# Bài viết Liên quan Lỗ hổng

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "Lỗ hổng", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

Lỗ hổng CrossCurve Bridge Rút Cạn Khoảng 3 Triệu USD, Tái Hiện Rủi Ro Liên Chuỗi

CrossCurve, một giao thức thanh khoản đa chuỗi, đã bị tấn công khai thác vào ngày 2/2, với thiệt hại ước tính khoảng 3 triệu USD trên nhiều mạng lưới. Sự cố xảy ra do một lỗ hổng trong hợp đồng thông minh cho phép kẻ tấn công giả mạo một thông điệp liên chuỗi để bỏ qua xác thực và mở khóa token trái phép. CrossCurve đã khuyến cáo người dùng tạm dừng mọi tương tác và điều tra sự việc. Giám đốc điều hành Boris Povar đã công bố mười địa chỉ Ethereum nhận tiền và đề nghị trả thưởng 10% nếu hoàn trả tài sản trong vòng 72 giờ, đồng thời cảnh báo sẽ có hành động pháp lý. Sự kiện này một lần nữa làm nổi bật rủi ro bảo mật vốn có của các cầu nối liên chuỗi, nơi tập trung thanh khoản và chỉ một lỗi xác minh có thể dẫn đến tổn thất lớn.

ccn.com02/02 09:43

Lỗ hổng CrossCurve Bridge Rút Cạn Khoảng 3 Triệu USD, Tái Hiện Rủi Ro Liên Chuỗi

ccn.com02/02 09:43

Một Vụ "Tự Nổ" Được Thiết Kế Tinh Vi: Phân Tích Sự Kiện Tấn Công PGNLZ

Phân tích sự kiện tấn công PGNLZ: Vào ngày 27/1/2026, tin tặc đã khai thác lỗ hổng trong dự án PGNLZ trên BNB Smart Chain, gây thiệt hại khoảng 100.000 USD. Tin tặc sử dụng flash loan từ Moolah Protocol để vay 1.059 BTCB, sau đó thế chấp trên Venus Protocol để vay 30.000.000 USDT. Tiếp theo, họ chuyển đổi 23.337.952 USDT lấy 982.506 PGNLZ trên PancakeSwap rồi chuyển số token này vào ví 0xdead (hủy token). Hành động này làm thay đổi tỷ lệ trong pool, đẩy giá PGNLZ từ 0,1 USDT lên 5.528 USDT. Tin tặc sau đó gọi hàm swapExactTokensForTokensSupportingFeeOnTransferTokens, kích hoạt cơ chế tính phí _handleSellTax và _executeBurnFromLP, khiến LP Pool bị đốt gần như toàn bộ token (chỉ còn 0,00000001 PGNLZ). Giá token tăng vọt 40 tỷ lần, cho phép tin tặc rút toàn bộ pool, trả lại flash loan và thu lợi 100.000 USD. Nguyên nhân lỗi đến từ mô hình kinh tế giảm phát không được kiểm tra kỹ, cho phép thao túng giá. Khuyến nghị dự án nên kiểm tra chéo hợp đồng với nhiều đơn vị audit trước khi triển khai.

marsbit01/28 12:16

Một Vụ "Tự Nổ" Được Thiết Kế Tinh Vi: Phân Tích Sự Kiện Tấn Công PGNLZ

marsbit01/28 12:16

Một lỗ hổng tính toán khiến Truebit bị đánh cắp 8.535 ETH

Ngày 8/1/2026, giao thức Truebit Protocol đã bị tấn công, dẫn đến thiệt hại 8.535,36 ETH (tương đương 26,44 triệu USD). Nguyên nhân là một lỗ hổng tràn số nguyên trong hàm tính toán giá mua token TRU, cho phép kẻ tấn công thao túng giá và mua một lượng lớn TRU với chi phí gần như bằng 0, sau đó đốt chúng để rút về số ETH khổng lồ. Kẻ tấn công đã thực hiện 4 vòng giao dịch, mỗi vòng gọi ba hàm: `getPurchasePrice`, `0xa0296215` (để đúc token), và `0xc471b10b` (để hủy token và rút ETH). Bằng cách nhập một giá trị `_amountIn` cực lớn, phép tính `v12 + v9` trong hợp đồng (viết bằng Solidity ^0.6.10, không kiểm tra tràn số) đã bị tràn, dẫn đến kết quả bằng 0. Điều này cho phép kẻ tấn công đúc token mà không cần trả phí, sau đó hủy chúng để nhận lại ETH. Sự kiện này nhấn mạnh rủi ro từ các hợp đồng thông minh cũ không được kiểm tra lỗi tràn số. Các nhóm bảo mật khuyến nghị các dự án nên tiến hành kiểm toán lại, nâng cấp hợp đồng và thiết lập giám sát on-chain để phát hiện sớm các giao dịch bất thường.

