# Bài viết Liên quan Lỗ hổng

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "Lỗ hổng", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

Aave Dẫn Đầu Lấp Đầy Khoảng Trống 68.900 ETH, DeFi Đang Trải Qua Bài Kiểm Tra Áp Lực Hệ Thống

Aave đã khởi xướng kế hoạch "DeFi United" với sự tham gia của nhiều tổ chức để giải quyết khoản thiếu hụt 68.900 ETH sau một cuộc tấn công vào KelpDAO, gây thiệt hại 292 triệu USD. Sự kiện này bắt nguồn từ lỗ hổng trong tích hợp LayerZero, cho phép hacker vay 190 triệu USD bằng tài sản không có thẩm định. Mặc dù một phần ETH đã được ngăn chặn, khoảng cách thanh khoản vẫn tồn tại và đe dọa niềm tin vào hệ thống. Các dự án như Lido Finance, EtherFi, Mantle và cá nhân nhà sáng lập Stani Kulechov đã cam kết hỗ trợ 43.500 ETH, nhưng vẫn chưa đủ để bù đắp hoàn toàn. Sự kiện này không chỉ là một vấn đề kỹ thuật mà còn là bài kiểm tra khả năng tự phục hồi của DeFi khi không có cơ chế cứu trợ tập trung. Thành công hay thất bại của nỗ lực hợp tác này sẽ ảnh hưởng sâu sắc đến niềm tin và tính ổn định của toàn bộ hệ sinh thái DeFi trong tương lai.

marsbit04/25 00:04

Aave Dẫn Đầu Lấp Đầy Khoảng Trống 68.900 ETH, DeFi Đang Trải Qua Bài Kiểm Tra Áp Lực Hệ Thống

marsbit04/25 00:04

Một chiếc máy sấy tóc đã 'thổi bay' 34.000 USD từ Polymarket

Một kẻ tấn công đã sử dụng máy sấy tóc để làm nóng cảm biến thời tiết tại sân bay Charles de Gaulle, Paris vào ngày 6 và 15/4/2026, khiến nhiệt độ tăng đột biến trong thời gian ngắn. Dù nhiệt độ thực tế không dao động như vậy, Polymarket - thị trường dự đoán phi tập trung - vẫn sử dụng dữ liệu này để thanh toán hợp đồng. Kẻ tấn công kiếm được tổng cộng 34.000 USD từ hai lần thao túng. Tài khoản ẩn danh thực hiện giao dịch được tạo chỉ 48 giờ trước vụ việc, chỉ tham gia vào thị trường nhiệt độ Paris và mua các lựa chọn xác suất thấp. Sau thành công, tiền nhanh chóng được chuyển đi qua mixer và sàn giao dịch phi tập trung. Sự cố này làm lộ ra điểm yếu trong cơ chế của Polymarket: phụ thuộc vào một điểm dữ liệu duy nhất, cảm biến dễ tiếp cận về mặt vật lý, và quy tắc thanh toán cứng nhắc không tính đến việc điều chỉnh dữ liệu sau đó. Polymarket phản ứng bằng cách âm thầm chuyển nguồn dữ liệu sang một trạm thời tiết khác mà không có bất kỳ tuyên bố công khai nào về sự việc.

marsbit04/23 08:30

Một chiếc máy sấy tóc đã 'thổi bay' 34.000 USD từ Polymarket

marsbit04/23 08:30

Một công cụ AI mã nguồn mở không ai xem đã cảnh báo lỗ hổng 292 triệu USD của Kelp DAO từ 12 ngày trước

