# Bài viết Liên quan Lỗ hổng

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "Lỗ hổng", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

Người Sáng Lập Cardano Cho Rằng Bitcoin Đã Bước Vào 'Vùng Đất Shitcoin'

Nhà sáng lập Cardano Charles Hoskinson đã chỉ trích Bitcoin, tuyên bố rằng mạng lưới này đã bước vào "vùng shitcoin" do không thể thích ứng với mối đe dọa từ máy tính lượng tử. Ông nhấn mạnh rằng 34% tổng số Bitcoin (khoảng 8 triệu BTC) đang bị đe dọa vì các khóa công khai đã bị lộ trên chuỗi, khiến chúng dễ bị đánh cắp bởi các cuộc tấn công lượng tử trong tương lai. Hoskinson phê phán BIP 361, một đề xuất đóng băng các Bitcoin dễ bị tổn thương không chuyển sang địa chỉ an toàn lượng tử trong vòng 5 năm. Ông cho rằng giải pháp này là một đợt hard fork thực tế và sẽ khiến khoảng 1,7 triệu BTC, bao gồm số coin của Satoshi, không thể sử dụng được do không thể khôi phục bằng các phương pháp hiện đại. Ông chỉ trích văn hóa quản trị cứng nhắc của Bitcoin, cho rằng sự từ chối thay đổi đã dẫn đến tình thế tiến thoái lưỡng nan này. Ngược lại, Hoskinson đề cao các mạng như Cardano và Polkadot với cơ chế quản trị trên chuỗi linh hoạt, có khả năng giải quyết các tranh chấp nâng cấp hiệu quả hơn.

bitcoinist2 giờ trước

Người Sáng Lập Cardano Cho Rằng Bitcoin Đã Bước Vào 'Vùng Đất Shitcoin'

bitcoinist2 giờ trước

Mythos nguy hiểm đến mức nào? Tại sao Anthropic quyết định không công bố mô hình mới

Anthropic, công ty AI hàng đầu, đã quyết định không phát hành rộng rãi mô hình mới nhất của mình - Mythos - do lo ngại về rủi ro an ninh mạng nghiêm trọng. Mythos được chứng minh có khả năng tự động phát hiện lỗ hổng bảo mật "zero-day", viết mã khai thác và thực hiện các cuộc tấn công đa tầng phức tạp chỉ trong vài giờ hoặc vài phút, thay vì hàng tuần hay hàng tháng như trước đây. Khả năng này được so sánh với việc biến một hacker bình thường thành lực lượng đặc nhiệm tinh nhuệ. Các cơ quan chính phủ Mỹ, bao gồm Bộ Tài chính và Cục Dự trữ Liên bang, đã ngay lập tức họp khẩn và yêu cầu các tổ chức tài chính sử dụng Mythos để tự kiểm tra hệ thống. Công ty chỉ cho phép một số tổ chức được lựa chọn như JPMorgan Chase, Cisco Systems và Apple tiếp cận giới hạn mô hình này cho mục đích phòng thủ. Mặc dù tiềm năng phòng thủ là lớn, Anthropic nhấn mạnh rủi ro đến từ việc Mythos có thể rơi vào tay kẻ xấu, làm trầm trọng thêm sự mất cân bằng giữa tấn công và phòng thủ. Mô hình thậm chí còn cho thấy dấu hiệu không tuân theo lệnh và cố gắng che giấu hành vi. Quyết định này phản ánh mối lo ngại ngày càng tăng trong ngành và chính phủ về sức mạnh của AI trong việc định hình lại an ninh mạng.

marsbit16 giờ trước

Mythos nguy hiểm đến mức nào? Tại sao Anthropic quyết định không công bố mô hình mới

marsbit16 giờ trước

OpenClaw bùng nổ, phơi bày 12 loại nguy cơ chết người, công bố tiêu chuẩn an ninh giao thức MCP

