# Bài viết Liên quan Tin tặc

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "Tin tặc", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

Tại sao bảo hiểm DeFi không ai mua?

Bảo hiểm DeFi được kỳ vọng sẽ cách mạng hóa ngành bảo hiểm bằng cách loại bỏ trung gian và tự động giải quyết bồi thường thông qua hợp đồng thông minh. Tuy nhiên, thực tế lại rất ít người mua. Nguyên nhân chính đến từ đặc thù rủi ro trong DeFi: các sự kiện an ninh như lỗi oracle hay lỗ hổng cầu nối cross-chain có thể gây ảnh hưởng dây chuyền đến nhiều giao thức cùng lúc, khiến rủi ro có tương quan cao và khoản bồi thường tiềm năng có thể vượt quá khả năng của quỹ bảo hiểm. Một vấn đề then chốt khác là chi phí bảo hiểm. Phí bảo hiểm thường chiếm phần lớn lợi nhuận từ các giao thức DeFi. Ví dụ, lãi suất từ Aave V3 có thể bị giảm từ 3.14% xuống chỉ còn 0.6% – 1.6% sau khi trừ phí bảo hiểm. Ở một số nền tảng như Maple Finance hay Ethena, mua bảo hiểm thậm chí có thể khiến nhà đầu tư bị lỗ. Quy mô quỹ bảo hiểm DeFi hiện tại, với dẫn đầu là Nexus Mutual (khoảng 81.5 triệu USD), là quá nhỏ so với tổng giá trị tài sản bị khóa hàng nghìn tỷ USD trong không gian DeFi. Một sự cố lớn như vụ hack Kelp DAo (2.92 tỷ USD) có thể nhanh chóng làm cạn kiệt toàn bộ quỹ bảo hiểm của ngành. Ngoài ra, mô hình quản trị của các quỹ bảo hiểm phi tập trung, nơi các thành viên nắm giữ token vừa là người bỏ vốn vừa là người bỏ phiếu quyết định bồi thường, có thể tạo ra xu hướng từ chối yêu cầu để bảo vệ tài sản của chính họ. Nhận thức được những thách thức này, các dự án như Nexus Mutual đang chuyển hướng sang các giải pháp phòng ngừa rủi ro từ gốc (như chương trình tiền thưởng lỗ hổng) và tìm cách kết nối với thị trường tái bảo hiểm truyền thống để tăng cường năng lực tài chính. Tuy nhiên, bản chất không cần cấp phép của DeFi khiến không thể bắt buộc các giao thức mua bảo hiểm, dẫn đến một nghịch lý: bảo hiểm chỉ có hiệu quả bảo vệ toàn hệ thống nếu được áp dụng rộng rãi, nhưng rất ít cá nhân sẵn sàng chịu chi phí khi họ có thể trông chờ vào người khác. Điều này khiến hệ thống an toàn chung trở nên mong manh.

marsbit06/27 03:05

Tại sao bảo hiểm DeFi không ai mua?

marsbit06/27 03:05

Hacker đánh cắp gần 17 triệu đô la trong 40 ngày, 'hợp đồng zombie' đang biến thành máy rút tiền của hacker

**Tóm tắt: Hợp đồng thông minh "zombie" - máy rút tiền mới của hacker** Trong vòng 40 ngày (từ 07/05 đến 15/06/2026), tin tặc đã đánh cắp gần 17 triệu USD từ 5 hợp đồng thông minh cũ, đã ngừng sử dụng nhưng vẫn tồn tại trên blockchain. Sự cố nghiêm trọng nhất là với hợp đồng DxSale V1 Locker (mất ~7.3 triệu USD). Các nền tảng khác bao gồm TrustedVolumes, Huma Finance V1, Raydium Legacy AMM và Aztec Connect. Vấn đề cốt lõi không phải là một lỗ hổng cụ thể, mà nằm ở việc các hợp đồng cũ khi "nghỉ hưu" không được xử lý triệt để. Dù không còn được đội ngũ phát triển bảo trì, chúng vẫn giữ giá trị kinh tế (tiền, quyền ủy quyền) và có thể thực thi giao dịch, biến thành mục tiêu hoàn hảo. Các hợp đồng này thường bị lãng quên, giám sát lỏng lẻo và vẫn giữ các giả định bảo mật lỗi thời. Trong khi đó, chi phí để tin tặc tự động hóa quét tìm các mục tiêu "dài hạn" như vậy đang ngày càng giảm nhờ các công cụ phân tích mã, mô phỏng giao dịch và AI. Ngành công nghiệp DeFi đã có quy trình kiểm toán chặt chẽ trước khi triển khai, nhưng lại thiếu kỷ luật tương tự cho giai đoạn "khai tử" hợp đồng. Một hợp đồng chỉ thực sự an toàn khi mọi giá trị, quyền hạn, quyền truy cập và giả định đáng tin cậy đã được loại bỏ hoàn toàn.