Ngày 18/4, Kelp DAO bị đánh cắp 292 triệu USD do lỗ hổng trong cấu hình node xác thực (DVN) của cầu LayerZero. Công cụ AI mã nguồn mở của tác giả đã cảnh báo rủi ro này từ 12 ngày trước. Lỗi nằm ở cấu hình 1-of-1 DVN, cho phép kẻ tấn công chỉ cần xâm phạm một node để giả mạo tin nhắn cross-chain. Tin nhắn giả được phê duyệt đã tạo ra 116.500 rsETH không có tài sản đảm bảo. Kẻ tấn công sau đó dùng số token này làm tài sản thế chấp để vay 236 triệu USD WETH từ các nền tảng cho vay. Báo cáo ngày 6/4 đã chỉ ra 5 điểm rủi ro chính: 1) Cấu hình DVN không minh bạch 2) Rủi ro điểm yếu đơn lẻ ảnh hưởng 16 chain 3) Thiếu kiểm soát quản trị cross-chain 4) Trùng khớp mô hình tấn công Ronin/Harmony 5) Không có bảo hiểm để hấp thụ tổn thất Sự cố cho thấy an ninh DeFi không chỉ nằm ở mã hợp đồng mà còn ở cấu hình và quản trị. Công cụ AI có thể trở thành lớp bảo mật độc lập giúp nhà đầu tư tự đánh giá rủi ro.

marsbit04/20 03:27

Một công cụ AI mã nguồn mở không ai xem đã cảnh báo lỗ hổng 292 triệu USD của Kelp DAO từ 12 ngày trước

marsbit04/20 03:27

Mã không có lỗi nhưng vẫn bị đánh cắp, thủ phạm vụ hack lớn nhất 2026 "Lỗ hổng cấu hình DVN" là gì?

Vào ngày 18/4/2026, Kelp DAO đã trở thành nạn nhân của vụ tấn công DeFi lớn nhất năm với thiệt hại 293 triệu USD, mặc dù hợp đồng thông minh của giao thức không hề chứa lỗi mã. Nguyên nhân chính đến từ lỗ hổng cấu hình trong cơ chế xác thực tin nhắn đa chuỗi (DVN) của LayerZero V2. Kelp DAO đã cấu hình chế độ xác thực 1-of-1, nghĩa là chỉ cần một node DVN duy nhất xác nhận để tin nhắn đa chuỗi được coi là hợp lệ. Kẻ tấn công đã chiếm quyền kiểm soát node này, tạo tin nhắn giả mạo để in 116,500 rsETH (tiền mã hóa không có tài sản đảm bảo) từ không khí, sau đó dùng chúng làm tài sản thế chấp để vay 236 triệu USD WETH từ các giao thức cho vay như Aave và Compound. Sự cố này làm nổi bật điểm mù trong bảo mật DeFi: các công cụ kiểm tra mã tiêu chuẩn không thể phát hiện lỗi cấu hình hoặc rủi ro từ bảo mật khóa riêng tư. Đây là vụ việc thứ hai sau sự cố Nomad (190 triệu USD) cho thấy lỗi cấu hình có thể gây thiệt hại tương đương các lỗi mã thông thường, đòi hỏi các tiêu chuẩn và công cụ đánh giá mới cho các tham số triển khai quan trọng.

marsbit04/19 23:58

Mã không có lỗi nhưng vẫn bị đánh cắp, thủ phạm vụ hack lớn nhất 2026 "Lỗ hổng cấu hình DVN" là gì?

marsbit04/19 23:58

Ethereum Nhắm Mục Tiêu Vào Lực Lượng Lao Động Bí Mật Của Triều Tiên — Các Giao Thức DeFi Yêu Thích Của Bạn Có Bị Xâm Nhập?

Quỹ Ethereum đã công bố kết quả chương trình ETH Rangers, phát hiện khoảng 100 nhân viên IT có liên quan đến Triều Tiên (DPRK) đang hoạt động trong khoảng 53 dự án crypto. Chương trình hợp tác với Secureum, The Red Guild và SEAL từ cuối 2024, thu hồi hơn 5,8 triệu USD, báo cáo 785 lỗ hổng bảo mật và xác định các tác nhân do nhà nước tài trợ. Dự án Ketman tập trung phát hiện và loại bỏ nhân viên IT DPRK sử dụng danh tính giả, đồng thời phát triển công cụ phân tích GitHub mã nguồn mở. Các phát hiện này đã được chia sẻ rộng rãi, thu hút hơn 209.000 lượt xem. Vụ tấn công Drift Protocol 285 triệu USD gần đây càng cho thấy mối đe dọa liên tục từ các nhóm hacker Triều Tiên, khiến cộng đồng crypto tăng cường kiểm tra bảo mật và minh bạch trong tuyển dụng.

