# Bài viết Liên quan Lỗ hổng

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "Lỗ hổng", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

Lỗ hổng Android khiến 30 triệu ví tiền điện tử dễ bị tấn công: Các nhà phân tích Microsoft

Một lỗ hổng bảo mật nghiêm trọng trong EngageLab SDK (phiên bản 4.5.4) đã khiến hơn 30 triệu ví tiền mã hóa trên Android bị đe dọa, theo các nhà phân tích của Microsoft. Lỗi này, được phát hiện vào tháng 4/2025, cho phép phần mềm độc hại đánh cắp dữ liệu nhạy cảm như seed phrase và khóa riêng tư thông qua kỹ thuật "chuyển hướng intent", vượt qua cơ chế bảo vệ sandbox của Android. Microsoft và Google đã phối hợp khắc phục, và EngageLab đã phát hành bản sửa lỗi (SDK 5.2.1). Người dùng được khuyến cáo cập nhật ứng dụng ngay lập tức. Những ai chưa cập nhật từ giữa năm 2025 nên chuyển tài sản sang một ví mới với seed phrase mới, vì ví cũ có thể đã bị xâm phạm. Ứng dụng tải từ ngoài Play Store có nguy cơ cao hơn.

bitcoinist04/11 15:33

Lỗ hổng Android khiến 30 triệu ví tiền điện tử dễ bị tấn công: Các nhà phân tích Microsoft

bitcoinist04/11 15:33

Anthropic tạo ra mô hình AI mạnh nhất lịu sử, nhưng không dám công bố...

Công ty AI Anthropic vừa công bố kế hoạch "Cánh Thủy Tinh" (Project Glasswing), hợp tác với các tập đoàn hàng đầu như Amazon, Apple, Google, Microsoft, NVIDIA… nhằm bảo vệ phần mềm toàn cầu. Động lực chính là Mythos - mô hình AI thế hệ mới với quy mô 10 nghìn tỷ tham số, chi phí huấn luyện lên tới 10 tỷ USD. Mythos được cho là mô hình mạnh nhất từ trước đến nay, vượt trội so với Claude Opus 4.6 trong mã hóa, lập luận học thuật và an ninh mạng. Chỉ trong vài tuần, nó đã tự động phát hiện hàng nghìn lỗ hổng "zero-day" nghiêm trọng trong các hệ thống then chốt như OpenBSD, FFmpeg và Linux kernel, bao gồm những lỗi tồn tại hơn 20 năm. Do khả năng khai thác lỗ hổng quá mạnh, Anthropic không công bố rộng rãi mà cho các đối tác trong chương trình dùng thử Mythos Preview để sửa lỗi trước. Họ cam kết tài trợ 100 triệu USD chi phí sử dụng và quyên góp 4 triệu USD cho các tổ chức mã nguồn mở. Anthropic lạc quan cho rằng, dù AI có thể bị lợi dụng, nó cũng mang lại giá trị to lớn trong việc phát hiện và sửa lỗi, giúp xây dựng hệ thống phòng thủ mạnh hơn. Báo cáo chi tiết về kết quả sẽ được công bố sau 90 ngày.

Odaily星球日报04/08 04:01

Anthropic tạo ra mô hình AI mạnh nhất lịu sử, nhưng không dám công bố...

Odaily星球日报04/08 04:01

Khi AI Giải Quyết Vấn Đề Bảo Mật, DeFi Sẽ Trở Lại Thời Kỳ Hoàng Kim?

