Sự cố bảo mật

Theo GoPlus Security, các tin tặc đang ngày càng sử dụng trí tuệ nhân tạo để xác định và khai thác các lỗ hổng trong các hợp đồng thông minh cũ được triển khai từ nhiều năm trước. Các sự cố gần đây bao gồm một vụ tấn công ngày 9/6 vào hợp đồng Token of Power (TOP) đã 7 năm tuổi trên Ethereum gây thiệt hại khoảng 1,5 triệu USD, một vụ khai thác ngày 25/5 vào hợp đồng WUSD.fi đã 3 năm tuổi gây thiệt hại khoảng 200 nghìn USD, và hai vụ tấn công liên tiếp vào tháng 6 (ngày 14/6 và 18/6) nhắm vào các

Polymarket xác nhận hôm thứ Năm rằng một nhà cung cấp bên thứ ba bị xâm phạm đã cho phép kẻ tấn công chèn mã độc vào giao diện người dùng của nền tảng dự đoán, rút khoảng 3 triệu USD tiền của người dùng. Cuộc tấn công không nhắm vào hợp đồng thông minh của Polymarket mà thay vào đó phục vụ một tập lệnh độc hại thông qua nhà cung cấp bị xâm phạm tới trình duyệt của một số người dùng, truy cập vào ví của họ và rút pUSD, stablecoin của nền tảng được hỗ trợ bởi USDC. Các cuộc tấn công chuỗi cung ứng

Theo Polymarket và các nhà điều tra on-chain tại Bubblemaps, một nhà cung cấp bên thứ ba bị xâm phạm đã cho phép kẻ tấn công tiêm mã độc vào giao diện người dùng của Polymarket vào Thứ Năm (ngày 25 tháng 6), rút khoảng 3 triệu USD tiền của người dùng. Những kẻ tấn công đã truy cập ví của người dùng thông qua một tập lệnh độc hại được phục vụ bởi nhà cung cấp bị vi phạm và rút pUSD, stablecoin được hỗ trợ bởi USDC của nền tảng. Số tiền bị đánh cắp sau đó được cầu nối từ Polygon sang Ethereum và c

MemeCore phát hành token M đã giảm hơn 73% vào ngày 25 tháng 6 mà không có bất kỳ tin tức tiêu cực chính thức nào. Thám tử on-chain ZachXBT từng cáo buộc vào tháng 4 rằng khối lượng giao dịch và độ phổ biến của token bị làm giả, tính xác thực của khối lượng giao dịch bị nghi ngờ, đồng thời cáo buộc nội bộ thao túng giá token. Các cáo buộc trên của ZachXBT chưa được bên thứ ba độc lập xác minh, và MemeCore chưa đưa ra bất kỳ tuyên bố nào về sự sụp đổ này. \$M Dữ liệu sụp đổ token và cấu trúc khối

《Business Insider》vào ngày 22 tháng 6 đã tiết lộ độc quyền rằng Tools for Humanity (TFH), nhà điều hành Worldcoin, liên quan đến ba vụ bê bối: hối lộ tại Thái Lan, thao túng WLD và lạm dụng tài chính, có thể vi phạm ranh giới đỏ về thao túng thị trường của SEC. WLD vào ngày 26 tháng 6 được báo giá khoảng 0,61 USD, giảm khoảng 95% so với mức đỉnh lịch sử năm 2024. Nguồn gốc cuộc điều tra bí mật song tuyến: Nghi vấn FCPA tại Thái Lan và liên quan đến vụ lừa đảo "Pig Butchering" của Mauerberger The

Theo Solana Foundation vào ngày 26 tháng 6, các validator được lưu trữ trên nhà cung cấp dịch vụ đám mây Cherry Servers nên kiểm tra nhật ký Sensu của họ sau sự cố bảo mật trong hệ thống giám sát cũ của nhà cung cấp. Các validator bị ảnh hưởng được khuyến nghị xoay vòng khóa nhận dạng của họ, xem xét thông tin xác thực bị lộ, và xây dựng lại cơ sở hạ tầng nếu không thể loại trừ khả năng bị xâm phạm.

Theo Decrypt, ngày 26 tháng 6, Polymarket đã bị tấn công ảnh hưởng đến khoảng 15 tài khoản người dùng và dẫn đến thiệt hại khoảng 3 triệu USD tài sản. Cơ sở hạ tầng bị xâm phạm của một bên thứ ba đã cho phép kẻ tấn công chèn mã độc vào giao diện người dùng của nền tảng, nhắm vào stablecoin pUSD. Số tiền bị đánh cắp sau đó đã được chuyển đổi thành ETH và tập hợp vào một địa chỉ ví duy nhất. Polymarket xác nhận vấn đề đã được giải quyết và cam kết hoàn trả đầy đủ cho người dùng bị ảnh hưởng, mặc d

Theo nhà nghiên cứu L2BEAT Sergey Shemyakov, Tornado Cash DAO đã xuất hiện một đề xuất đáng ngờ vào ngày 25 tháng 6 với một hợp đồng mục tiêu chưa được xác minh, một điều hiếm gặp trong lịch sử quản trị của giao thức. Người tạo đề xuất đã nhận được tài trợ qua Railgun bốn ngày trước đó. Nếu được thực thi, hợp đồng quản trị sẽ thực hiện một cuộc gọi delegatecall tới mục tiêu chưa được xác minh, có khả năng cho phép một cuộc tấn công trực tiếp vào DAO, nơi hiện đang nắm giữ khoảng 23 triệu USD tro