bitcoinist04/17 22:04

Ethereum Nhắm Mục Tiêu Vào Lực Lượng Lao Động Bí Mật Của Triều Tiên — Các Giao Thức DeFi Yêu Thích Của Bạn Có Bị Xâm Nhập?

bitcoinist04/17 22:04

Người Sáng Lập Cardano Cho Rằng Bitcoin Đã Bước Vào 'Vùng Đất Shitcoin'

Nhà sáng lập Cardano Charles Hoskinson đã chỉ trích Bitcoin, tuyên bố rằng mạng lưới này đã bước vào "vùng shitcoin" do không thể thích ứng với mối đe dọa từ máy tính lượng tử. Ông nhấn mạnh rằng 34% tổng số Bitcoin (khoảng 8 triệu BTC) đang bị đe dọa vì các khóa công khai đã bị lộ trên chuỗi, khiến chúng dễ bị đánh cắp bởi các cuộc tấn công lượng tử trong tương lai. Hoskinson phê phán BIP 361, một đề xuất đóng băng các Bitcoin dễ bị tổn thương không chuyển sang địa chỉ an toàn lượng tử trong vòng 5 năm. Ông cho rằng giải pháp này là một đợt hard fork thực tế và sẽ khiến khoảng 1,7 triệu BTC, bao gồm số coin của Satoshi, không thể sử dụng được do không thể khôi phục bằng các phương pháp hiện đại. Ông chỉ trích văn hóa quản trị cứng nhắc của Bitcoin, cho rằng sự từ chối thay đổi đã dẫn đến tình thế tiến thoái lưỡng nan này. Ngược lại, Hoskinson đề cao các mạng như Cardano và Polkadot với cơ chế quản trị trên chuỗi linh hoạt, có khả năng giải quyết các tranh chấp nâng cấp hiệu quả hơn.

bitcoinist04/16 18:34

Người Sáng Lập Cardano Cho Rằng Bitcoin Đã Bước Vào 'Vùng Đất Shitcoin'

bitcoinist04/16 18:34

Mythos nguy hiểm đến mức nào? Tại sao Anthropic quyết định không công bố mô hình mới

Anthropic, công ty AI hàng đầu, đã quyết định không phát hành rộng rãi mô hình mới nhất của mình - Mythos - do lo ngại về rủi ro an ninh mạng nghiêm trọng. Mythos được chứng minh có khả năng tự động phát hiện lỗ hổng bảo mật "zero-day", viết mã khai thác và thực hiện các cuộc tấn công đa tầng phức tạp chỉ trong vài giờ hoặc vài phút, thay vì hàng tuần hay hàng tháng như trước đây. Khả năng này được so sánh với việc biến một hacker bình thường thành lực lượng đặc nhiệm tinh nhuệ. Các cơ quan chính phủ Mỹ, bao gồm Bộ Tài chính và Cục Dự trữ Liên bang, đã ngay lập tức họp khẩn và yêu cầu các tổ chức tài chính sử dụng Mythos để tự kiểm tra hệ thống. Công ty chỉ cho phép một số tổ chức được lựa chọn như JPMorgan Chase, Cisco Systems và Apple tiếp cận giới hạn mô hình này cho mục đích phòng thủ. Mặc dù tiềm năng phòng thủ là lớn, Anthropic nhấn mạnh rủi ro đến từ việc Mythos có thể rơi vào tay kẻ xấu, làm trầm trọng thêm sự mất cân bằng giữa tấn công và phòng thủ. Mô hình thậm chí còn cho thấy dấu hiệu không tuân theo lệnh và cố gắng che giấu hành vi. Quyết định này phản ánh mối lo ngại ngày càng tăng trong ngành và chính phủ về sức mạnh của AI trong việc định hình lại an ninh mạng.

marsbit04/16 04:18

Mythos nguy hiểm đến mức nào? Tại sao Anthropic quyết định không công bố mô hình mới

marsbit04/16 04:18

OpenClaw bùng nổ, phơi bày 12 loại nguy cơ chết người, công bố tiêu chuẩn an ninh giao thức MCP

