# Bài viết Liên quan Tin tặc

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "Tin tặc", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

Tại sao bảo hiểm DeFi không được ai mua?

Tại sao bảo hiểm DeFi không được mua? Bảo hiểm DeFi hứa hẹn loại bỏ trung gian với các hợp đồng thông minh tự động thanh toán, nhưng thực tế người dùng gần như không mua. Nguyên nhân chính đến từ ba thách thức cốt lõi: 1. **Rủi ro tương quan cao:** Khác với bảo hiểm truyền thống (ví dụ: cháy nhà riêng lẻ), sự cố DeFi như lỗi oracle hay lỗ hổng cầu nối có thể ảnh hưởng hàng loạt giao thức cùng lúc, đe dọa xóa sổ toàn bộ quỹ bảo hiểm. 2. **Phí bảo hiểm làm xói mòn lợi nhuận:** Phí bảo hiểm thường chiếm phần lớn lợi suất DeFi. Ví dụ: lợi suất Aave V3 khoảng 3.14%, nhưng phí bảo hiểm từ 1.5-2.5%, khiến lợi nhuận thực chỉ còn 0.6-1.6%. Với một số giao thức, phí thậm chí cao hơn lợi nhuận. 3. **Năng lực đáp ứng hạn chế:** Tổng quy mô vốn của ngành bảo hiểm DeFi (ví dụ: Nexus Mutual có ~81.5 triệu USD) là quá nhỏ so với tổng tài sản bị khóa hàng nghìn tỷ USD trong DeFi. Một sự cố lớn như Kelp DAO (mất 292 triệu USD) có thể dễ dàng vượt quá khả năng chi trả. Ngoài ra, mô hình bỏ phiếu cho các khiếu nại tạo ra xung đột lợi ích, vì thành viên bỏ phiếu đồng ý bồi thường sẽ chịu rủi ro tài chính trực tiếp. Thị trường cũng thiếu cơ chế bắt buộc các giao thức mua bảo hiểm. Để giải quyết, các nền tảng như Nexus Mutual đang chuyển hướng sang các giải pháp phòng ngừa rủi ro trước (như quỹ tiền thưởng lỗ hổng) và tìm cách kết nối với thị trường tái bảo hiểm truyền thống để tăng năng lực vốn. Tuy nhiên, vấn đề cơ bản vẫn là bài toán "kẻ ăn không": lợi ích của bảo hiểm DeFi (ngăn chặn khủng hoảng lan rộng) được chia sẻ cho cả thị trường, nhưng chi phí lại do cá nhân người mua chịu, dẫn đến tình trạng thiếu hụt nghiêm trọng bảo vệ thực sự.

marsbit06/23 08:57

Tại sao bảo hiểm DeFi không được ai mua?

marsbit06/23 08:57

Bot MEV Khét Tiếng JaredFromSubway Bị Rút Cạn 7,5 Triệu Đô La

Một trong những bot MEV khét tiếng nhất trên Ethereum, có biệt danh JaredFromSubway, đã bị rút cạn khoảng 7,5 triệu USD sau khi các hợp đồng do kẻ tấn công kiểm soát đánh lừa hệ thống tự động của nó cấp phê duyệt token. Theo báo cáo từ công ty an ninh Blockaid, kẻ tấn công đã chuẩn bị bẫy bằng cách sử dụng các đường giao dịch hoặc hợp đồng giả mạo mà bot này diễn giải là cơ hội có lời. Một khi các phê duyệt được cấp, kẻ tấn công đã sử dụng chúng để chuyển tài sản bao gồm WETH, USDC và USDT ra khỏi hợp đồng của bot. Sự cố này nhấn mạnh một rủi ro trong các hệ thống giao dịch tự động: tốc độ có thể trở thành điểm yếu. Các bot cạnh tranh trên thị trường MEV cần hành động nhanh hơn nhưng điều đó cũng đồng nghĩa chúng có thể dễ bị tổn thương bởi các bẫy được thiết kế cẩn thận. Bài học kỹ thuật rộng hơn là bất kỳ hệ thống nào cấp phê duyệt token dựa trên tương tác hợp đồng tự động đều cần các biện pháp bảo vệ nghiêm ngặt, mô phỏng và xác minh đường giao dịch. Vụ việc có vẻ là một cuộc khai thác nhắm mục tiêu vào logic của một bot giao dịch cụ thể, không phải là sự kiện bảo mật ảnh hưởng đến toàn mạng lưới Ethereum. Tác động chính có khả năng là về mặt danh tiếng đối với cơ sở hạ tầng MEV và đối với các nhà vận hành bot, những người giờ đây cần xem xét logic phê duyệt của họ một cách thận trọng hơn.

