# Bài viết Liên quan CertiK

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "CertiK", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

“Tôm Hùm” Của Bạn Đang “Chạy Trần”? CertiK Kiểm Chứng: OpenClaw Skill Chứa Lỗ Hổng Làm Cách Nào Để Lọt Kiểm Duyệt Và Chiếm Quyền Điều Khiển Máy Tính Mà Không Cần Ủy Quyền

OpenClaw (còn gọi là “Tôm hùm đất”) - nền tảng AI tự lưu trữ mã nguồn mở, đang phát triển nhanh nhờ khả năng mở rộng linh hoạt. Tuy nhiên, nghiên cứu mới từ CertiK cảnh báo: các Skill (tiện ích) của bên thứ ba trên chợ ứng dụng Clawhub tiềm ẩn rủi ro bảo mật nghiêm trọng. Các Skill chạy trong môi trường quyền cao, có thể truy cập file hệ thống, thực thi lệnh, thao tác tài sản crypto. OpenClaw hiện dựa vào cơ chế quét mã trước khi đăng tải (gồm quét VirusTotal, phát hiện mã tĩnh và kiểm tra logic AI) để ngăn mối đe dọa. Nhưng CertiK chứng minh: hacker dễ dàng bỏ qua các kiểm tra này bằng cách biến đổi cú pháp mã hoặc giấu lỗ hổng trong logic hợp lệ. Nhóm nghiên cứu đã tạo một Skill “test-web-searcher” vượt qua mọi lớp kiểm tra, cài đặt không cảnh báo, và kích hoạt thành công lỗ hổng thực thi lệnh từ xa qua Telegram, chiếm quyền điều khiển thiết bị. Vấn đề nằm ở quan niệm sai lầm của ngành: tin tưởng quá mức vào “quét kiểm duyệt” thay vì thiết lập cơ chế cách ly (sandbox) mặc định và kiểm soát quyền chi tiết. OpenClaw hiện để sandbox là tùy chọn, không bắt buộc, khiến nhiều người dùng tắt đi cho tiện, vô tình “phơi” thiết bị trước nguy cơ bị xâm nhập. Khuyến nghị: Nhà phát triển cần áp dụng sandbox mặc định và kiểm soát quyền chặt chẽ. Người dùng nên cài OpenClaw trên thiết bị ít quan trọng hoặc máy ảo, tránh xa dữ liệu nhạy cảm và tài sản giá trị cao.

marsbit03/17 14:41

“Tôm Hùm” Của Bạn Đang “Chạy Trần”? CertiK Kiểm Chứng: OpenClaw Skill Chứa Lỗ Hổng Làm Cách Nào Để Lọt Kiểm Duyệt Và Chiếm Quyền Điều Khiển Máy Tính Mà Không Cần Ủy Quyền

marsbit03/17 14:41

CertiK Siết Chặt KYC và Tăng Cường Giám Sát Sau Sự Cố Huione, CEO Phủ Nhận Kế Hoạch IPO

Sau khi bị chỉ trích vì kiểm toán một dự án có liên quan đến thị trường bất hợp pháp Huione, CertiK đã thắt chặt quy trình KYC và giám sát. Giám đốc điều hành Ronghui Gu thừa nhận sự việc là bước ngoặt, buộc công ty nâng cao tiêu chuẩn kiểm tra khách hàng, hợp tác với chuyên gia rủi ro và tăng cường giám sát sau kiểm toán. Ông nhấn mạnh ưu tiên đáp ứng tiêu chuẩn thể chế, phục vụ các tổ chức tài chính lớn. Gu cũng phủ nhận kế hoạch IPO, cho rằng thị trường chưa biết định giá công ty Web3. Ông cảnh báo các rủi ro mới như xử lý khóa cá nhân, deepfake và thao túng giá, đồng thời khẳng định sự cố Huione giúp CertiK củng cố uy tín để đáp ứng kỳ vọng khắt khe hơn từ tài chính toàn cầu.

TheNewsCrypto02/12 07:55

CertiK Siết Chặt KYC và Tăng Cường Giám Sát Sau Sự Cố Huione, CEO Phủ Nhận Kế Hoạch IPO

TheNewsCrypto02/12 07:55

Báo cáo An ninh Hàng năm của CertiK: Tổn thất Web3 năm 2025 tăng 37% so với cùng kỳ, Tấn công Lừa đảo và Sự kiện Chuỗi Cung ứng trở thành Mối đe dọa Chính

Công ty an ninh mạng CertiK công bố Báo cáo An ninh Web3 năm 2025, cho thấy tổn thất trong lĩnh vực này đã tăng 37% so với năm 2024, lên 3,35 tỷ USD từ 630 sự kiện bảo mật. Dù số vụ giảm 137 vụ, thiệt hại trung bình mỗi vụ tăng 66,6%, lên 5,32 triệu USD, cho thấy xu hướng nhắm mục tiêu vào các giá trị cao. Tấn công chuỗi cung ứng trở thành mối đe dọa lớn nhất, chỉ với hai sự kiện nhưng chiếm gần một nửa tổng thiệt hại (1,45 tỷ USD), nổi bật là vụ Bybit (1,4 tỷ USD). Tin tặc nhắm vào các nhà cung cấp dịch vụ cốt lõi thay vì giao thức riêng lẻ. Tấn công phishing (lừa đảo) là phổ biến nhất với 248 vụ (723 triệu USD), nhưng con số thực tế có thể cao hơn. Trí tuệ nhân tạo (AI) làm gia tăng rủi ro, tạo trang web giả mạo và thông tin đa ngôn ngữ, vượt mặt biện pháp phòng thủ truyền thống. Bối cảnh pháp lý ngày càng rõ ràng (như EU, Mỹ, Singapore) thúc đẩy phát triển minh bạch. An ninh đang chuyển từ "chi phí" sang "cơ sở hạ tầng" quan trọng. Dự báo năm tới, các cuộc tấn công dựa trên AI, chuỗi cung ứng phức tạp và lừa đảo xã hội sẽ tiếp tục, đòi hỏi tích hợp bảo mật vào thiết kế và trải nghiệm người dùng.

