy động được 225 triệu USD với mức định giá 2,5 tỷ USD

Giao thức chuỗi chéo Wormhole gần đây đã nhận được 225 triệu đô la tài trợ trong vòng đầu tư do Brevan Howard, Coinbase Ventures, Multicoin Capital và nhiều người khác dẫn đầu. Khoản đầu tư này đặt công ty ở mức định giá mới là 2,5 tỷ USD.

Công ty đã gây chú ý vào tháng 2 năm 2022 sau khi mất 321 triệu đô la trong một trong những vụ hack DeFi lớn nhất trong năm. Để giảm thiểu tổn thất, công ty đầu tư mạo hiểm Jump Crypto cam kết sẽ bổ sung số tiền bị mất trong vụ hack.

Tiếp tục đọc

Tổng quan về thị trường DeFi

Dữ liệu từ Cointelegraph Markets Pro và TradingView cho thấy 100 token hàng đầu của DeFi theo vốn hóa thị trường đã có một tuần tăng giá, với hầu hết các token giao dịch trong sắc xanh trên biểu đồ hàng tuần. Tổng giá trị bị khóa trong các giao thức DeFi vẫn ở mức trên 47,4 tỷ USD.

Cảm ơn bạn đã đọc bản tóm tắt của chúng tôi về những phát triển DeFi có ảnh hưởng nhất trong tuần này. Hãy tham gia cùng chúng tôi vào thứ Sáu tới để có thêm câu chuyện, thông tin chi tiết và kiến thức về không gian đang phát triển năng động này.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

DeFi

Tháng 11 tháng 'thiệt hại' nhất năm 2023 khi kẻ trộm ăn cắp 363 triệu đô la tiền điện tử

Để lại phản hồi

Theo công ty bảo mật blockchain CertiK, việc khai thác Poloniex, Hợp tác/Heco Bridge và cuộc tấn công cho vay nhanh KyberSwap là ba sự cố lớn nhất trong tháng 11.

Theo một công ty bảo mật blockchain, ngành công nghiệp tiền điện tử hiện đã chứng kiến tháng “thiệt hại” nhất đối với hành vi trộm cắp, lừa đảo và khai thác tiền điện tử, với việc bọn tội phạm tiền điện tử đã bỏ đi 363 triệu USD trong tháng 11.

Chỉ riêng khoảng 316,4 triệu USD đến từ việc khai thác, các khoản vay nhanh gây thiệt hại 45,5 triệu USD và 1,1 triệu USD bị mất do các vụ lừa đảo thoát khác nhau, CertiK cho biết trong một bài đăng ngày 30 tháng 11 X (trước đây là Twitter).

Vụ khai thác lớn nhất trong tháng 11 xảy ra trên PoloniexHTX/Heco Bridge , với khoản lỗ lần lượt là 131,4 triệu USD và 113,3 triệu USD.

Vụ khai thác lớn thứ ba xảy ra với một nạn nhân, người đã mất 27 triệu USD từ một cuộc tấn công lừa đảo.

Trong khi đó, cuộc tấn công KyberSwap trị giá 45 triệu USD gây ra gần như toàn bộ thiệt hại do các cuộc tấn công cho vay nhanh trong tháng.

Con số hàng tháng mới nhất đã vượt qua kỷ lục trước đó là 329 triệu USD, được thiết lập vào tháng 9, chủ yếu do cuộc tấn công Mixin Network trị giá 200 triệu USD.

Tính đến cuối tháng 11, khoảng 1,7 tỷ USD hiện đã bị mất do khai thác, lừa đảo và các cuộc tấn công cho vay chớp nhoáng vào năm 2023, chỉ chiếm 54% số tiền điện tử bị rút cạn trong cả năm 2022, khi 3,7 tỷ USD bị thất thoát do các sự cố tiền điện tử, trong khi năm 2021 chứng kiến khoản lỗ 1,7 tỷ USD, theo CertiK.

Trong những bình luận gần đây với Cointelegraph, Ronghui Gu, một trong những người sáng lập của CertiK, đã lập luận rằng việc kiểm toán hợp đồng thông minh tiêu chuẩn ngày nay là chưa đủ

Ông nhấn mạnh rằng những kẻ trộm tiếp tục tìm ra những cách mới và sáng tạo để khai thác các giao thức và nạn nhân, với các lỗ hổng hoán đổi SIM và đa chữ ký là một trong những cạm bẫy bảo mật gần đây nhất đang được lợi dụng.