marsbit01/13 07:38

Một lỗ hổng tính toán khiến Truebit bị đánh cắp 8.535 ETH

marsbit01/13 07:38

Tổn thất hơn 26 triệu USD, Phân tích sự kiện bảo mật Truebit Protocol và Theo dõi dòng tiền bị đánh cắp

Vào ngày 9 tháng 1, giao thức Truebit đã bị tấn công vào một hợp đồng thông minh chưa được mở mã nguồn từ 5 năm trước, dẫn đến tổn thất 8.535,36 ETH (tương đương khoảng 26,4 triệu USD). Nhóm bảo mật Beosin đã phân tích sự cố và theo dõi dòng tiền. Kẻ tấn công đã khai thác lỗ hổng số học trong hàm chưa được mở mã nguồn (có thể là lỗi cắt ngắn số nguyên) để đúc một lượng lớn token TRU với giá trị giao dịch cực thấp, sau đó bán lại token để rút ETH từ hợp đồng. Quy trình này được lặp lại nhiều lần cho đến khi gần như toàn bộ ETH trong hợp đồng bị rút sạch. Phần lớn số tiền bị đánh cắp hiện được lưu trữ tại hai địa chỉ: 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4.267,09 ETH) và 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4.001 ETH). Địa chỉ tấn công ban đầu vẫn còn giữ 267,71 ETH. Tất cả các địa chỉ liên quan đã được Beosin đánh dấu là rủi ro cao. Sự cố này nhấn mạnh tầm quan trọng của việc kiểm toán bảo mật, nâng cấp hợp đồch cũ và tích hợp các cơ chế an toàn như tạm dừng khẩn cấp cho các hợp đồng chưa được mở mã nguồn.

marsbit01/09 10:48

Tổn thất hơn 26 triệu USD, Phân tích sự kiện bảo mật Truebit Protocol và Theo dõi dòng tiền bị đánh cắp

marsbit01/09 10:48

Giao thức Truebit xác nhận sự cố bảo mật khi tin tặc rút hơn 26 triệu USD ETH

Giao thức Truebit đã xác nhận một sự cố bảo mật nghiêm trọng vào ngày 7 tháng 1, khi một hợp đồng thông minh bị khai thác, dẫn đến thiệt hại hơn 8.500 ETH (tương đương khoảng 26-26,5 triệu USD). Lỗ hổng nằm trong hàm định giá `getPurchasePrice`, cho phép kẻ tấn công đúc token với số lượng lớn mà không cần trả phí, sau đó bán chúng để rút ETH từ giao thức. Phần lớn số tiền bị đánh cắp đã được chuyển qua Tornado Cash, cho thấy đây là một cuộc tấn công có chủ đích. Ngay lập tức, giá token TRU của Truebit đã giảm hơn 60%, từ khoảng 0,16 USD xuống còn 0,005 USD. Sự kiện này phản ánh xu hướng gia tăng các vụ tấn công nhắm vào lỗ hổng logic trong hợp đồng thông minh. Truebit cho biết họ đang phối hợp với cơ quan thực thi pháp luật và sẽ cập nhật thông tin qua các kênh chính thức. Hiện chưa có kế hoạch bồi thường cho người dùng.

ambcrypto01/08 22:50

Giao thức Truebit xác nhận sự cố bảo mật khi tin tặc rút hơn 26 triệu USD ETH

ambcrypto01/08 22:50

Đạo Luật GENIUS Có Chuyển 6,6 Nghìn Tỷ USD Từ Các Ngân Hàng Mỹ? Giới Chỉ Trích Cảnh Báo 'Lỗ Hổng' Stablecoin Có Thể Gây Tổn Hại Cho Doanh Nghiệp Nhỏ, Thế Chấp và Hơn Thế