bitcoinist06/22 15:32

Bot MEV Khét Tiếng JaredFromSubway Bị Rút Cạn 7,5 Triệu Đô La

bitcoinist06/22 15:32

Thợ săn trở thành con mồi, MEV Bot kiếm nhiều tiền nhất bị hack

Tài khoản MEV Bot nổi tiếng Jaredfromsubway.eth vừa bị tấn công có chủ đích trên chuỗi, thiệt hại ước tính hơn 7,5 triệu USD. Đây không phải là lỗ hổng hợp đồng thông thường mà là một cuộc tấn công "bẫy mật ngược MEV" được thiết kế đặc biệt để khai thác logic hoạt động của bot MEV. Kẻ tấn công đã dành vài tuần để triển khai 66 hợp đồng token và nhóm thanh khoản giả mạo, ngụy trang chúng thành các tài sản chính như WETH, USDC. Chúng tạo ra tín hiệu chênh lệch giá ảo để thu hút bot. Khi bot Jaredfromsubway.eth phát hiện và thực hiện giao dịch "kiếm lời", nó đã vô tình cấp quyền cho một hợp đồng phụ do kẻ tấn công kiểm soát. Do quyền này không bị thu hồi kịp thời, kẻ tấn công đã có thể lợi dụng để chuyển đi toàn bộ ETH, USDC, USDT của bot chỉ trong một giao dịch. Jaredfromsubway.eth được biết đến là một trong những bot MEV hoạt động tích cực và kiếm lời nhiều nhất trên mạng Ethereum, chuyên thực hiện các chiến lược như "tấn công kẹp sandwich" để khai thác lợi nhuận từ việc sắp xếp giao dịch. Ước tính, bot này đã thu về hàng chục triệu USD lợi nhuận MEV. Sự kiện này báo động về việc các mối đe dọa bảo mật trong crypto ngày càng tinh vi, khi ngay cả những "kẻ săn mồi" hàng đầu trên chuỗi cũng có thể trở thành mục tiêu bị khai thác bởi những kế hoạch phức tạp được thiết kế dài hạn. Sau vụ việc, một tài khoản X giả mạo Jaredfromsubway.eth đã xuất hiện với tuyên bố thưởng 1 triệu USD để thu hồi tiền, các nhà phát triển cảnh báo đây có thể là chiêu trò lừa đảo mới.

marsbit06/21 09:23

Thợ săn trở thành con mồi, MEV Bot kiếm nhiều tiền nhất bị hack

marsbit06/21 09:23

Thợ săn bị vây bắt, MEV Bot kiếm tiền giỏi nhất bị hack

Bài viết gốc từ Odaily Planet Daily, tác giả Azuma, báo cáo về vụ tấn công lớn nhắm vào MEV Bot nổi tiếng Jaredfromsubway.eth trên mạng Ethereum. Địa chỉ này đã bị thiệt hại hơn 7,5 triệu USD do một cuộc tấn công "bẫy ngược MEV" được thiết kế đặc biệt. Thay vì khai thác lỗ hổng thông thường, kẻ tấn công đã triển khai một chiến dịch kéo dài hàng tuần, tạo ra 66 hợp đồng token và nhóm thanh khoản giả mạo để bắt chước các tài sản chính như WETH, USDC, USDT. Chúng tạo ra tín hiệu chênh lệch giá có vẻ có lợi nhuận để dụ bot MEV tự động nhận diện và thực hiện giao dịch. Trong quá trình này, bot đã cấp quyền cho một hợp đồng phụ trợ do kẻ tấn công kiểm soát. Việc ủy quyền không bị thu hồi kịp thời đã tạo ra lỗ hổng, cho phép kẻ tấn công trong một giao dịch duy nhất đã chuyển đi toàn bộ ETH, USDC, USDT của bot. Jaredfromsubway.eth là một trong những MEV Bot hoạt động mạnh nhất và gây tranh cãi nhất trên Ethereum, chuyên thực hiện các chiến lược như "tấn công kẹp" (sandwich attack) để kiếm lợi nhuận từ việc sắp xếp giao dịch. Ước tính nó đã kiếm được hàng chục triệu USD. Ngay cả một người sáng lập Ethereum là Vitalik Buterin cũng từng bị bot này "chèn" giao dịch. Sự kiện này gióng lên hồi chuông cảnh báo về sự gia tăng của các mối đe dọa bảo mật trong crypto. Ngay cả những "kẻ săn mồi" hàng đầu như MEV Bot cũng có thể trở thành mục tiêu của các cuộc tấn công tinh vi được thiết kế dựa trên chính logic hoạt động của chúng. Sau vụ việc, một tài khoản X giả mạo đã đổi tên thành Jaredfromsubway.eth và tuyên bố treo thưởng 1 triệu USD để lấy lại tiền, nhưng các nhà phát triển cảnh báo đây là tài khoản lừa đảo, không phải chính chủ, và người dùng cần hết sức cảnh giác.