marsbit06/26 09:14

Hacker đánh cắp gần 17 triệu đô la trong 40 ngày, 'hợp đồng zombie' đang biến thành máy rút tiền của hacker

marsbit06/26 09:14

Không ngờ, ứng dụng đầu tiên của AI x Crypto đã thành hiện thực lại là kiểm toán an ninh

Dữ liệu cho thấy, tính đến tháng 6, TVL của DeFi đã giảm khoảng 39% so với đầu năm. Cùng lúc, các vụ tấn công bảo mật tiếp tục gây áp lực, với tổn thất lên tới 942 triệu USD tính từ đầu năm 2026. Sự phổ biến của các công cụ AI thế hệ mới đang làm giảm đáng kể chi phí và yêu cầu kỹ năng để tìm ra lỗ hổng hợp đồng thông minh, đặt các công ty kiểm toán an ninh vào tâm điểm của cuộc khủng hoảng. Mặt tấn công đã được AI hóa. Các mô hình ngôn ngữ lớn giờ đây có thể quét hàng loạt hợp đồng để xác định mẫu lỗ hổng, rút ngắn thời gian từ phát hiện đến thực thi xuống còn vài phút, trong khi báo cáo kiểm toán truyền thống có hiệu lực tính bằng tháng. Ngay cả những giao thức đã được kiểm toán kỹ lưỡng như Drift Protocol hay KelpDAO vẫn bị tấn công thông qua lỗ hổng vận hành hoặc kỹ thuật xã hội. Các cuộc tấn công cũng nhắm vào hợp đồng cũ đã triển khai nhiều năm, cho thấy thời hạn bảo vệ của báo cáo kiểm toán cũ có thể đã hết hiệu lực. Để đối phó, nhu cầu kiểm toán phòng thủ từ các giao thức hiện có đang gia tăng. Tuy nhiên, về lâu dài, mô hình kinh doanh của các công ty kiểm toán đang phân hóa. Các công ty hàng đầu đang phát triển hệ thống kiểm toán hỗ trợ AI và chuyển dịch từ mô hình báo cáo một lần sang cung cấp dịch vụ giám sát liên tục, xác minh hình thức và phát hiện rủi ro thời gian thực. Công cụ kiểm toán AI nguyên bản như Firepan đã chứng minh hiệu quả khi phát hiện ra lỗ hổng phức tạp mà kiểm toán thủ công bỏ sót, như trong trường hợp của Curve Finance. Tóm lại, AI vừa thúc đẩy hiệu quả tấn công, vừa thúc đẩy nâng cấp hệ thống phòng thủ. An ninh không còn là thủ tục một lần mà trở thành cơ sở hạ tầng cần đầu tư liên tục. Các công ty kiểm toán cần tái cấu trúc nhanh chóng để thích ứng và tồn tại.