Một liên minh các nhóm ngân hàng cảnh báo rằng lỗ hổng trong Đạo luật GENIUS có thể đe dọa 6,6 nghìn tỷ USD tiền gửi ngân hàng, gây tổn hại cho hoạt động cho vay hỗ trợ doanh nghiệp nhỏ và người mua nhà. Họ cho rằng một số công ty phát hành stablecoin đang gián tiếp trả lãi cho người nắm giữ thông qua các đối tác, vi phạm tinh thần của đạo luật. Tuy nhiên, các nhà vận động tiền điện tử bác bỏ cảnh báo này, coi đây là nỗ lực của các ngân hàng để hạn chế cạnh tranh. Hiệp hội Blockchain gọi đây là "nỗ lực cuối cùng của các ngân hàng lớn để chặn đối thủ". Các chính trị gia ủng hộ crypto cảnh báo việc thay đổi luật có thể đẩy người dùng sang các lựa chọn nước ngoài và gây hậu quả an ninh quốc gia. Thị trường stablecoin hiện đạt khoảng 317,8 tỷ USD, với các chương trình khuyến mãi đóng vai trò quan trọng trong việc thu hút người dùng. Cuộc tranh luận này có thể ảnh hưởng đến tốc độ tăng trưởng của lĩnh vực này trong tương lai.

ccn.com01/08 11:00

Đạo Luật GENIUS Có Chuyển 6,6 Nghìn Tỷ USD Từ Các Ngân Hàng Mỹ? Giới Chỉ Trích Cảnh Báo 'Lỗ Hổng' Stablecoin Có Thể Gây Tổn Hại Cho Doanh Nghiệp Nhỏ, Thế Chấp và Hơn Thế

ccn.com01/08 11:00

Đạo luật GENIUS có thể rút 6,6 nghìn tỷ USD từ các ngân hàng Mỹ – ĐÂY là cách thức

Đạo luật GENIUS năm 2025 vừa được thông qua đã vấp phải cảnh báo nghiêm trọng từ Viện Chính sách Ngân hàng (BPI) và các nhóm ngân hàng lớn. Họ cho rằng một lỗ hổng trong quy định về stablecoin có thể khiến hệ thống ngân hàng Mỹ mất tới 6,6 nghìn tỷ USD. Lỗ hổng này cho phép các sàn giao dịch tiền mã hóa hoạt động như ngân hàng bóng với lãi suất cao, dẫn đến nguy cơ dịch chuyển tiền gửi khỏi ngân hàng truyền thống. Dù đạo luật cấm các tổ chức phát hành stablecoin trả lãi, các công ty liên kết vẫn tìm cách lách luật bằng cách cung cấp lợi suất vượt trội. Điều này không chỉ ảnh hưởng đến bảng cân đối ngân hàng mà còn có thể làm giảm khả năng tiếp cận tín dụng cho các doanh nghiệp và hộ gia đình. Dù một số ý kiến (như nghị sĩ Marjorie Taylor Greene) phản đối đạo luật vì lo ngại về CBDC, chuyên gia Douglas Holtz-Eakin đề xuất cần một cách tiếp cận toàn diện hơn để tạo sân chơi bình đẳng cho tất cả các phương thức thanh toán. Với tổng vốn hóa thị trường stablecoin đạt 317,8 tỷ USD, việc đóng lỗ hổng lãi suất có thể khiến stablecoin mất sức hút như một kênh tiết kiệm và quay lại vai trò ban đầu là công cụ thanh toán. Quyết định của Quốc hội Mỹ sẽ định hình tương lai của hệ thống ngân hàng bóng trong không gian tiền mã hóa.

ambcrypto01/08 07:08

Đạo luật GENIUS có thể rút 6,6 nghìn tỷ USD từ các ngân hàng Mỹ – ĐÂY là cách thức

