Giao dịch
Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Nâng cao
DEX
Giao dịch trên chuỗi với Gate Wallet
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Bot
Giao dịch chỉ bằng một cú nhấp chuột với các chiến lược thông minh tự động chạy
Sao chép
Tăng trưởng sự giàu có bằng cách theo dõi các nhà giao dịch hàng đầu
Giao dịch CrossEx
Beta
Một số dư ký quỹ, chia sẻ xuyên nền tảng
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
TradFi
Vàng
Giao dịch tài sản truyền thống toàn cầu bằng USDT ở một nơi
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
New
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
New
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
New
Không bị thanh lý bắt buộc trước hạn, không phải lo lắng về lợi nhuận đòn bẩy
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Chủ đề thịnh hành
Xem thêm28.3K Phổ biến
40.51K Phổ biến
358.74K Phổ biến
35.88K Phổ biến
53.87K Phổ biến
Ghim
Bot sao chép giao dịch Polymarket bị bắt giữ phân phối mã độc nhắm vào khoá riêng
Các nhà nghiên cứu bảo mật tại SlowMist Technology đã phát đi cảnh báo nghiêm trọng về một mối đe dọa nguy hiểm đang rình rập trong các ứng dụng giao dịch liên quan đến Polymarket. Theo các báo cáo từ cuối tháng 12 năm 2024, một nhà phát triển đã tạo ra một chương trình bot sao chép giao dịch chứa mã độc ẩn, nhằm mục đích xâm phạm an ninh ví người dùng. Sự cố này làm nổi bật xu hướng ngày càng gia tăng của các cuộc tấn công chuỗi cung ứng trong hệ sinh thái tiền điện tử.
Cách hoạt động của cuộc tấn công: Chèn mã dựa trên GitHub
Cuộc tấn công bắt đầu từ nơi các nhà phát triển thường hoạt động—trên GitHub, nơi các kho mã nguồn được chia sẻ công khai. Mã độc đã bị nhúng cố ý vào mã nguồn của bot sao chép giao dịch Polymarket, ngụy trang giữa các chức năng hợp lệ. Điều làm cho cuộc tấn công này đặc biệt độc hại là phương pháp của kẻ tấn công: các thành phần độc hại được phân tán qua nhiều lần cam kết mã, khiến việc phát hiện trở nên khó khăn hơn nhiều đối với các kiểm toán viên bảo mật và những người xem mã bình thường.
Khi chạy, chương trình bị xâm phạm thực hiện một hành động tưởng chừng vô hại—đọc tệp “.env” của người dùng, một tệp cấu hình thường dùng trong môi trường phát triển để lưu trữ các thông tin nhạy cảm, bao gồm khóa ví riêng tư. Tuy nhiên, thay vì chỉ truy cập dữ liệu cục bộ, chương trình ngay lập tức truyền các thông tin này đến các máy chủ bên ngoài do kẻ tấn công kiểm soát, qua đó đánh cắp các khóa riêng tư cho phép truy cập toàn bộ tài sản crypto của người dùng.
Trộm khóa riêng tư qua khai thác tệp cấu hình
Đường tấn công này khai thác một giả định tin cậy cơ bản trong cộng đồng nhà phát triển: rằng các kho mã nguồn là an toàn và các dự án mã nguồn mở tải xuống sẽ không chứa các mối đe dọa cố ý ẩn giấu. Chiến lược của kẻ tấn công là liên tục chỉnh sửa và cam kết lại mã trên GitHub nhằm mục đích—không chỉ làm cho payload độc hại khó phát hiện trong một lần xem mã, mà còn tạo ra nhiều “phiên bản” của mối đe dọa có thể trốn tránh các công cụ phân tích tĩnh.
Việc khai thác tệp .env đặc biệt nguy hiểm vì nhiều nhà phát triển lưu trữ các thông tin nhạy cảm nhất của họ ở đó, coi đó như một biện pháp bảo mật cục bộ không cần mã hóa. Người dùng tải xuống bot không có dấu hiệu nào cho thấy việc chạy nó sẽ làm lộ khóa riêng tư của họ cho các kẻ tấn công từ xa.
Cảnh báo của SlowMist: Một lời nhắc về các mối đe dọa lặp đi lặp lại
23pds, Giám đốc An ninh Thông tin của SlowMist Technology, đã mở rộng cảnh báo này tới cộng đồng rộng lớn hơn, nhấn mạnh rằng sự cố này theo sau một mô hình đáng lo ngại. Phát biểu của ông, “Đây không phải lần đầu, và cũng sẽ không phải lần cuối,” nhấn mạnh rằng các cuộc tấn công chuỗi cung ứng và chèn mã độc đã trở thành các mối đe dọa hệ thống chứ không còn là các sự cố riêng lẻ.
Sự can thiệp của SlowMist là rất quan trọng vì công ty đã khẳng định vị trí là một tiếng nói đáng tin cậy trong lĩnh vực bảo mật tiền điện tử, thường xuyên phát hiện các lỗ hổng và mối đe dọa có thể bị bỏ qua. Sự sẵn sàng công khai mối đe dọa này cho thấy họ đánh giá mức độ nghiêm trọng của chiến dịch mã độc này.
Cách bảo vệ ví của bạn khỏi các bot và mã độc
Các hệ quả rõ ràng: việc tải xuống và chạy các bot giao dịch, script tự động hoặc bất kỳ công cụ của bên thứ ba nào đều cần phải được đánh giá kỹ lưỡng. Người dùng nên áp dụng một số thực hành phòng thủ sau:
Khả năng của cộng đồng bảo mật trong việc phát hiện và cảnh báo về mã độc vẫn là một cơ chế phòng thủ quan trọng, nhưng cuối cùng, sự cảnh giác cá nhân và thực hành đánh giá phần mềm cẩn thận vẫn là các biện pháp bảo vệ hiệu quả nhất chống lại các mối đe dọa ngày càng tinh vi này.