Christian Seifert, một nhà nghiên cứu tại công ty bảo mật Forta Network, người cũng đã nói chuyện với Cointelegraph cho biết , việc khai thác tính chất này đang cản trở việc áp dụng:

“Hãy tưởng tượng bạn mất tất cả tiền tiết kiệm vì chi nhánh ngân hàng của bạn bị đột nhập chỉ sau một đêm. Bạn sẽ không giao dịch ngân hàng ở đó.”

Jerry Peng, nhà phân tích nghiên cứu tại công ty phân tích Web3 0xScope, cho biết trong một ghi chú gần đây với Cointelegraph rằng những sự cố này “làm hoảng sợ” những người trước đây sẵn sàng khám phá không gian Web3.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Công nghệ

Hacker KyberSwap yêu cầu kiểm soát hoàn toàn công ty Kyber

Để lại phản hồi

Hacker yêu cầu giao nộp tất cả tài sản của công ty Kyber, cả trên chuỗi và ngoài chuỗi, bao gồm cổ phiếu, vốn chủ sở hữu và mã thông báo.

Cập nhật ngày 30 tháng 11 1:10 chiều UTC: Bài viết này đã được cập nhật để bổ sung thông tin chi tiết về yêu cầu của tin tặc.

Hacker đằng sau vụ khai thác KyberSwap trị giá 46 triệu USD cuối cùng đã đưa ra các điều kiện để trả lại số tiền bị đánh cắp, trong đó bao gồm “quyền kiểm soát điều hành hoàn toàn” đối với công ty Kyber.

Vào ngày 30 tháng 11, hacker KyberSwap đã gửi một tin nhắn trực tuyến tới tất cả các bên liên quan và quan tâm. Tin tặc đưa ra các yêu cầu, bao gồm quyền kiểm soát công ty, toàn quyền tạm thời và quyền sở hữu cơ chế quản trị, KyberDAO, tất cả các tài liệu liên quan đến công ty và tất cả tài sản của công ty Kyber.

Trích đoạn tin nhắn của hacker gửi tới nhóm KyberSwap. Nguồn: Etherscan

Đổi lại, hacker hứa sẽ mua lại các giám đốc điều hành của công ty với mức định giá hợp lý và “chúc những điều tốt đẹp” trong “những nỗ lực trong tương lai” của họ. Hacker cũng hứa sẽ tăng gấp đôi lương cho nhân viên theo chế độ mới. Họ viết rằng trong khi một số có thể không muốn ở lại vẫn được nghỉ việc 12 tháng với đầy đủ phúc lợi và hỗ trợ tìm việc làm mới.

Ngoài ra, hacker còn nói rằng chủ sở hữu token và nhà đầu tư cũng sẽ được hưởng lợi từ quá trình chuyển đổi khi token của họ “không còn vô giá trị nữa”. Họ viết:

“Thế này chưa đủ ngọt sao? Tôi vẫn sẽ đi xa hơn nữa. Dưới sự quản lý của tôi, Kyber sẽ trải qua một cuộc lột xác hoàn toàn. Nó sẽ không còn là DEX phổ biến thứ 7 nữa mà thay vào đó là một dự án mật mã hoàn toàn mới.”

Đối với các nhà cung cấp thanh khoản, hacker hứa rằng họ sẽ được tặng quà giảm giá cho hoạt động tạo thị trường gần đây của họ. Khoản giảm giá sẽ là 50% số tiền thua lỗ mà họ phải gánh chịu. “Tôi biết số tiền này có thể ít hơn những gì bạn mong muốn. Tuy nhiên, nó cũng nhiều hơn những gì bạn xứng đáng được nhận”, hacker viết.

Hacker giải thích rằng đây là ưu đãi tốt nhất và duy nhất của họ. Theo kẻ khai thác, nhóm Kyber phải đáp ứng các yêu cầu trước ngày 10 tháng 12. Nếu không, “hiệp ước sẽ không thành công”. Hacker này cũng đe dọa rằng hiệp ước cũng sẽ vô hiệu nếu bất kỳ đại lý nào liên hệ với họ về các giao dịch mà họ thực hiện trên Kyber.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

DeFi

Nền tảng DeFi Aerodrome và Velodrome gặp phải các vụ hack front-end

Để lại phản hồi

Nền tảng DeFi Velodrome và Aerodrome đã lên mạng xã hội để cảnh báo người dùng rằng giao diện người dùng của cả hai nền tảng đang bị tấn công từ các tác nhân độc hại.

Các nền tảng tài chính phi tập trung (DeFi) Aerodrome và Velodrome đã báo cáo các thỏa hiệp đối với giao diện người dùng của họ vào ngày 28 tháng 11.