ambcrypto01/08 07:08

Mật khẩu lưu lượng mà 99% người sáng tạo Web3 bỏ qua

Hầu hết các nhà sáng tạo nội dung Web3 nghĩ rằng họ không giỏi kể chuyện, nhưng vấn đề thực sự không phải là thiếu sáng tạo — mà là thiếu sự tương phản. Tương phản là sự thay đổi, chuyển dịch từ "trước" sang "sau", từ "kỳ vọng" sang "thực tế", hoặc từ "niềm tin" sang "nhận thức". Nếu không có sự chuyển đổi này, nội dung sẽ trở nên đơn điệu và không gây ấn tượng. Trong không gian Web3 đầy ồn ào, nội dung thường trình bày một cách thẳng thừng: tính năng, lợi ích, lý do quan tâm. Nhưng bộ não con người dễ bị thu hút bởi những điều bất ngờ và cảm xúc chân thực. Ví dụ, thay vì nói "Solana nhanh và rẻ", hãy kể một trải nghiệm: "Tôi bấm gửi, chuyển trang, và nhận ra giao dịch đã hoàn thành". Sự tương phản thường khiến ta khó chịu vì nó đòi hỏi thừa nhận sai lầm hoặc sự nghi ngờ, nhưng chính điều đó tạo nên sự chân thật và kết nối. Để thêm tương phản, hãy đặt câu hỏi: "Điều gì đã thay đổi?" và đưa vào những khoảnh khắc dễ đồng cảm: một giả định sai, một kết quả bất ngờ, hay một quyết định nhỏ nhưng quan trọng. Tóm lại, trong thế giới Web3 phức tạp, sự tương phản giúp bạn nổi bật mà không cần phải la hét — chỉ cần đủ chân thành để thể hiện sự chuyển đổi.

marsbit12/29 16:29

Mật khẩu lưu lượng mà 99% người sáng tạo Web3 bỏ qua

marsbit12/29 16:29

Trust Wallet tiết lộ số nạn nhân bị hack và vấn đề bồi thường

Giám đốc Trust Wallet, Eowyn Chen, tiết lộ vụ tấn công vào ví tiền điện tử tuần trước đã ảnh hưởng đến hơn 2.500 tài khoản. Tuy nhiên, dịch vụ này nhận được số lượng đơn yêu cầu bồi thường gấp đôi, gây chậm trễ trong việc chi trả do cần thời gian để sàng lọc các yêu cầu gian lận. Vụ vi phạm xảy ra vào đêm 26/12, với thiệt hại ước tính 7 triệu USD. Trust Wallet đã xác định được 2.596 địa chỉ bị ảnh hưởng nhưng nhận tới khoảng 5.000 đơn, cho thấy nhiều trường hợp giả mạo hoặc trùng lặp. Quá trình xác minh đang được tiến hành song song với cuộc điều tra kỹ thuật, ưu tiên độ chính xác hơn tốc độ. Trust Wallet cũng đang hợp tác với Google và tiến hành kiểm tra an ninh thiết bị của nhân viên.

RBK-crypto12/29 10:50

Trust Wallet tiết lộ số nạn nhân bị hack và vấn đề bồi thường

RBK-crypto12/29 10:50

Hôm nay trong câu chuyện Web3, bạn không cần có sáng tạo

Tác giả Noir cho rằng vấn đề của nhiều người sáng tạo nội dung Web3 không phải là thiếu sáng tạo, mà là thiếu sự tương phản (contrast) trong cách kể chuyện. Tương phản chính là sự thay đổi giữa trạng thái "trước" và "sau", giữa kỳ vọng và thực tế, hoặc từ niềm tin sang nhận thức. Nếu không có sự chuyển đổi này, nội dung sẽ chỉ là thông tin đơn thuần, khó ghi dấu ấn. Web3 đầy ắp dữ liệu, tính năng và lời hứa, nhưng cách trình bày thường quá thẳng thừng và đơn điệu. Não bộ chỉ thực sự chú ý khi có điều bất ngờ xảy ra. Ví dụ, thay vì nói "Solana nhanh và rẻ", hãy kể: "Tôi vừa nhấn gửi, chuyển trang thì giao dịch đã hoàn thành". Sự tương phản thường khiến người kể khó chịu vì phải thừa nhận sai lầm hoặc sự ngờ nghệch của bản thân, nhưng chính điều này tạo nên sự chân thật và kết nối. Để thêm tương phản, hãy tự hỏi: "Điều gì đã thay đổi ở đây?" và lồng ghép những khoảnh khắc do dự, kết quả bất ngờ hoặc quyết định tưởng chừng nhỏ nhoi. Trong thế giới Web3 phức tạp, tương phản chính là chìa khóa để nổi bật mà không cần phô trương.

marsbit12/29 09:55

Hôm nay trong câu chuyện Web3, bạn không cần có sáng tạo

marsbit12/29 09:55

活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow

Tin tức Ngành