Odaily星球日报06/21 09:16

Thợ săn bị vây bắt, MEV Bot kiếm tiền giỏi nhất bị hack

Odaily星球日报06/21 09:16

Lỗ Hổng Quản Trị Token Of Power Làm Thất Thoát 1.58 Triệu Đô WETH, TRM Cảnh Báo

Công ty phân tích blockchain TRM Labs đã báo cáo một vụ khai thác lỗ hổng quản trị trong giao thức Token of Power, dẫn đến thiệt hại khoảng 1,58 triệu USD giá trị WETH. Theo phân tích, kẻ tấn công lợi dụng điểm yếu trong thiết lập DAO Aragon của giao thức: việc không có timelock (khóa thời gian). Điều này cho phép chúng đề xuất, bỏ phiếu và thực thi một hành động quản trị độc hại chỉ trong một khối duy nhất. Được tài trợ ban đầu bằng 662 ETH rút từ Tornado Cash, kẻ tấn công đã mua đủ token TOP để giành quyền biểu quyết đa số, đúc mới 10 tỷ TOP, rồi hoán đổi số token này lấy WETH thông qua một pool Balancer trước khi chuyển tiền trở lại Tornado Cash. Sự kiện này là một minh chứng rõ ràng về rủi ro bảo mật từ thiết kế quản trị. Timelock có vai trò quan trọng trong việc tạo ra khoảng thời gian phản ứng cho cộng đồng trước khi một đề xuất được thực thi. Vụ việc cũng nhắc nhở người dùng DeFi rằng rủi ro không chỉ nằm ở lỗi mã hợp đồng thông minh, mà còn ở các tham số quản trị, kiểm soát kho bạc và ngưỡng biểu quyết. Cộng đồng hiện đang theo dõi động thái tiếp theo của số tiền bị đánh cắp và các thông tin khắc phục từ giao thức, Aragon hoặc các nhà cung cấp thanh khoản bị ảnh hưởng. Báo cáo dựa trên thông tin từ báo cáo bảo mật on-chain của TRM Labs.

bitcoinist06/14 21:33

Lỗ Hổng Quản Trị Token Of Power Làm Thất Thoát 1.58 Triệu Đô WETH, TRM Cảnh Báo

bitcoinist06/14 21:33

Sự kiện Raydium bị đánh cắp gợi mở: Mối nguy mới trong DeFi, ẩn giấu trong các hợp đồng cũ bị lãng quên

Bài viết cảnh báo về một rủi ro bảo mật mới nổi trong lĩnh vực DeFi: các hợp đồng thông minh cũ đã ngừng hoạt động nhưng vẫn tồn tại trên chuỗi. Sự kiện Raydium mất 1.34 triệu USD gần đây là một ví dụ, khi hacker khai thác lỗ hổng trong nhóm thanh khoát AMM V3 cũ của giao thức, vốn đã bị bỏ quên sau khi Serum đóng cửa. Bài báo chỉ ra rằng đây không phải là trường hợp cá biệt. Từ tháng 3/2025, đã có ít nhất 8 vụ tấn công tương tự nhắm vào các hợp đồng cũ bị bỏ quên, gây tổng thiệt hại khoảng 22.5 triệu USD. Vấn đề cốt lõi nằm ở việc quản lý vòng đời hợp đồng kém: các dự án thường chỉ tuyên bố ngừng hỗ trợ một phiên bản trên tài liệu mà không thực sự vô hiệu hóa hợp đồng, chuyển tài sản còn sót lại, hoặc liên tục giám sát chúng. Những "nghĩa trang hợp đồng" này trở thành mục tiêu dễ dàng cho hacker. Để giải quyết, bài viết đề xuất cần phân loại "hợp đồng ma" (zombie contract) thành một nhóm rủi ro riêng biệt trong thống kê an ninh và thiết lập quy trình tiêu chuẩn gồm 7 bước để tắt hợp đồng an toàn, bao gồm thu hồi ủy quyền, chuyển tài sản, vô hiệu hóa chức năng chính và giám sát liên tục. Việc này phải được coi trọng ngang với kiểm tra mã nguồn.