Hai nền tảng đã đăng thông báo trên X (trước đây là Twitter) cho biết giao diện người dùng của họ đã bị xâm phạm và yêu cầu người dùng không tương tác với nền tảng trong khi các cuộc điều tra đang được tiến hành.

Theo một người dùng X, số tiền lên tới khoảng 40.000 USD đang được di chuyển và truy ngược trở lại hai địa chỉ ví khác nhau.

DefiLlama báo cáo rằng Aerodrome có tổng giá trị bị khóa là 63,59 triệu USD và Velodrome có 139,73 triệu USD.

Aerodrome là sản phẩm của nhà phát triển Velodrome Finance, một nhà tạo lập thị trường tự động (AMM). Nó ra mắt vào cuối tháng 8 và được xây dựng trên giao thức Base và nhanh chóng trở thành một trong những dự án hàng đầu của mạng về TVL.

Trong số các khả năng khác, nền tảng này hoạt động bằng cách cho phép người dùng gửi tiền thanh khoản để đổi lấy việc kiếm được token gốc AERO. Đầu năm nay, nó đã gây chú ý sau khi thu về 150 triệu đô la chỉ trong một ngày, cho phép Base vượt lên trên mạng Solana với TVL gần 400 triệu đô la.

Trong ngành công nghiệp tiền điện tử, không gian DeFi đã được chứng minh là đặc biệt dễ bị tổn thất lớn dưới bàn tay của tin tặc.

Theo dữ liệu của Chainalysis, vào năm 2022, không gian DeFi đã hứng chịu hơn 80% các vụ hack trong toàn bộ ngành công nghiệp tiền điện tử với tổng thiệt hại lên tới hơn 3 tỷ USD. Dữ liệu từ Footprint Analytics tiết lộ rằng trong quý 1 năm 2023, DeFi chiếm 62% số lỗ.

Nguồn: Phân tích dấu chân

DeFi Llama gần đây đã báo cáo rằng cho đến nay vào năm 2023, các giao thức DeFi và các công ty tiền điện tử không liên quan đến DeFi đã mất 735 triệu đô la sau 69 vụ hack, trong đó giao thức DeFi Euler Finance đã phải hứng chịu vụ hack nghiêm trọng nhất vào tháng 3 với khoản lỗ 197 triệu đô la.

Báo cáo bổ sung của Arijit Sarkar

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Công nghệ

Chuyên gia bảo mật cho biết kiểm tra bảo mật 'không đủ' vì tổn thất lên tới 1,5 tỷ USD vào năm 2023

Để lại phản hồi

Người đồng sáng lập CertiK, Ronghui Gu nói với Cointelegraph rằng “không thể chấp nhận được” khi ngành công nghiệp tiền điện tử phải đối mặt với những thất bại liên tục trong hoạt động hoán đổi SIM và đa chữ ký, vì các sự cố trước đó đã nêu bật vấn đề.

Khi các công ty tiếp tục rơi vào tình trạng bị hack và khai thác, các chuyên gia làm việc trong lĩnh vực an ninh mạng đã nghiên cứu những gì có thể cải thiện về mặt bảo mật tiền điện tử cho các công ty tài sản kỹ thuật số và ngành công nghiệp tiền điện tử nói chung.

Trước tháng 9, gần 1 tỷ đô la đã bị mất do các vụ hack, khai thác và lừa đảo tiền điện tử vào năm 2023. Tuy nhiên, nhiều sự cố tiếp tục làm rung chuyển thế giới tiền điện tử trong quý 4 năm 2023, chẳng hạn như vụ khai thác Poloniex, với hơn100 triệu đô la tài sản kỹ thuật số tổn thất và vụ hack cầu HECO Chain, với thiệt hại hơn 80 triệu USD .

Với số lượng sự cố bảo mật xảy ra trong không gian và giá trị bị mất do mỗi vụ hack hoặc khai thác, không thể phủ nhận rằng có những lỗ hổng cần được lấp đầy về mặt bảo mật tài sản kỹ thuật số trong không gian tiền điện tử. Vì điều này, Cointelegraph đã liên hệ với các chuyên gia an ninh mạng để xem họ nghĩ có thể làm gì để ngăn chặn các sự cố tiếp theo và thắt chặt an ninh trong tiền điện tử.