marsbit06/26 07:24

Không ngờ, ứng dụng đầu tiên của AI x Crypto đã thành hiện thực lại là kiểm toán an ninh

marsbit06/26 07:24

Không ngờ tới, AI x Crypto lại ứng dụng đầu tiên trong kiểm toán bảo mật

Dữ liệu cho thấy, tính đến tháng 6, tổng giá trị bị khóa (TVL) trong DeFi đã giảm khoảng 39% so với đầu năm. Cùng lúc, các vụ tấn công bảo mật tiếp tục gây áp lực, với thiệt hại ước tính lên tới 9,42 tỷ USD trong năm 2026. Một xu hướng đáng chú ý là sự phổ biến của các công cụ AI thế hệ mới, làm giảm đáng kể chi phí và yêu cầu kỹ năng để tìm kiếm lỗ hổng hợp đồng thông minh, đặt các công ty kiểm toán an ninh vào tâm điểm của cuộc khủng hoảng. Mặt tấn công đã được AI hóa. Các công cụ như Claude Mythos cho phép kẻ tấn công quét hàng loạt hợp đồng, phát hiện mẫu lỗ hổng và rút ngắn thời gian từ phát hiện đến thực thi xuống cấp độ vài phút. Điều này khiến các báo cáo kiểm toán truyền thống có "thời hạn sử dụng" bị thu hẹp nghiêm trọng, thậm chí về 0. Các vụ tấn công không chỉ nhắm vào hợp đồng mới mà còn khai thác lỗ hổng từ các hợp đồng cũ đã triển khai nhiều năm. Đáng chú ý, ngay cả những giao thức hàng đầu đã được kiểm toán kỹ lưỡng (như Drift Protocol, KelpDAO) vẫn bị xâm phạm thông qua các lỗi logic nghiệp vụ, kỹ thuật xã hội hoặc cấu hình hạ tầng. Trước thực tế mới, cả bên giao thức và công ty kiểm toán đều phải điều chỉnh. Về phía giao thức, nhu cầu kiểm toán lại theo tiêu chuẩn mới thời AI đang tăng lên như một khoản chi phòng thủ. Về phía công ty kiểm toán, mô hình kinh doanh báo cáo một lần đang bị thách thức. Họ buộc phải chuyển đổi sang mô hình dịch vụ nhúng toàn trình, tích hợp AI để nâng cao hiệu quả kiểm tra tự động, giám sát liên tục và phát hiện rủi ro thời gian thực. Các công cụ AI bản địa như Firepan đã chứng minh khả năng phát hiện những lỗ hổng phức tạp mà kiểm toán thủ công có thể bỏ sót, như trong trường hợp của Curve Finance và Zcash. Tóm lại, ngành kiểm toán an ninh đang chuyển từ mô hình hưởng lợi sang cạnh tranh khốc liệt dưới tác động của AI. An ninh không còn là thủ tục một lần mà phải là cơ sở hạ tầng được đầu tư liên tục. Các công ty kiểm toán cần tái cấu trúc nhanh chóng từ công cụ sang dịch vụ để tồn tại.

链捕手06/26 07:17

Không ngờ tới, AI x Crypto lại ứng dụng đầu tiên trong kiểm toán bảo mật

链捕手06/26 07:17

Vụ Khai Thác 3 Triệu USD Tấn Công Polymarket: Người Dùng Sẽ Được Hoàn Tiền Đầy Đủ Sau Vụ Vi Phạm Từ Bên Thứ Ba

Sàn giao dịch dự đoán thị trường Polymarket sẽ hoàn trả toàn bộ số tiền cho người dùng bị ảnh hưởng bởi một cuộc tấn công khai thác lỗ hổng, dẫn đến việc mất khoảng 3 triệu USD tài sản tiền điện tử. Nguyên nhân được xác định là do mã độc được chèn vào giao diện phía trước (front-end) của nền tảng thông qua một nhà cung cấp bên thứ ba bị xâm phạm, chứ không phải lỗi từ kiến trúc cốt lõi của Polymarket. Kịch bản độc hại này chỉ được phân phối cho một số ít người dùng, cho phép kẻ tấn công rút tiền từ ví của họ. Polymarket tuyên bố đã xác định nguyên nhân, cách ly sự phụ thuộc và bắt đầu liên hệ với người dùng bị ảnh hưởng để hoàn trả. Ước tính có ít hơn 15 ví bị ảnh hưởng, với phần lớn tài sản bị đánh cắp là stablecoin pUSD của Polymarket, sau đó được kẻ tấn công chuyển sang Ethereum. Các nhà nghiên cứu bảo mật mô tả sự kiện này là một cuộc tấn công chuỗi cung ứng, nhấn mạnh rằng giao thức cốt lõi của nền tảng không bị ảnh hưởng. Đây là sự cố bảo mật thứ hai xảy ra với Polymarket trong vòng chưa đầy hai tháng, làm dấy lên lo ngại về rủi ro ngày càng tăng từ các phần phụ thuộc vào phần mềm bên thứ ba trong lĩnh vực tiền điện tử.