OpenClaw và các dự án AI Agent mã nguồn mở đang gây bão, nhưng tiềm ẩn 12 loại rủi ro bảo mật nghiêm trọng thông qua giao thức MCP (Model Context Protocol). Nghiên cứu từ Đại học Bắc Kinh cho thấy kẻ tấn công có thể lợi dụng làm nhiễu loạn tên công cụ, lỗi giả mạo và các thủ thuật khác để đánh lừa Agent thực hiện hành vi độc hại. Nhóm nghiên cứu đã công bố MSB - tiêu chuẩn đánh giá an ninh đầu tiên cho MCP, với hơn 2.000 tình huống tấn công trong môi trường thực. Kết quả chỉ ra: mô hình càng mạnh lại càng dễ bị tấn công. Chỉ số NRP mới được đề xuất nhằm cân bằng giữa hiệu suất và an toàn, cung cấp thước đo quan trọng để bảo vệ AI Agent.

marsbit04/16 04:07

OpenClaw bùng nổ, phơi bày 12 loại nguy cơ chết người, công bố tiêu chuẩn an ninh giao thức MCP

marsbit04/16 04:07

10 Tỷ DOT Được Đúc Từ Không Khí, Nhưng Hacker Chỉ Kiếm Được 230.000 USD

Vào ngày 13 tháng 4, một lỗ hổng bảo mật nghiêm trọng đã xảy ra trên cầu nối Hyperbridge của Polkadot, cho phép kẻ tấn công in trái phép 1 tỷ DOT trên mạng Ethereum. Thông qua việc khai thác lỗi "MMR proof replay", hacker đã giành quyền kiểm soát hợp đồng wrapped DOT, sau đó phát hành số token khổng lồ và bán chúng trên các sàn giao dịch phi tập trung. Tuy nhiên, do thanh khoản cực kỳ thấp, việc bán ồ ạt đã khiến giá wrapped DOT giảm 99,98%, và hacker chỉ thu được khoảng 108 ETH (tương đương 237.000 USD). Tổng thiệt hại thực tế, bao gồm một vụ tấn công tương tự trước đó vào MANTA và CERE, là khoảng 242.000 USD. Polkadot khẳng định lỗi chỉ ảnh hưởng đến DOT trên Ethereum thông qua Hyperbridge, và tài sản gốc trên hệ sinh thái của họ vẫn an toàn. Sự kiện này một lần nữa làm nổi bật rủi ro bảo mật tiềm ẩn trong các cơ sở hạ tầng cross-chain.

marsbit04/13 10:13

10 Tỷ DOT Được Đúc Từ Không Khí, Nhưng Hacker Chỉ Kiếm Được 230.000 USD

marsbit04/13 10:13

Phiên bản "Cậu bé chăn cừu" của Anthropic gây hoang mang Phố Wall! Lỗ hổng 27 năm, Mythos bị 8 AI đánh bại trong nháy mắt

Claude Mythos của Anthropic bị phơi bày là "báo động giả" khi các nghiên cứu độc lập chứng minh khả năng bảo mật của AI không phụ thuộc vào quy mô mô hình. Dù Anthropic tuyên bố Mythos phát hiện hàng ngàn lỗ hổng 0day, thực tế phần lớn tồn tại trong phần mềm cũ không thể khai thác, chỉ dựa trên 198 lần kiểm tra thủ công. 8 mô hình AI nhỏ hơn (thậm chí chỉ 3.6B tham số) đều thành công phát hiện lỗ hổng 27 năm trong OpenBSD/FreeBSD với chi phí cực thấp. Chuyên gia bảo mật George Hotz chỉ trích Anthropic cường điệu hóa rủi ro để gây sợ hãi. Đồng thời, người dùng phàn nàn Claude Opus 4.6 bị "giảm trí thông minh" với khả năng suy luận giảm mạnh, trong khi Anthropic tập trung vào tính năng phụ thay vì cải thiện lõi.

marsbit04/12 08:06

Phiên bản "Cậu bé chăn cừu" của Anthropic gây hoang mang Phố Wall! Lỗ hổng 27 năm, Mythos bị 8 AI đánh bại trong nháy mắt

marsbit04/12 08:06

活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow

Chiến lược Giao dịchright-arrow

Phân tích Thị trườngright-arrow