Những sự cố tiếp diễn là “không thể chấp nhận”

Ronghui Gu, người đồng sáng lập công ty bảo mật blockchain CertiK, nói với Cointelegraph trong một tuyên bố rằng việc tiếp tục xảy ra các sự cố do lỗi hoán đổi SIM và đa chữ ký gây ra sau các sự cố đã cho thấy vấn đề bảo mật này. Theo Gu, các công ty nên áp dụng xác thực đa yếu tố gốc tiền điện tử và tiến hành kiểm tra bảo mật thường xuyên. Anh ấy nói:

“Chúng tôi đang xây dựng công nghệ có tính ứng dụng cao, độ phức tạp cao và điều quan trọng là phải đặt vấn đề bảo mật lên hàng đầu, ngay cả khi thường có những động lực lớn để xây dựng nhanh chóng và phá vỡ mọi thứ.”

Christian Seifert, nhà nghiên cứu thường trú tại Forta Network, cũng đồng ý rằng bảo mật cần phải được ưu tiên hàng đầu. Seifert, người trước đây từng giữ chức vụ lãnh đạo bảo mật tại Microsoft, nói rằng người dùng cần yêu cầu bảo mật và nếu điều này không xảy ra, các cơ quan quản lý cần phải vào cuộc. Chuyên gia bảo mật cho biết bằng cách này, các dự án tiền điện tử sẽ áp dụng bảo mật toàn diện hơn chiến lược.

Hơn nữa, Seifert cũng lập luận rằng mặc dù việc kiểm tra bảo mật có hiệu quả nhưng những điều này “là chưa đủ”. Ông nói thêm: “Người ta cần một chiến lược bảo mật toàn diện bắt đầu bằng thiết kế an toàn và chuyển sang các giải pháp giám sát và ngăn chặn mối đe dọa”.

Jerry Peng, nhà phân tích nghiên cứu tại công ty phân tích Web3 0xScope, nói với Cointelegraph trong một tuyên bố rằng cần phải hiểu rõ hơn về vị trí và cách thức các mối đe dọa bảo mật có thể xuất hiện. Bằng cách này, các công ty và cá nhân có thể phát hiện các mẫu và kết nối được hiển thị theo các địa chỉ liên quan đến các cuộc tấn công trước đó. Peng giải thích: “Đây là nơi các dịch vụ phân tích dữ liệu tiền điện tử có thể giúp các nhà điều tra ngăn chặn vụ hack tiềm năng tiếp theo”.

Hacks cản trở việc áp dụng tiền điện tử như thế nào

Gu nói với Cointelegraph rằng dựa trên dữ liệu do CertiK tổng hợp, chỉ riêng các vụ hack vào năm 2023 đã khiến không gian này thiệt hại 1,5 tỷ USD tính đến ngày 28 tháng 11. Giám đốc điều hành tin rằng những sự cố tiếp tục gây tai họa cho không gian này cũng có ảnh hưởng lớn đến việc áp dụng tiền điện tử. Gu nói thêm: “Những vụ hack và khai thác này tác động đáng kể đến việc áp dụng tiền điện tử bằng cách làm suy yếu niềm tin của công chúng vào tính bảo mật và tính ổn định của tài sản kỹ thuật số”.

Seifert cũng bày tỏ tình cảm tương tự. Nhà nghiên cứu bảo mật lưu ý rằng mặc dù những người áp dụng công nghệ này sớm chấp nhận rằng có những rủi ro, nhưng điều này sẽ không còn được chấp nhận đối với cơ sở người dùng rộng hơn mà không gian tiền điện tử đang cố gắng thu hút. Seifert giải thích:

“Hãy tưởng tượng bạn mất tất cả tiền tiết kiệm vì chi nhánh ngân hàng của bạn bị đột nhập chỉ sau một đêm. Bạn sẽ không giao dịch ngân hàng ở đó.”

Peng cũng tin rằng các vụ hack sẽ cản trở sự tăng trưởng tiềm năng của thị trường. Theo Peng, những điều này có thể khiến những người trước đây muốn khám phá không gian Web3 sợ hãi.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Altcoin

Hacker KyberSwap DEX gửi một tin nhắn trên chuỗi: Hãy tử tế, nếu không

Để lại phản hồi

Kẻ khai thác đằng sau vụ hack KyberSwap trị giá 46 triệu USD cho biết họ có kế hoạch phác thảo một hiệp ước về khả năng hoàn trả tiền vào ngày 30 tháng 11, nhưng sẽ không thực hiện nếu các mối đe dọa và thù địch từ các nhà điều hành vẫn tiếp tục.