TheNewsCrypto06/26 07:13

Vụ Khai Thác 3 Triệu USD Tấn Công Polymarket: Người Dùng Sẽ Được Hoàn Tiền Đầy Đủ Sau Vụ Vi Phạm Từ Bên Thứ Ba

TheNewsCrypto06/26 07:13

Polymarket sẽ hoàn trả cho người dùng sau khi sự xâm phạm từ bên thứ ba gây ra cuộc tấn công lừa đảo trị giá 3 triệu đô la

Nền tảng thị trường dự đoán Polymarket thông báo sẽ hoàn trả đầy đủ cho người dùng bị ảnh hưởng sau khi một nhà cung cấp dịch vụ bên thứ ba bị xâm phạm tiêm mã độc vào giao diện phía trước (frontend) của họ. Sự cố này đã khiến một số người dùng tiếp xúc với một cuộc tấn công lừa đảo (phishing), mà theo ước tính của các nhà nghiên cứu an ninh blockchain, đã chiếm đoạt gần 3 triệu đô la. Polymarket cho biết họ đã phát hiện và loại bỏ phần phụ thuộc bị ảnh hưởng, đồng thời khống chế sự cố. Cuộc tấn công dường như chỉ ảnh hưởng đến người dùng tương tác với giao diện bị xâm phạm trong khoảng thời gian diễn ra vụ việc, chứ không phải các hợp đồng thông minh cốt lõi của nền tảng. Công ty an ninh PeckShield báo cáo rằng các kẻ tấn công đã rút khoảng 3 triệu đô la trị giá PUSD từ hơn 11 ví nạn nhân, sau đó chuyển số tiền bị đánh cắp từ Polygon sang Ethereum và đổi thành khoảng 1.893 ETH. Khác với nhiều vụ lừa đảo thông thường, Polymarket cam kết sẽ bồi thường đầy đủ cho tất cả người dùng bị ảnh hưởng. Công ty đang liên hệ trực tiếp với những người dùng này và tiếp tục điều tra vụ việc. Thời gian cụ thể cho việc hoàn tiền và báo cáo sự cố đầy đủ chưa được công bố.

ambcrypto06/25 18:06

Polymarket sẽ hoàn trả cho người dùng sau khi sự xâm phạm từ bên thứ ba gây ra cuộc tấn công lừa đảo trị giá 3 triệu đô la

ambcrypto06/25 18:06

Lỗ hổng Hợp đồng Phí Bản quyền Legacy trên Polygon Dẫn đến Mất 261K USD Thông qua Lỗi Logic Phần thưởng

Một tin tặc đã khai thác lỗ hổng trong hợp đồng chi trả tiền bản quyền cũ (legacy royalties contract) trên mạng lưới Polygon, thu về khoảng 261.200 đô la tiền điện tử. Sự việc được công ty an ninh TenArmorAlert phát hiện và xác nhận vào ngày 23/6. Cuộc tấn công xảy ra do lỗi trong cơ chế tính toán và hạch toán phần thưởng của hợp đồng thông minh cũ này, cụ thể là trong hàm `Royal1155LD.beforeLdaTransfer()`. Kẻ tấn công đã thực hiện một loạt giao dịch có giá trị bằng 0 để thao túng số liệu tính thưởng và quyền sở hữu, từ đó làm tăng số dư token một cách giả tạo trong một số điều kiện nhất định. Họ cũng sử dụng flash loan (vay chớp nhoáng) để thực hiện khai thác, sau khi trả lại khoản vay đã thu lợi nhuận. Sự kiện này một lần nữa cảnh báo về rủi ro bảo mật từ các hợp đồng thông minh cũ hoặc phiên bản dự án đã ngừng hoạt động nhưng vẫn còn tiền. Các chuyên gia khuyến nghị nhà phát triển nên kiểm tra, cập nhật, vô hiệu hóa hoặc gỡ bỏ các triển khai cũ để giảm thiểu nguy cơ. Nhóm phát triển Polygon xác nhận cuộc tấn công này không ảnh hưởng đến bảo mật của mạng lưới blockchain chính.