Foresight News06/13 06:18

Sự kiện Raydium bị đánh cắp gợi mở: Mối nguy mới trong DeFi, ẩn giấu trong các hợp đồng cũ bị lãng quên

Foresight News06/13 06:18

Beosin: Tháng 5 ghi nhận 36 sự kiện bảo mật chính, tổng thiệt hại vượt quá 76 triệu USD

Theo dữ liệu giám sát từ nền tảng Beosin Alert, tháng 5/2026 ghi nhận 36 sự kiện bảo mật nghiêm trọng với tổng thiệt hại khoảng 76,15 triệu USD. Nguyên nhân chính đến từ lỗ hổng hợp đồng thông minh (17 vụ) và rò rỉ khóa riêng tư (10 vụ). Sự cố lớn nhất nhắm vào cầu nối Verus-Ethereum Bridge, gây thiệt hại 11,58 triệu USD do lỗi xác minh thông điệp cross-chain. Echo Protocol cũng bị mất ~5,13 triệu USD sau vụ rò rỉ khóa riêng tư. Các cầu nối (bridge) chịu tổn thất tài chính lớn nhất (27,995 triệu USD), trong khi các dự án DeFi bị tấn công nhiều nhất (14 lần). Ethereum là blockchain bị ảnh hưởng nặng nề nhất với thiệt hại trên 48,76 triệu USD, tiếp theo là BNB Chain, Monad và TON. Bài viết phân tích chi tiết ba sự kiện tiêu biểu: lỗi xác minh trên Verus Bridge, lỗi tham số chữ ký trên Trusted Volumes và vụ rò rỉ khóa đa ký (multisig) tại StablR - minh họa cho những rủi ro trong vận hành và quản trị. Xu hướng cho thấy mối đe dọa bảo mật Web3 đang mở rộng sang nhiều mặt trận: mã nguồn, cơ sở hạ tầng, quy trình vận hành và yếu tố con người. Các dự án cần nâng cao an ninh tổng thể, kiểm tra lại các hợp đồng cũ, thiết lập cơ chế đa ký an toàn và có kế hoạch ứng phó sự cố. Người dùng nên thường xuyên kiểm tra và thu hồi các ủy quyền (approval) không cần thiết.

marsbit06/10 09:28

Beosin: Tháng 5 ghi nhận 36 sự kiện bảo mật chính, tổng thiệt hại vượt quá 76 triệu USD

marsbit06/10 09:28

Humanity bị đánh cắp 31 triệu USD, một khóa riêng tư khiến giá token giảm 90%

Ngày 9/6, dự án danh tính số Humanity Protocol đã bị tấn công an ninh nghiêm trọng do rò rỉ khóa cá nhân của một thành viên quỹ, dẫn đến thiệt hại ước tính hơn 31 triệu USD. Hàng trăm ví chứa token H đã bị xâm phạm. Kẻ tấn công đã đúc thêm 100 triệu token H và bán tháo, khiến giá token H giảm hơn 90%, từ khoảng 0,7 USDT xuống mức thấp nhất là 0,052 USDT. Vốn hóa thị trường của dự án sụt giảm từ 2 tỷ USD xuống còn khoảng 35,7 triệu USD. Người sáng lập Terence Kwok đã xác nhận sự cố và khuyến cáo người dùng tạm thời không tương tác với cầu nối cross-chain hoặc các pool thanh khoản của Humanity. Đội ngũ đang hợp tác với các chuyên gia bảo mật và sàn giao dịch để xử lý. Humanity Protocol, được thành lập năm 2024, hướng tới xây dựng mạng lưới danh tính số phi tập trung sử dụng sinh trắc học lòng bàn tay và zk-proof. Dự án đã huy động được 50 triệu USD từ các quỹ như Pantera Capital và Animoca Brands, đạt định giá kỳ lân. Tuy nhiên, dự án từng vấp phải tranh cãi khi bị phát hiện có tới 88% trong số 9 triệu ID người dùng có thể là robot, và bị nghi ngờ là "dự án Trung Quốc đội lốt" với mã nguồn chứa hình ảnh từ một nhà cung cấp thiết bị kiểm soát ra vào. Đây không phải là thất bại đầu tiên của Kwok. Trước đó, startup Tink Labs của ông đã tiêu tan 170 triệu USD vốn đầu tư và phá sản vào năm 2020. Vụ việc này một lần nữa làm nổi bật vấn đề quản lý khóa cá nhân trong ngành công nghiệp tiền mã hóa, một lỗi bảo mật cơ bản nhưng có thể gây hậu quả thảm khốc, đặc biệt đối với một dự án vốn đã lung lay niềm tin từ cộng đồng.

Foresight News06/09 03:19

Humanity bị đánh cắp 31 triệu USD, một khóa riêng tư khiến giá token giảm 90%

Foresight News06/09 03:19

活动图片