Kẻ khai thác đằng sau vụ trộm tiền điện tử trị giá 46 triệu USD chống lại KyberSwap đã yêu cầu các nhà điều hành và chủ sở hữu token giảm bớt sự thù địch, đe dọa sẽ thúc đẩy các cuộc đàm phán cho đến khi mọi người “văn minh hơn”.

Trong một tin nhắn trực tuyến gửi tới các giám đốc điều hành, chủ sở hữu token và nhà cung cấp thanh khoản của KyberSwap vào ngày 28 tháng 11, kẻ khai thác cho biết họ có kế hoạch đưa ra tuyên bố xung quanh một hiệp ước tiềm năng với KyberSwap vào ngày 30 tháng 11 – nhưng sẽ không thực hiện nếu tình trạng thù địch tiếp tục.

“Tôi đã nói là tôi sẵn sàng đàm phán. Đổi lại, tôi đã nhận được (hầu hết) những lời đe dọa, thời hạn và sự thiếu thân thiện nói chung từ đội ngũ điều hành,” họ nói.

Họ cảnh báo: “Với giả định rằng tôi bị đối xử với thái độ thù địch hơn nữa, chúng ta có thể dời lại vào một ngày sau đó, khi tất cả chúng ta đều cảm thấy văn minh hơn”.

Đội ngũ đằng sau KyberSwap – một sàn giao dịch phi tập trung xuyên chuỗi – ban đầu đề xuất một thỏa thuận tiền thưởng trong đó hacker trả lại 90% số tiền trong tất cả các lần khai thác, cho phép hacker giữ 10% còn lại.

Nhưng họ tiếp tục đe dọa sẽ theo đuổi hành động pháp lý sau khi hacker không tuân thủ ngay lập tức.

“Chúng tôi đã liên hệ với cơ quan thực thi pháp luật và an ninh mạng về trường hợp này. Chúng tôi có dấu chân của bạn để theo dõi bạn,” nhóm KyberSwap cho biết trong một thông báo trên chuỗi ngày 25 tháng 11, đồng thời bổ sung thêm:

“Vì vậy, sẽ tốt hơn cho bạn nếu bạn chấp nhận lời đề nghị đầu tiên từ tin nhắn trước đó của chúng tôi trước khi cơ quan thực thi pháp luật và an ninh mạng theo dõi bạn.”

KyberSwap cũng nói với hacker rằng họ sẽ khởi xướng một chương trình tiền thưởng công khai để khuyến khích bất kỳ ai cung cấp thông tin hỗ trợ thực thi pháp luật, điều này có thể dẫn đến việc họ bị bắt giữ và thu hồi tiền của người dùng.

Đội ngũ đằng sau KyberSwap đã tìm cách thu hồi được 4,67 triệu đô la từ vụ khai thác trị giá 46 triệu đô la vào ngày 26 tháng 11 từ các nhà khai thác các bot chạy trước, đã tìm cách trích xuất khoảng 5,7 triệu đô la tiền điện tử từ các nhóm KyberSwap trên mạng Polygon và Avalanche.

Nhóm vẫn chưa phản hồi tin nhắn mới nhất của kẻ khai thác trên X (trước đây là Twitter) và có lẽ đang chờ xem hiệp ước mới do hacker đề xuất.

Một ngày sau vụ hack ngày 22 tháng 11, chuyên gia tài chính phi tập trung Doug Colkitt cho biết kẻ tấn công đã sử dụng “trục trặc tiền vô hạn” để thực hiện “việc khai thác hợp đồng thông minh phức tạp và được thiết kế cẩn thận” trên một số mạng triển khai nhóm KyberSwap.

Các quỹ được khai thác từ Avalanche, Polygon và Ethereum cũng như các mạng lớp 2 Arbitrum, Optimism và Base.

KyberSwap chạy trên Kyber Network, một trung tâm thanh khoản dựa trên blockchain tổng hợp thanh khoản trên các blockchain khác nhau và cho phép trao đổi token mà không cần qua trung gian.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Công nghệ

Inferno Drainer cho biết nó sẽ ngừng hoạt động sau khi giúp đánh cắp 70 triệu đô la tiền điện tử

Để lại phản hồi

Kẻ rút ví lừa đảo dưới dạng dịch vụ đã viết: “Chúng tôi hy vọng bạn có thể nhớ đến chúng tôi như là công cụ rút tiền tốt nhất từng tồn tại”.

Inferno Drainer, một trong những công cụ cho thuê rút tiền điện tử phổ biến nhất cho biết họ sẽ ngừng hoạt động sau khi giúp những kẻ lừa đảo lừa đảo đánh cắp số tiền điện tử trị giá gần 70 triệu đô la trong năm nay.