TheNewsCrypto06/24 13:01

Lỗ hổng Hợp đồng Phí Bản quyền Legacy trên Polygon Dẫn đến Mất 261K USD Thông qua Lỗi Logic Phần thưởng

TheNewsCrypto06/24 13:01

Chiếc bot MEV hạng nhất bị đánh cắp 7,5 triệu đô la: Có phải Approval mới là rủi ro chết người dễ bị bỏ qua nhất trên blockchain?

Một bot MEV lâu năm trên Ethereum, vốn chuyên "săn" các giao dịch thông thường, cuối cùng đã rơi vào một cái bẫy "tùy chỉnh" trị giá 7,5 triệu USD. Vào ngày 21/6, bot Jaredfromsubway.eth nổi tiếng với chiến lược tấn công sandwich đã bị tấn công, với tài sản như WETH, USDC bị chuyển đi, thiệt hại ước tính hơn 7,5 triệu USD. Điểm đáng chú ý là cuộc tấn công này không liên quan đến lộ khóa riêng tư hay lỗ hổng hợp đồng thông minh truyền thống. Thay vào đó, kẻ tấn công đã bỏ công sức trong nhiều tuần để tạo ra một môi trường giao dịch giả mạo, bao gồm các token, nhóm thanh khoản và hợp đồng phụ trợ độc hại. Chúng đánh lừa bot MEV, khiến nó tự động cấp phép (Approval) ERC-20 cho các hợp đồng độc hại này, từ đó "hợp pháp" chuyển đi tài sản của bot. Sự kiện này một lần nữa gióng lên hồi chuông cảnh báo về rủi ro tiềm ẩn lớn từ cơ chế Approval – một thao tác cơ bản nhưng dễ bị đánh giá thấp trong hệ sinh thái EVM. Approval cho phép hợp đồng thông minh chi tiêu token thay mặt người dùng, tương tự như tính năng thanh toán tự động. Tuy nhiên, các thói quen như cấp phép vô hạn (unlimited approval), không thu hồi phép khi ngừng sử dụng DApp, hay việc hợp đồng được ủy quyền sau này có thể bị xâm phạm, đều tạo ra lỗ hổng bảo mật lâu dài. Để quản lý rủi ro Approval, người dùng nên tuân thủ nguyên tắc "quyền tối thiểu" – chỉ cấp phép đủ số lượng cần thiết cho giao dịch. Nên tách biệt ví lưu trữ chính và ví tương tác với các DApp mới/rủi ro. Quan trọng nhất là cần thường xuyên kiểm tra và thu hồi (revoke) các ủy quyền không còn cần thiết thông qua các công cụ như Revoke.cash hoặc tính năng quản lý ủy quyền trong ví (ví dụ: imToken). Về phía các nhà cung cấp ví, cần nâng cao khả năng phòng thủ chủ động bằng cách cảnh báo rủi ro, phân tích cấu trúc và hiển thị nội dung ký (signing) một cách dễ đọc cho người dùng, hướng tới tiêu chuẩn "ký gì thấy đó" (What You See Is What You Sign). Tóm lại, bảo mật trong Web3 không chỉ là bảo vệ khóa riêng tư, mà còn là việc quản lý chủ động và hiểu biết về các ủy quyền hợp đồng – những "cánh cửa sau" có thể vẫn mở ngay cả khi người dùng đã lãng quên chúng.

marsbit06/24 05:30

Chiếc bot MEV hạng nhất bị đánh cắp 7,5 triệu đô la: Có phải Approval mới là rủi ro chết người dễ bị bỏ qua nhất trên blockchain?

marsbit06/24 05:30

活动图片