Sự cố bảo mật

Hai bản phát hành npm Axios độc hại đã khiến các nhà phát triển nhận được cảnh báo về việc xoay vòng (rotate) thông tin đăng nhập và coi các hệ thống bị ảnh hưởng là đã bị xâm phạm sau một cuộc tấn công chuỗi cung ứng đã làm nhiễm độc thư viện HTTP phổ biến dành cho JavaScript. Sự xâm phạm lần đầu được công ty an ninh mạng Socket báo cáo, cho biết

Singapore ra lệnh ngừng tranh chấp liên quan vụ hack Resupply trong cuộc chiến bôi nhọ crypto Một tòa án tại Singapore đã yêu cầu nhà sáng lập OneKey Wang Lei cùng một người dùng X chấm dứt các cáo buộc mang tính đe dọa và phỉ báng nhằm vào một cộng tác viên liên quan Curve, sau khi tranh chấp

Google Quantum AI cảnh báo rằng mật mã đường cong elliptic 256-bit có thể bị xâm phạm trong vài phút với ít hơn 500.000 qubit, kêu gọi ngành công nghiệp crypto nhanh chóng áp dụng mật mã hậu lượng tử để tăng cường bảo mật.

Google warns that advancements in quantum computing may compromise cryptocurrency security sooner than expected, prompting analysts to advocate for appropriate levels of urgency.

Tin tức Gate News, ngày 31 tháng 3, nhà điều tra trên chuỗi ZachXBT theo dõi cho thấy, một người dùng CEX nào đó có khả năng đã bị tấn công bằng kỹ thuật xã hội, với thiệt hại khoảng 18,2 triệu USD. Kẻ tấn công bắt đầu hành động khoảng 45 phút trước, sử dụng ví SafePal, thông qua giao thức chuyển chuỗi phi tập trung THORChain để chuyển tài sản từ mạng Ethereum sang mạng Bitcoin.

Năng lực điện toán lượng tử cần thiết để bẻ khóa lớp mã hóa giúp bảo vệ các blockchain tiếp tục giảm, ít nhất là về mặt lý thuyết, đặt ra câu hỏi liệu ngành công nghiệp có thể chuyển sang các nền tảng chống chịu lượng tử trước khi chúng trở nên dễ bị tấn công với chi phí phải chăng hay không. Một bài báo mới của Caltech và qu

Nhóm AI lượng tử của Google công bố báo cáo bạch (whitepaper), cho biết các nguồn tài nguyên lượng tử cần thiết để bẻ khóa mật mã học đường cong elliptic thấp hơn dự kiến, đề xuất hai phương án mạch lượng tử, và khuyến nghị cộng đồng tiền mã hóa di chuyển sang mật mã hậu lượng tử trước năm 2029 để đối phó với các mối đe dọa tiềm ẩn.

Công ty an ninh chuỗi khối Fuzzland cho biết nghiên cứu của họ rằng gói npm của công cụ AI lập trình Claude Code của Anthropic có chứa đầy đủ các tệp source map, làm lộ mã của 1.906 tệp nguồn. Mặc dù trước đây đã xóa các tệp tương tự, phiên bản mới vẫn chứa vấn đề này, dẫn đến việc tiết lộ kiến trúc nội bộ và các cơ chế bảo mật. Điều này không liên quan đến dữ liệu người dùng, nhưng ảnh hưởng đến tính an toàn.

Nhóm nghiên cứu AI lượng tử của Google cho biết năng lực tính toán lượng tử cần thiết để bẻ khóa Bitcoin thấp hơn nhiều so với dự kiến, có thể thấp hơn 500.000 qubit. Mô phỏng nghiên cứu cho thấy tin tặc có thể chặn các giao dịch Bitcoin đang diễn ra trong vòng 9 phút, và khoảng một phần ba số Bitcoin được lưu trong các ví đã bị lộ ra, làm tăng rủi ro tấn công bằng lượng tử. Nâng cấp Taproot của Bitcoin dù tăng cường quyền riêng tư nhưng cũng làm lộ khóa công khai, qua đó gia tăng rủi ro tài sản.

Một người đàn ông ở Maryland đã bị buộc tội lợi dụng các lỗ hổng tại Uranium Finance, dẫn đến khoản lỗ 54 triệu USD. Công tố viên cho rằng anh ta đã tấn công nền tảng này, rửa tiền thông qua các bộ sưu tầm giá trị cao, và có thể phải đối mặt với nhiều thập kỷ tù giam.