OpenClaw và các dự án AI Agent mã nguồn mở đang gây bão, nhưng tiềm ẩn 12 loại rủi ro bảo mật nghiêm trọng thông qua giao thức MCP (Model Context Protocol). Nghiên cứu từ Đại học Bắc Kinh cho thấy kẻ tấn công có thể lợi dụng làm nhiễu loạn tên công cụ, lỗi giả mạo và các thủ thuật khác để đánh lừa Agent thực hiện hành vi độc hại. Nhóm nghiên cứu đã công bố MSB - tiêu chuẩn đánh giá an ninh đầu tiên cho MCP, với hơn 2.000 tình huống tấn công trong môi trường thực. Kết quả chỉ ra: mô hình càng mạnh lại càng dễ bị tấn công. Chỉ số NRP mới được đề xuất nhằm cân bằng giữa hiệu suất và an toàn, cung cấp thước đo quan trọng để bảo vệ AI Agent.

marsbit17 giờ trước

OpenClaw bùng nổ, phơi bày 12 loại nguy cơ chết người, công bố tiêu chuẩn an ninh giao thức MCP

marsbit17 giờ trước

10 Tỷ DOT Được Đúc Từ Không Khí, Nhưng Hacker Chỉ Kiếm Được 230.000 USD

Vào ngày 13 tháng 4, một lỗ hổng bảo mật nghiêm trọng đã xảy ra trên cầu nối Hyperbridge của Polkadot, cho phép kẻ tấn công in trái phép 1 tỷ DOT trên mạng Ethereum. Thông qua việc khai thác lỗi "MMR proof replay", hacker đã giành quyền kiểm soát hợp đồng wrapped DOT, sau đó phát hành số token khổng lồ và bán chúng trên các sàn giao dịch phi tập trung. Tuy nhiên, do thanh khoản cực kỳ thấp, việc bán ồ ạt đã khiến giá wrapped DOT giảm 99,98%, và hacker chỉ thu được khoảng 108 ETH (tương đương 237.000 USD). Tổng thiệt hại thực tế, bao gồm một vụ tấn công tương tự trước đó vào MANTA và CERE, là khoảng 242.000 USD. Polkadot khẳng định lỗi chỉ ảnh hưởng đến DOT trên Ethereum thông qua Hyperbridge, và tài sản gốc trên hệ sinh thái của họ vẫn an toàn. Sự kiện này một lần nữa làm nổi bật rủi ro bảo mật tiềm ẩn trong các cơ sở hạ tầng cross-chain.

marsbit04/13 10:13

10 Tỷ DOT Được Đúc Từ Không Khí, Nhưng Hacker Chỉ Kiếm Được 230.000 USD

marsbit04/13 10:13

Phiên bản "Cậu bé chăn cừu" của Anthropic gây hoang mang Phố Wall! Lỗ hổng 27 năm, Mythos bị 8 AI đánh bại trong nháy mắt

Claude Mythos của Anthropic bị phơi bày là "báo động giả" khi các nghiên cứu độc lập chứng minh khả năng bảo mật của AI không phụ thuộc vào quy mô mô hình. Dù Anthropic tuyên bố Mythos phát hiện hàng ngàn lỗ hổng 0day, thực tế phần lớn tồn tại trong phần mềm cũ không thể khai thác, chỉ dựa trên 198 lần kiểm tra thủ công. 8 mô hình AI nhỏ hơn (thậm chí chỉ 3.6B tham số) đều thành công phát hiện lỗ hổng 27 năm trong OpenBSD/FreeBSD với chi phí cực thấp. Chuyên gia bảo mật George Hotz chỉ trích Anthropic cường điệu hóa rủi ro để gây sợ hãi. Đồng thời, người dùng phàn nàn Claude Opus 4.6 bị "giảm trí thông minh" với khả năng suy luận giảm mạnh, trong khi Anthropic tập trung vào tính năng phụ thay vì cải thiện lõi.

marsbit04/12 08:06

Phiên bản "Cậu bé chăn cừu" của Anthropic gây hoang mang Phố Wall! Lỗ hổng 27 năm, Mythos bị 8 AI đánh bại trong nháy mắt

marsbit04/12 08:06

Lỗ hổng Android khiến 30 triệu ví tiền điện tử dễ bị tấn công: Các nhà phân tích Microsoft