Cục Trung ương Chống Tội phạm Mạng Ba Lan (CBZC) vào ngày 25 tháng 6, với sự hỗ trợ của các đặc vụ Cục Điều tra Liên bang Mỹ (FBI) và Cục Điều tra An ninh Nội địa (HSI), đã bắt giữ bốn người bị tình nghi đánh cắp tiền từ tài khoản sàn giao dịch tiền mã hóa thông qua tấn công hoán đổi SIM và rửa tiền. Cả bốn người đều bị tạm giam trước xét xử, nhà điều tra blockchain ZachXBT đã liên kết một trong những nghi phạm với kỹ sư xã hội Wojtek Kulisz. Cách thức hoạt động của tấn công hoán đổi SIM: Quy tr

L2BEAT 研究员 Sergey Shemyakov 于 6 月 25 日在 X 发文，警告 Tornado Cash DAO 出现可疑治理提案：目标合约未经验证，提案者地址透过 Railgun 获得资金。安全联盟研究员分析，提案旨在使攻击者控制持有约 2,300 万美元 TORN 代币的治理地址。 可疑提案的技术特征：未验证目标合约、Railgun 资金来源 （来源：Sergey Shemyakov） Shemyakov 在帖文中列出三项具体警示： 第一，目标合约未在 Etherscan 验证，这在 Tornado Cash DAO 提案中「极不寻常」； 第二，若提案通过，治理合约将通过 delegatecall 调用目标合约（delegatecall 允许在调用者的上下文中执行任意代码，是高风险操作）； 第三，提案创建者地址在 4 天前通过 Railgun 获得资金，而 Railgun 是 Tornado Cash 的竞争性隐私协议。 提案表面声称旨在定义新的费用结构和「建立全新的动态通缩经济模式」，但安全研究员认为这只是掩护。 Caversaccio 的分析：伪造地址替换、2,

Bitcoin (BTC) biến động mạnh giảm sâu, ngày 26/6 tạm thời ở mức 59.590 USD. Thượng viện Mỹ nỗ lực thúc đẩy luật tiền mã hóa vào tháng 7, nhưng tình trạng hỗn loạn từ dự luật nhà ở có thể phá vỡ lịch trình lập pháp. Polymarket bị xâm nhập do nhà cung cấp bên thứ ba, dẫn đến khoảng 3 triệu USD tài sản người dùng bị đánh cắp. Sự kiện vĩ mô & Điểm nóng tiền mã hóa 1、Theo The Block, Thượng viện Mỹ đang đối mặt với lịch trình gấp rút, cần thúc đẩy luật cấu trúc thị trường tiền mã hóa Dự luật CLARITY v

Coinbase 旗下以太坊 L2 網路 Base 於 6 月 25 日遭遇服務中斷，起因是一個無效區塊進入定序流程，引發共識失敗，阻斷後續區塊的生成，鏈上交易全面停止。Base 團隊在問題首次報告後 50 分鐘找到根本原因，並於約兩小時後宣布生態系統廣泛恢復；Base 表示用戶資金安全，並將事後分析列為首要任務。 Base 網路受影響，約兩小時後生態系統廣泛恢復 （來源：Base） Base 網路狀態頁面於 UTC 16:03 顯示主網區塊生產「不正常」，Base 團隊隨即向外部公告，並在美國東部時間中午 12:20 左右於 X 平台發文：「Base 主網目前已暫停運行，團隊正在處理區塊生產問題，所有資金安全無虞。」 首次報告問題 50 分鐘後（UTC 16:52），Base 已找到網路中斷的根本原因——一個無效區塊進入了定序流程，阻止了後續區塊的生成。Base 在 Rollup 架構下以單一序列器運行，此類共識問題會導致整個網路停止產生新區塊，直至團隊採取行動。 約兩小時後，Base 宣布「生態系統已廣泛恢復」，並建議節點營運商重啟節點以促進同步。恢復後，Base 在 X 上表示：

Polymarket đã bị tấn công bảo mật vào thứ Năm sau khi tin tặc khai thác một nhà cung cấp bên thứ ba bị xâm phạm, nền tảng dự đoán thị trường thông báo. Cuộc tấn công cho phép tiêm mã độc vào frontend của Polymarket, dẫn đến việc đánh cắp khoảng 3 triệu USD tiền của khách hàng từ dưới 15 tài khoản người dùng, theo công ty điều tra blockchain Bubblemaps. Sự cố này là vụ vi phạm bảo mật thứ hai của Polymarket trong hai tháng, sau một vụ khai thác trước đó vào tháng trước khiến công ty thiệt hại kho

Theo Decrypt, Polymarket đã bị vi phạm bảo mật vào ngày 25 tháng 6 sau khi một bên thứ ba bị xâm phạm cho phép tin tặc tiêm mã độc vào trang web của nền tảng. Vụ khai thác dẫn đến khoảng 3 triệu USD tiền của khách hàng bị đánh cắp từ ít hơn 15 tài khoản người dùng. Những kẻ tấn công nhắm vào số dư pUSD trong các ví bị ảnh hưởng, chuyển đổi tài sản bị đánh cắp thành ETH. Polymarket cho biết lỗ hổng frontend đã được kiểm soát và loại bỏ, với những người dùng bị ảnh hưởng sẽ được hoàn trả đầy đủ. Đ

Ngày 25 tháng 6, mạng chính Base gặp sự cố đồng thuận khiến một khối không hợp lệ được xếp chuỗi, làm tạm dừng toàn bộ quá trình tạo khối sau block 47806542. Các hoạt động nạp tiền, rút tiền, tạo khối và vận hành phần mềm client trên mạng chính đều bị gián đoạn bởi sự cố này. Bộ xếp chuỗi nội bộ và các node đã phục hồi một phần, nhưng việc lan truyền khối đầy đủ vẫn chưa được khôi phục. Nguyên nhân gốc rễ của vấn đề đồng thuận vẫn đang được đội ngũ Base tích cực điều tra, chưa có mốc thời gian n