Nền tảng quản lý rủi ro DeFi Steakhouse Financial gần đây đã bị tin tặc tấn công, hệ thống giao diện người dùng bị dùng để lừa đảo (phishing) nhưng tiền của người dùng không bị ảnh hưởng. Cuộc tấn công bắt nguồn từ hành vi kỹ thuật xã hội nhắm vào nhà cung cấp máy chủ; Steakhouse sẽ hủy bỏ các thay đổi độc hại và phát hành báo cáo sự việc. Các chuyên gia nhắc người dùng nâng cao nhận thức về an toàn, cảnh giác với rủi ro lừa đảo.

Công ty mã hóa Archblock, TrustToken và TrueCoin nộp đơn phá sản vì Techteryx không thanh toán các khoản phải trả và bị lừa đảo bởi một nhóm tội phạm Đông Âu, khiến tình hình tài chính bị tổn thất nặng nề. Công ty còn vướng vào nhiều tranh chấp pháp lý, đối mặt với các vấn đề về thuế và khoản lỗ đầu tư rủi ro cao, qua đó vạch trần các rủi ro tiềm ẩn của ngành stablecoin.

Nhóm an ninh của Slow Mist phát hành cảnh báo, axios@1.14.1 và axios@0.30.4 đã được xác nhận là các phiên bản độc hại, có cài cấy tải trọng độc hại có thể được triển khai thông qua script postinstall. Ảnh hưởng đến OpenClaw cần được đánh giá theo từng kịch bản; khuyến nghị các máy chủ bị ảnh hưởng ngay lập tức kiểm tra và thay đổi (luân chuyển) thông tin xác thực.

Tin tức Gate News, ngày 31 tháng 3, người sáng lập SlowMist là Yu Xian đã đăng cảnh báo an toàn rằng phiên bản mới nhất 3.28 của OpenClaw có thể đưa vào các gói phụ thuộc axios bị cài mã độc, nhắc người dùng chú ý kiểm tra và rà soát. Yu Xian cho biết, ngoài rủi ro do OpenClaw trực tiếp đưa vào, các Skills liên quan cũng có thể phụ thuộc axios, dẫn đến việc bị cài mã độc gián tiếp. Do axios được sử dụng rộng rãi, nên khuyến nghị kiểm tra toàn diện. Được biết, sự cố đầu độc này đã được phát hiện kịp thời.

Gần đây, các trường hợp tấn công lừa đảo (phishing) nhắm vào Pi Network gia tăng nhanh chóng; kẻ gian gửi các liên kết giả mạo 2FA. Mục tiêu là người dùng đã hoàn tất lần thứ hai di chuyển sang mainnet, nhằm đánh cắp cụm từ hạt giống 24 từ của họ. Các trang lừa đảo thuộc dạng này giống với giao diện chính thức, sử dụng niềm tin của người dùng vào các thao tác do phía chính thức hướng dẫn để thực hiện hành vi lừa đảo. Các chuyên gia khuyến nghị rằng nếu người dùng đã lộ cụm từ hạt giống, họ nên chuyển tài sản ngay lập tức và ngừng sử dụng ví cũ để bảo vệ an toàn tài sản của mình.

Nhóm Trí tuệ Nhân tạo Lượng tử của Google công bố một bản bạch thư, đề xuất một phương án tấn công lượng tử mới có thể giảm đáng kể chi phí bẻ khóa mã hóa Elliptic Curve (đường cong elliptic), gây ra sự hoảng loạn trong ngành mã hóa. Các nghiên cứu cho thấy mối đe dọa từ điện toán lượng tử đang đến gần với tốc độ nhanh hơn, các blockchain chủ đạo như Bitcoin và Ethereum đang phải đối mặt với rủi ro; ngành cần nhanh chóng triển khai nâng cấp mã hóa chống lượng tử.

Gần đây, các gói cốt lõi npm axios đã bị tấn công chuỗi cung ứng. Kẻ tấn công đã xâm nhập tài khoản của người phụ trách chính và phát hành các phiên bản độc hại để tiêm mã độc Trojan đa nền tảng. Quy trình tấn công được lên kế hoạch kỹ lưỡng, bao gồm việc phát hành các phiên bản mồi nhử. Người dùng bị ảnh hưởng nên kiểm tra lockfile và hạ cấp về phiên bản cũ hơn, đồng thời xây dựng lại hệ thống để ngăn chặn rò rỉ tài nguyên. Khuyến nghị các nhà phát triển tiền mã hóa và Web3 kiểm tra và cập nhật các thông tin xác thực nhạy cảm, đồng thời thực hiện các biện pháp để phòng ngừa các cuộc tấn công trong tương lai.

Một người đàn ông ở Maryland, Jonathan Spalletta, đã bị buộc tội tin tặc vào sàn giao dịch phi tập trung Uranium Finance vào năm 2021, đánh cắp hơn 50 triệu đô la. Anh ta phải đối mặt với các cáo buộc gian lận máy tính và rửa tiền, theo cáo buộc đã sử dụng số tiền thu được để mua các bộ sưu tập hàng hiệu.