Giao dịch
Loại giao dịch
Giao ngay
Giao dịch tiền điện tử một cách tự do
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy, giao dịch giao ngay, không cần vay, không cháy tải khoản
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Khởi động
Đầu tư
Simple Earn
VIP
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Quỹ định lượng
VIP
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
New
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Thế chấp
Thế chấp tiền điện tử để kiếm tiền từ các sản phẩm PoS
BTC Staking
HOT
Stake BTC và kiếm APR 10%
ETH Staking
HOT
Stake ETH và kiếm APR 6%
Đúc GUSD
New
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thế chấp mềm
Kiếm phần thưởng với staking linh hoạt
Thêm
- Chủ đề thịnh hànhXem thêm
255k Phổ biến
42k Phổ biến
35k Phổ biến
38k Phổ biến
38k Phổ biến
- Ghim
$3.047M USDC đã bị rút trong cuộc tấn công hợp đồng tài chính yêu cầu giả trên Safe
Một cuộc tấn công phishing gần đây đã dẫn đến việc mất 3.047 triệu USDC. Lỗ hổng này đã nhắm vào một ví đa chữ ký Safe. Trong khi sử dụng một hợp đồng Request Finance giả mạo. Các nhà điều tra cho biết những kẻ tấn công đã lên kế hoạch cho kế hoạch này một cách cẩn thận. Họ đã thực hiện nó theo cách mà trông có vẻ như được ủy quyền. Nạn nhân đã sử dụng một ví đa chữ ký Safe 2 trên 4. Theo Scam Sniffer, giao dịch dường như đã được xử lý thông qua giao diện ứng dụng Request Finance. Nhưng ẩn bên trong yêu cầu hàng loạt là một sự chấp thuận cho một hợp đồng độc hại.
Địa chỉ hợp đồng giả mạo gần như giống hệt với địa chỉ hợp đồng hợp pháp. Chỉ có một vài khác biệt tinh tế ở các ký tự ở giữa. Cả hai đều bắt đầu và kết thúc bằng cùng một ký tự. Điều này khiến việc nhận ra một cách nhanh chóng trở nên khó khăn. Để tăng cường độ tin cậy, những kẻ tấn công thậm chí đã xác minh hợp đồng độc hại trên Etherscan. Bước bổ sung này khiến nó trông giống như thật đối với bất kỳ ai xem xét một cách qua loa. Khi được cấp phép, những kẻ tấn công ngay lập tức đã rút $3.047 triệu USDC. Số tiền bị đánh cắp sau đó đã được hoán đổi thành ETH. Sau đó, nó nhanh chóng chuyển vào Tornado Cash, khiến việc truy vết trở nên khó khăn.
Một Lịch Trình Được Lên Kế Hoạch Cẩn Thận
Thời gian của cuộc tấn công cho thấy sự chuẩn bị rõ ràng. Mười ba ngày trước khi xảy ra vụ trộm, những kẻ tấn công đã triển khai hợp đồng Request Finance giả. Trong khi họ thực hiện nhiều giao dịch "batchPayments" để làm cho hợp đồng trông có vẻ hoạt động và đáng tin cậy. Đến khi nạn nhân tương tác với nó. Hợp đồng có vẻ đã có một lịch sử sử dụng bình thường. Khi nạn nhân sử dụng ứng dụng Request Finance, những kẻ tấn công đã lén lút đưa sự chấp thuận ẩn vào giao dịch hàng loạt. Khi giao dịch được ký, cuộc khai thác đã hoàn tất.
Phản hồi từ Request Finance
Request Finance đã thừa nhận sự cố và phát hành một tuyên bố cảnh báo người dùng. Công ty xác nhận rằng một tác nhân độc hại đã triển khai một phiên bản giả mạo của hợp đồng Thanh toán hàng loạt của mình. Theo tuyên bố, chỉ có một khách hàng bị ảnh hưởng. Lỗ hổng này đã được sửa chữa. Nhưng phương pháp chính xác được sử dụng để tiêm sự chấp thuận độc hại vẫn chưa rõ ràng. Các nhà phân tích tin rằng các vector tấn công có thể bao gồm một lỗ hổng trong chính ứng dụng. Ngoài ra, phần mềm độc hại hoặc tiện ích mở rộng trình duyệt sửa đổi giao dịch, hoặc thậm chí là một giao diện trước bị xâm nhập hoặc tấn công DNS. Các hình thức tiêm mã khác không thể bị loại trừ.
Các vấn đề về bảo mật được nêu bật
Vụ việc này cho thấy xu hướng ngày càng tăng của các vụ lừa đảo trong ngành công nghiệp tiền điện tử. Kẻ tấn công không còn dựa vào các liên kết lừa đảo cơ bản hoặc các mẹo rõ ràng. Thay vào đó, họ triển khai các hợp đồng đã được xác minh, mô phỏng các dịch vụ thực tế, và ẩn giấu các hành động độc hại bên trong các giao dịch phức tạp. Các giao dịch hàng loạt, được thiết kế để đơn giản hóa các khoản thanh toán, cũng có thể tạo ra cơ hội cho kẻ tấn công. Bởi vì chúng nhóm nhiều hành động lại với nhau. Điều này khiến người dùng khó khăn hơn trong việc xem xét từng phê duyệt hoặc chuyển khoản. Sự mơ hồ này cho phép kẻ tấn công lén lút thực hiện các hoạt động gian lận. Mà không bị phát hiện cho đến khi quá muộn.
Bài học cho cộng đồng
Các chuyên gia nhấn mạnh sự cần thiết phải cẩn trọng tối đa khi sử dụng multi-send. Hoặc thậm chí là sử dụng các tính năng thanh toán theo lô. Mỗi lần phê duyệt hợp đồng nên được xem xét từng ký tự để tránh nhầm lẫn với các địa chỉ giống nhau. Ngay cả một chi tiết bị bỏ qua cũng có thể dẫn đến tổn thất lớn, như đã thấy trong trường hợp này. Các công ty bảo mật cũng khuyến nghị người dùng giảm thiểu việc sử dụng các tiện ích mở rộng trình duyệt. Họ cũng có thể kiểm tra các ứng dụng chưa được xác minh kết nối với ví.
Giữ cho phần mềm được cập nhật, sử dụng ví phần cứng để phê duyệt và kiểm tra địa chỉ hợp đồng thông qua các nguồn đáng tin cậy. Những điều này có thể giảm thiểu rủi ro của các cuộc tấn công như vậy. Sự cố này là một lời nhắc nhở để củng cố bảo vệ người dùng cho các nền tảng. Cảnh báo nâng cao, tự động đánh dấu các hợp đồng giống nhau và cải thiện khả năng hiển thị giao dịch có thể giúp ngăn chặn các cuộc tấn công tương tự.
Một lời nhắc nhở tốn kém
Khoản lỗ 3,047 triệu USD là một lời nhắc nhở khác về những rủi ro lớn trong tài chính phi tập trung. Trong khi Safe và Request Finance vẫn là những công cụ phổ biến. Các kẻ tấn công đang ngày càng lợi dụng sự phức tạp của chúng. Đối với người dùng, sự thận trọng là sự bảo vệ thực sự duy nhất. Trong trường hợp này, các kẻ tấn công dựa vào sự tinh tế, chuẩn bị và một điều giả mạo thuyết phục. Thật không may, điều đó đủ để lừa ngay cả một thiết lập đa chữ ký vào việc cho phép truy cập. Sự cố này cho thấy rằng trong tiền mã hóa, mỗi cú nhấp chuột và mỗi phê duyệt đều quan trọng.