Trong một bài đăng trên Telegram ngày 26 tháng 11, nhóm đứng sau Inferno Drainer cho biết “đã đến lúc chúng tôi phải tiếp tục”. Tuy nhiên, họ cho biết các tệp và cơ sở hạ tầng cần thiết để chạy công cụ rút ví sẽ không bị phá hủy mà thay vào đó sẽ vẫn hoạt động để người dùng có thể thực hiện “chuyển đổi suôn sẻ” sang các dịch vụ khác.

“Đó là một chặng đường dài với tất cả các bạn và chúng tôi muốn gửi lời cảm ơn chân thành đến các bạn [sic]. Thật không may, không có gì tồn tại mãi mãi.”

“Xin chân thành cảm ơn [sic] tới tất cả những người đã làm việc với chúng tôi,” nó nói thêm. “Chúng tôi hy vọng bạn có thể nhớ đến chúng tôi như công cụ thoát nước tốt nhất từng tồn tại và chúng tôi đã thành công trong việc giúp bạn kiếm tiền.”

Thông điệp cuối cùng của Inferno Drainer tới người dùng. Nguồn: Telegram

Inferno Drainer đã trở nên nổi tiếng vào đầu năm nay và được sử dụng nhiều hơn sau khi công cụ Monkey Drainer phổ biến ngừng hoạt động. Giống như các công ty cùng ngành, Inferno cung cấp phần mềm rút tiền điện tử của mình và giảm 20% số tiền mà người dùng đã đánh cắp.

Theo phân tích từ nền tảng chống lừa đảo Web3 Scam Sniffer, kể từ tháng 2, Inferno Drainer đã đánh cắp gần 70 triệu USD từ hơn 100.000 nạn nhân. Tuy nhiên, nhóm Inferno Drainer cho rằng số tiền bị đánh cắp là hơn 80 triệu USD.

Nhóm Inferno Drainer đã xóa tài khoản Telegram liên kết “mr_inferno_drainer” được sử dụng để sắp xếp dịch vụ của mình và cảnh báo người dùng không nên tin tưởng những công cụ thoát nước khác sử dụng tên của họ trong tương lai.

Công ty bảo mật chuỗi khối CertiK nói với Cointelegraph rằng Inferno Drainer là “một trong những công cụ lừa đảo gây thiệt hại lớn nhất cho cộng đồng mà chúng tôi từng thấy”.

Nó nói thêm rằng vẫn còn “rất nhiều nhà cung cấp” đang hoạt động, bao gồm cả đối thủ Pink Drainer và Angel Drainer, sau này đã phát hành bản cập nhật vào ngày 25 tháng 11 để giúp người dùng rút ví trên nhiều blockchain hơn.

Monkey Drainer, một công cụ hút tiền điện tử nổi tiếng khác đã đánh cắp hàng triệu đô la, đã đóng cửa vào tháng 3 , nói rằng “đã đến lúc chuyển sang thứ gì đó tốt hơn”.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

DeFi

Indexed Finance ngăn chặn những kẻ tấn công, chuẩn bị bồi thường cho các nạn nhân bị hack vào năm 2021

Để lại phản hồi

Trong một chủ đề X, Laurence Day, một cựu cộng tác viên cốt lõi, đã trình bày chi tiết những nỗ lực của cộng đồng được lập chỉ mục trong việc vượt qua hai nỗ lực chiếm đoạt kho bạc còn lại của DAO được lập chỉ mục.

Indexed Finance, một dự án dựa trên Ethereum đã bị hack 16 triệu đô la vào năm 2021, đã ngăn chặn thành công hai nỗ lực chiếm đoạt. Quyền kiểm soát tổ chức tự trị phi tập trung (DAO) của dự án sẽ được trả lại cho những người sáng lập, những người nhằm mục đích phân bổ kho bạc còn lại cho các nạn nhân của vụ hack năm 2021.

Trong một chủ đề trên X (trước đây là Twitter), Laurence Day, một cựu cộng tác viên cốt lõi, đã trình bày chi tiết những nỗ lực của cộng đồng được lập chỉ mục trong việc vượt qua hai nỗ lực chiếm đoạt kho bạc còn lại của DAO được lập chỉ mục. Cả hai kẻ tấn công đều đã mua được số lượng đáng kể mã thông báo NDX của giao thức và nhằm mục đích kiểm soát số tài sản kỹ thuật số trị giá khoảng 120.000 USD của DAO thông qua các đề xuất độc hại.