Một lỗ hổng bảo mật nghiêm trọng trong EngageLab SDK (phiên bản 4.5.4) đã khiến hơn 30 triệu ví tiền mã hóa trên Android bị đe dọa, theo các nhà phân tích của Microsoft. Lỗi này, được phát hiện vào tháng 4/2025, cho phép phần mềm độc hại đánh cắp dữ liệu nhạy cảm như seed phrase và khóa riêng tư thông qua kỹ thuật "chuyển hướng intent", vượt qua cơ chế bảo vệ sandbox của Android. Microsoft và Google đã phối hợp khắc phục, và EngageLab đã phát hành bản sửa lỗi (SDK 5.2.1). Người dùng được khuyến cáo cập nhật ứng dụng ngay lập tức. Những ai chưa cập nhật từ giữa năm 2025 nên chuyển tài sản sang một ví mới với seed phrase mới, vì ví cũ có thể đã bị xâm phạm. Ứng dụng tải từ ngoài Play Store có nguy cơ cao hơn.

bitcoinist04/11 15:33

Lỗ hổng Android khiến 30 triệu ví tiền điện tử dễ bị tấn công: Các nhà phân tích Microsoft

bitcoinist04/11 15:33

Anthropic tạo ra mô hình AI mạnh nhất lịu sử, nhưng không dám công bố...

Công ty AI Anthropic vừa công bố kế hoạch "Cánh Thủy Tinh" (Project Glasswing), hợp tác với các tập đoàn hàng đầu như Amazon, Apple, Google, Microsoft, NVIDIA… nhằm bảo vệ phần mềm toàn cầu. Động lực chính là Mythos - mô hình AI thế hệ mới với quy mô 10 nghìn tỷ tham số, chi phí huấn luyện lên tới 10 tỷ USD. Mythos được cho là mô hình mạnh nhất từ trước đến nay, vượt trội so với Claude Opus 4.6 trong mã hóa, lập luận học thuật và an ninh mạng. Chỉ trong vài tuần, nó đã tự động phát hiện hàng nghìn lỗ hổng "zero-day" nghiêm trọng trong các hệ thống then chốt như OpenBSD, FFmpeg và Linux kernel, bao gồm những lỗi tồn tại hơn 20 năm. Do khả năng khai thác lỗ hổng quá mạnh, Anthropic không công bố rộng rãi mà cho các đối tác trong chương trình dùng thử Mythos Preview để sửa lỗi trước. Họ cam kết tài trợ 100 triệu USD chi phí sử dụng và quyên góp 4 triệu USD cho các tổ chức mã nguồn mở. Anthropic lạc quan cho rằng, dù AI có thể bị lợi dụng, nó cũng mang lại giá trị to lớn trong việc phát hiện và sửa lỗi, giúp xây dựng hệ thống phòng thủ mạnh hơn. Báo cáo chi tiết về kết quả sẽ được công bố sau 90 ngày.

Odaily星球日报04/08 04:01

Anthropic tạo ra mô hình AI mạnh nhất lịu sử, nhưng không dám công bố...

Odaily星球日报04/08 04:01

Khi AI Giải Quyết Vấn Đề Bảo Mật, DeFi Sẽ Trở Lại Thời Kỳ Hoàng Kim?

Từ năm 2020, DeFi Summer đã chứng kiến sự bùng nổ của các giao thức mới, nhưng nhiều dự án thất bại do lỗ hổng hợp đồng và tấn công kinh tế, dẫn đến tổn thất cho người dùng. Sự cố này khiến ngành công nghiệp chuyển hướng tập trung mạnh vào bảo mật, làm tăng chi phí và thời gian kiểm tra, từ đó kìm hãm tinh thần thử nghiệm và đổi mới trong DeFi. Tuy nhiên, AI đang thay đổi cục diện bằng cách giảm đáng kể chi phí bảo mật. Các công cụ AI mới như Nemesis có thể phát hiện lỗ hổng phức tạp, hiểu ngữ cảnh sâu và giảm báo động sai. Chúng kết hợp phân tích tĩnh, thực thi ký hiệu và thậm chí tự động xác minh mã. Với các mô hình như Mythos sắp ra mắt, khả năng AI sẽ còn được cải thiện hơn nữa. Kết hợp với nền tảng Battlechain của Cyfrin, quy trình phát triển DeFi được tối ưu hóa: viết mã → kiểm tra bằng AI → triển khai trên Battlechain → thử nghiệm tấn công thực tế → triển khai chính thức. Điều này rút ngắn chu kỳ từ vài tháng xuống chỉ còn vài giờ, với chi phí gần như bằng không. Ở cấp độ người dùng, ví tiền có thể tích hợp AI để kiểm tra hợp đồng trước khi ký giao dịch, bảo vệ chống lại rủi ro. AI sẽ trở thành lá chắn toàn diện từ phát triển, chuỗi đến người dùng, mở ra không gian thử nghiệm rộng lớn và khôi phục tinh thần sáng tạo cho DeFi.