marsbit12/25 07:58

Báo cáo An ninh Hàng năm của CertiK: Tổn thất Web3 năm 2025 tăng 37% so với cùng kỳ, Tấn công Lừa đảo và Sự kiện Chuỗi Cung ứng trở thành Mối đe dọa Chính

marsbit12/25 07:58

Báo Cáo Skynet Hack3D Nổi Bật Về Bảo Mật Web3 Năm 2025

Báo cáo Skynet Hack3D năm 2025 nổi bật với sự phát triển của hệ sinh thái Web3 trong bối kiện kinh tế vĩ mô và môi trường pháp lý được cải thiện. Tuy nhiên, tổng thiệt hại do tấn công mạng lên tới 3,35 tỷ USD, tăng 37% so với năm 2024, chủ yếu do vụ khai thác Bybit 1,45 tỷ USD. Nếu loại trừ sự kiện này, thiệt hại thực tế đã giảm, cho thấy xu hướng tấn công tập trung vào các vụ lớn hơn là nhiều vụ nhỏ. Lừa đảo phishing là mối đe dọa phổ biến nhất, chiếm 722,9 triệu USD, trong khi khai thác lỗ hổng mã gây thiệt hại 554,6 triệu USD. AI đóng vai trò kép: hỗ trợ bảo mật nhưng cũng bị kẻ xấu lợi dụng để tạo phishing tinh vi và tấn công giả mạo. Quy định pháp lý được cải thiện ở Mỹ và EU góp phần ổn định hệ sinh thái. CertiK đã có năm bùng nổ với nhiều báo cáo chuyên sâu, dịch vụ bảo mật mới và hợp tác nghiên cứu, khẳng định vị thế dẫn đầu trong bảo mật Web3.

TheNewsCrypto12/24 16:24

Báo Cáo Skynet Hack3D Nổi Bật Về Bảo Mật Web3 Năm 2025

TheNewsCrypto12/24 16:24

Số vụ hack tiền mã hóa giảm nhưng các cuộc tấn công chuỗi cung ứng định hình lại bối cảnh mối đe dọa

Theo dữ liệu mới từ CertiK, tin tặc tiền mã hóa đã đánh cắp 3,3 tỷ USD vào năm 2025, nhưng số vụ tấn công giảm mạnh do thiệt hại tập trung vào các cuộc khai thác chuỗi cung ứng tinh vi hơn. Mặc dù tổng tổn thất vẫn cao, việc giảm số sự cố và quy mô trộm cắp trung bình cho thấy bảo mật ở cấp giao thức đang được cải thiện. Các vụ vi phạm chuỗi cung ứng nổi lên là mối đe dọa thiệt hại nhất, chiếm 1,45 tỷ USD chỉ từ hai sự cố, bao gồm vụ hack Bybit 1,4 tỷ USD. Lừa đảo phishing là mối đe dọa lớn thứ hai, với thiệt hại 722 triệu USD từ 248 vụ. Đặc biệt, lừa đảo "pig butchering" (mổ lợn) gây thiệt hại 5,5 tỷ USD trong năm 2024, với thời gian gian dỗ dành nạn nhân trung bình từ 1-2 tuần.

cointelegraph12/23 14:21

Số vụ hack tiền mã hóa giảm nhưng các cuộc tấn công chuỗi cung ứng định hình lại bối cảnh mối đe dọa

cointelegraph12/23 14:21

# Bài viết Liên quan CertiK

“Tôm Hùm” Của Bạn Đang “Chạy Trần”? CertiK Kiểm Chứng: OpenClaw Skill Chứa Lỗ Hổng Làm Cách Nào Để Lọt Kiểm Duyệt Và Chiếm Quyền Điều Khiển Máy Tính Mà Không Cần Ủy Quyền

CertiK Siết Chặt KYC và Tăng Cường Giám Sát Sau Sự Cố Huione, CEO Phủ Nhận Kế Hoạch IPO

Báo cáo An ninh Hàng năm của CertiK: Tổn thất Web3 năm 2025 tăng 37% so với cùng kỳ, Tấn công Lừa đảo và Sự kiện Chuỗi Cung ứng trở thành Mối đe dọa Chính

Báo Cáo Skynet Hack3D Nổi Bật Về Bảo Mật Web3 Năm 2025

Số vụ hack tiền mã hóa giảm nhưng các cuộc tấn công chuỗi cung ứng định hình lại bối cảnh mối đe dọa

Danh mục Phổ biến

Thẻ Nổi bật

Bitcoin

Phân tích Thị trường