Đề xuất ban đầu, thiếu tiêu đề hoặc mô tả nhằm tránh bị phát hiện, đã bị cản trở khi Day và các thành viên cộng đồng huy động DAO được lập chỉ mục để bỏ phiếu chống lại nó. Đề xuất của kẻ tấn công gần như được chấp thuận trong vòng một giờ, nhưng số phiếu “Không” đã được bỏ đủ để ngăn cản việc thông qua.

Tuy nhiên, vì nhóm Indexed phải công khai phối hợp bỏ phiếu chống lại đề xuất này, Day đã lường trước khả năng xảy ra một cuộc tấn công bắt chước. Ngoài ra, như Day đã trình bày chi tiết trong chủ đề của mình, một lỗ hổng khác có thể gây nguy hiểm cho các khoản tiền ngoài kho bạc của DAO nếu nó rơi vào tình trạng kiểm soát không thân thiện.

Để giảm thiểu mối đe dọa của một cuộc tấn công tiếp theo, Indexed DAO đã phê duyệt đề xuất “thuốc độc”, cấp cho nó quyền đốt số quỹ kho bạc còn lại nếu cần thiết để ngăn chặn những kẻ tấn công tiềm năng.

Sau cuộc tấn công thứ hai được dự đoán trước, kẻ tấn công ban đầu tìm cách thương lượng để lấy 50% số kho bạc còn lại, như được tiết lộ trong các tin nhắn trên chuỗi. Người sáng lập Indexed Dillon Kellar đã phản ứng bằng cách đề xuất Dai ( DAI ) trị giá 10.000 USD và cảnh báo sẽ đốt toàn bộ kho bạc nếu kẻ tấn công từ chối.

Chỉ còn bốn giờ nữa là đến tối hậu thư của Kellar và sau nỗ lực thương lượng ngược lại với số tiền 17.000 USD, kẻ tấn công đã chấp nhận lời đề nghị ban đầu và rút lại đề xuất ác ý của họ. Quyền lực đối với DAO giờ đây sẽ quay trở lại một multisig do Day, Kellar và người đồng sáng lập có bút danh PR0 kiểm soát, với kế hoạch bồi thường cho các nạn nhân của vụ hack năm 2021 bằng cách sử dụng số tiền kho bạc còn lại.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

DeFi

Mạng Blast đạt 400 triệu USD TVL, bác bỏ tuyên bố rằng nó quá tập trung

Để lại phản hồi

Nhóm Blast đã phản hồi lại những tuyên bố rằng chức năng nâng cấp đa chữ ký khiến nó trở nên quá tập trung.

Theo dữ liệu từ nền tảng phân tích blockchain DeBank, giao thức Web3 Mạng Blast đã kiếm được hơn 400 triệu USD tổng giá trị bị khóa (TVL) trong 4 ngày kể từ khi ra mắt. Nhưng trong một chủ đề truyền thông xã hội ngày 23 tháng 11, kỹ sư quan hệ nhà phát triển Polygon Labs, Jarrod Watts đã tuyên bố rằng mạng mới gây ra rủi ro bảo mật đáng kể do tính tập trung hóa.

Nhóm Blast đã phản hồi những lời chỉ trích từ tài khoản X (trước đây là Twitter) của chính họ, nhưng không đề cập trực tiếp đến chủ đề của Watts. Trong chủ đề riêng của mình, Blast tuyên bố rằng mạng này được phân cấp như các lớp 2 khác, bao gồm Optimism, Arbitrum và Polygon.

Mạng Blast tuyên bố là “Ethereum L2 duy nhất có lợi nhuận gốc cho ETH và stablecoin,” theo tài liệu tiếp thị từ trang web chính thức của nó. Trang web cũng tuyên bố rằng Blast cho phép số dư của người dùng được “tự động gộp” và các stablecoin được gửi tới nó sẽ được chuyển đổi thành “USDB”, một loại stablecoin tự động gộp thông qua giao thức T-Bill của MakerDAO. Nhóm Blast chưa phát hành các tài liệu kỹ thuật giải thích cách thức hoạt động của giao thức nhưng cho biết chúng sẽ được xuất bản khi đợt airdrop diễn ra vào tháng 1.

Vụ nổ được phát hành vào ngày 20 tháng 11. Trong bốn ngày qua, TVL của giao thức đã tăng từ 0 lên hơn 400 triệu USD.

Bài đăng ban đầu của Watts cho biết Blast có thể kém an toàn hoặc phi tập trung hơn những gì người dùng nhận ra, đồng thời tuyên bố rằng Blast “chỉ là một đa chữ kí 3/5”. Ông cáo buộc rằng nếu kẻ tấn công giành quyền kiểm soát ba trong số năm khóa của thành viên nhóm, họ có thể đánh cắp tất cả tiền điện tử được gửi vào hợp đồng của mình.