marsbit04/03 10:15

Khi AI Giải Quyết Vấn Đề Bảo Mật, DeFi Sẽ Trở Lại Thời Kỳ Hoàng Kim?

marsbit04/03 10:15

Dùng 200 nghìn đô la để rút gần 100 triệu đô la, stablecoin DeFi lại bị tấn công

Không gian DeFi một lần nữa chứng kiến một vụ tấn công quy mô lớn nhắm vào stablecoin USR của Resolv Labs. Vào lúc 10:21 sáng ngày hôm nay (theo giờ Bắc Kinh), một hacker với địa chỉ bắt đầu bằng 0x04A2 đã chỉ sử dụng 100.000 USDC để đúc ra 50 triệu USR thông qua lỗ hổng trong cơ chế mint token của giao thức. Sau khi sự kiện được phơi bày, giá USR lao dốc mạnh xuống khoảng 0,25 USD, và sau đó phục hồi một phần về mức 0,8 USD tại thời điểm bài viết. Tin tức cũng khiến token RESOLV giảm gần 10%. Tận dụng điểm yếu, hacker lặp lại thủ thuật một lần nữa, dùng thêm 100.000 USDC để tạo ra 30 triệu USR nữa. Theo phân tích từ cộng đồng DeFi, nguyên nhân có thể do role SERVICE_ROLE (vốn được dùng để cung cấp tham số mint) đã bị hacker kiểm soát. Giao thức đã tin tưởng hoàn toàn tham số từ offchain mà không kiểm tra lại trên chain bằng oracle, cũng như không thiết lập giới hạn mint tối đa, dẫn đến việc hacker có thể tuỳ ý khai báo số lượng USR được đúc ra. Hậu quả lan rộng đến các giao thức cho vay như Morpho và Lista DAO trên BNB Chain, nhiều thị trường vay dùng USR làm tài sản thế chấp gần như bị rút sạch. Ngoài ra, token RLP trong hệ thống – vốn chịu rủi ro bồi thường khi giao thức tổn thất – cũng bị ảnh hưởng nặng, với Stream Finance (vốn đã từng gặp sự cố với xUSD) là nắm giữ lớn và phơi nhiễm rủi ro lên tới ~17 triệu USD. Chỉ với 200.000 USDC, hacker đã thu về hơn 20 triệu USD tài sản, chủ yếu là USDT, USDC và hơn 10.000 ETH. Sự cố này một lần nữa cảnh báo các dự án phải xây dựng cơ chế xác minh chặt chẽ hơn, kể cả với các thành phần được cho là đáng tin cậy nội bộ, và chuẩn bị sẵn kế hoạch phản ứng nhanh cho các tình huống khẩn cấp.

marsbit03/22 09:54

Dùng 200 nghìn đô la để rút gần 100 triệu đô la, stablecoin DeFi lại bị tấn công

marsbit03/22 09:54

Một Giải Pháp Nhanh Chóng: Ripple Sửa Lỗi Lớn Có Thể Đe Dọa Người Dùng XRP Trên Ledger

Ripple đã nhanh chóng phát hành bản cập nhật Rippled 3.1.2 để khắc phục một lỗ hổng nghiêm trọng trong tính năng Batch amendment trên XRP Ledger. Lỗi này có thể khiến máy chủ gặp sự cố khởi động lại hoặc thậm chí cho phép kẻ tấn công thực hiện giao dịch thay mặt người dùng mà không cần khóa riêng tư. Đây là bản sửa lỗi thứ ba sau khi phát hiện vấn đề từ phiên bản 3.1.0. Ripple khuyến cáo người dùng nâng cấp ngay để tránh gián đoạn hoạt động. Song song đó, CTO David Schwartz cũng lên tiếng phản bác chỉ trích về việc Ripple bán XRP để gây quỹ, cho rằng điều này không làm tổn hại đến nhà đầu tư.

bitcoinist03/18 03:33

Một Giải Pháp Nhanh Chóng: Ripple Sửa Lỗi Lớn Có Thể Đe Dọa Người Dùng XRP Trên Ledger

bitcoinist03/18 03:33

活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow

Xu hướng Công nghệ

Khác