Theo Watts, các hợp đồng Blast có thể được nâng cấp thông qua tài khoản ví đa chữ ký Safe (trước đây là Gnosis Safe). Tài khoản yêu cầu ba trong số năm chữ ký để ủy quyền cho bất kỳ giao dịch nào. Nhưng nếu khóa riêng tạo ra những chữ ký này bị xâm phạm, hợp đồng có thể được nâng cấp để tạo ra bất kỳ mã nào mà kẻ tấn công mong muốn. Điều này có nghĩa là kẻ tấn công thực hiện được điều này có thể chuyển toàn bộ TVL trị giá 400 triệu USD vào tài khoản của chính chúng.

Ngoài ra, Watts còn tuyên bố rằng Blast “không phải là lớp 2”, mặc dù nhóm phát triển của nó đã tuyên bố như vậy. Thay vào đó, Blast chỉ đơn giản là “[a]chấp tiền từ người dùng” và “[s]đưa tiền của người dùng vào các giao thức như LIDO,” mà không có cầu nối hoặc mạng thử nghiệm thực tế nào được sử dụng để thực hiện các giao dịch này. Hơn nữa, nó không có chức năng rút tiền. Để có thể rút tiền trong tương lai, người dùng phải tin tưởng rằng các nhà phát triển sẽ triển khai chức năng rút tiền vào một thời điểm nào đó trong tương lai, Watts tuyên bố.

Ngoài ra, Watts tuyên bố rằng Blast chứa chức năng “enableTransition” có thể được sử dụng để đặt bất kỳ hợp đồng thông minh nào làm “mainnetBridge”, có nghĩa là kẻ tấn công có thể đánh cắp toàn bộ tiền của người dùng mà không cần nâng cấp hợp đồng.

Bất chấp những vectơ tấn công này, Watts khẳng định rằng anh không tin Blast sẽ mất tiền. “Cá nhân tôi, nếu phải đoán, tôi không nghĩ tiền sẽ bị đánh cắp”, ông nói, nhưng cũng cảnh báo rằng “Cá nhân tôi nghĩ việc gửi tiền Blast trong tình trạng hiện tại là rất rủi ro”.

Trong một chủ đề từ tài khoản X của chính mình, nhóm Blast đã tuyên bố rằng giao thức của họ cũng an toàn như các lớp 2 khác. Nhóm khẳng định: “Bảo mật tồn tại trên một phạm vi rộng (không có gì an toàn 100%)” và nó có nhiều sắc thái khác nhau. Có vẻ như hợp đồng không thể nâng cấp sẽ an toàn hơn hợp đồng có thể nâng cấp, nhưng quan điểm này có thể bị nhầm lẫn. Nếu một hợp đồng không thể nâng cấp được nhưng có lỗi, thì “bạn đã chết trong nước”, chủ đề này nêu rõ.

Liên quan: Cuộc tranh luận về Uniswap DAO cho thấy các nhà phát triển vẫn đang gặp khó khăn trong việc đảm bảo các cầu nối chuỗi chéo

Nhóm Blast tuyên bố giao thức sử dụng các hợp đồng có thể nâng cấp vì lý do này. Tuy nhiên, chìa khóa của tài khoản An toàn là “trong kho lạnh, được quản lý bởi một bên độc lập và tách biệt về mặt địa lý”. Theo quan điểm của nhóm, đây là một phương tiện “có hiệu quả cao” để bảo vệ tiền của người dùng, đó là “tại sao các L2 như Arbitrum, Optimism, Polygon” cũng sử dụng phương pháp này.

Blast không phải là giao thức duy nhất bị chỉ trích vì có hợp đồng có thể nâng cấp. Vào tháng 1, người sáng lập Summa, James Prestwich, đã lập luận rằng cầu Stargate cũng gặp vấn đề tương tự . Vào tháng 12 năm 2022, giao thức Ankr đã bị khai thác khi hợp đồng thông minh của nó được nâng cấp để cho phép tạo ra 20 nghìn tỷ BNB (aBNBc) Phần thưởng Ankr được tạo ra một cách bất ngờ . Trong trường hợp của Ankr, việc nâng cấp được thực hiện bởi một nhân viên cũ đã đột nhập vào cơ sở dữ liệu của nhà phát triển để lấy khóa triển khai.

Theo Cointelegraph

Exit mobile version