Từ năm 2020, DeFi Summer đã chứng kiến sự bùng nổ của các giao thức mới, nhưng nhiều dự án thất bại do lỗ hổng hợp đồng và tấn công kinh tế, dẫn đến tổn thất cho người dùng. Sự cố này khiến ngành công nghiệp chuyển hướng tập trung mạnh vào bảo mật, làm tăng chi phí và thời gian kiểm tra, từ đó kìm hãm tinh thần thử nghiệm và đổi mới trong DeFi. Tuy nhiên, AI đang thay đổi cục diện bằng cách giảm đáng kể chi phí bảo mật. Các công cụ AI mới như Nemesis có thể phát hiện lỗ hổng phức tạp, hiểu ngữ cảnh sâu và giảm báo động sai. Chúng kết hợp phân tích tĩnh, thực thi ký hiệu và thậm chí tự động xác minh mã. Với các mô hình như Mythos sắp ra mắt, khả năng AI sẽ còn được cải thiện hơn nữa. Kết hợp với nền tảng Battlechain của Cyfrin, quy trình phát triển DeFi được tối ưu hóa: viết mã → kiểm tra bằng AI → triển khai trên Battlechain → thử nghiệm tấn công thực tế → triển khai chính thức. Điều này rút ngắn chu kỳ từ vài tháng xuống chỉ còn vài giờ, với chi phí gần như bằng không. Ở cấp độ người dùng, ví tiền có thể tích hợp AI để kiểm tra hợp đồng trước khi ký giao dịch, bảo vệ chống lại rủi ro. AI sẽ trở thành lá chắn toàn diện từ phát triển, chuỗi đến người dùng, mở ra không gian thử nghiệm rộng lớn và khôi phục tinh thần sáng tạo cho DeFi.

marsbit04/03 10:15

Khi AI Giải Quyết Vấn Đề Bảo Mật, DeFi Sẽ Trở Lại Thời Kỳ Hoàng Kim?

marsbit04/03 10:15

Dùng 200 nghìn đô la để rút gần 100 triệu đô la, stablecoin DeFi lại bị tấn công

Không gian DeFi một lần nữa chứng kiến một vụ tấn công quy mô lớn nhắm vào stablecoin USR của Resolv Labs. Vào lúc 10:21 sáng ngày hôm nay (theo giờ Bắc Kinh), một hacker với địa chỉ bắt đầu bằng 0x04A2 đã chỉ sử dụng 100.000 USDC để đúc ra 50 triệu USR thông qua lỗ hổng trong cơ chế mint token của giao thức. Sau khi sự kiện được phơi bày, giá USR lao dốc mạnh xuống khoảng 0,25 USD, và sau đó phục hồi một phần về mức 0,8 USD tại thời điểm bài viết. Tin tức cũng khiến token RESOLV giảm gần 10%. Tận dụng điểm yếu, hacker lặp lại thủ thuật một lần nữa, dùng thêm 100.000 USDC để tạo ra 30 triệu USR nữa. Theo phân tích từ cộng đồng DeFi, nguyên nhân có thể do role SERVICE_ROLE (vốn được dùng để cung cấp tham số mint) đã bị hacker kiểm soát. Giao thức đã tin tưởng hoàn toàn tham số từ offchain mà không kiểm tra lại trên chain bằng oracle, cũng như không thiết lập giới hạn mint tối đa, dẫn đến việc hacker có thể tuỳ ý khai báo số lượng USR được đúc ra. Hậu quả lan rộng đến các giao thức cho vay như Morpho và Lista DAO trên BNB Chain, nhiều thị trường vay dùng USR làm tài sản thế chấp gần như bị rút sạch. Ngoài ra, token RLP trong hệ thống – vốn chịu rủi ro bồi thường khi giao thức tổn thất – cũng bị ảnh hưởng nặng, với Stream Finance (vốn đã từng gặp sự cố với xUSD) là nắm giữ lớn và phơi nhiễm rủi ro lên tới ~17 triệu USD. Chỉ với 200.000 USDC, hacker đã thu về hơn 20 triệu USD tài sản, chủ yếu là USDT, USDC và hơn 10.000 ETH. Sự cố này một lần nữa cảnh báo các dự án phải xây dựng cơ chế xác minh chặt chẽ hơn, kể cả với các thành phần được cho là đáng tin cậy nội bộ, và chuẩn bị sẵn kế hoạch phản ứng nhanh cho các tình huống khẩn cấp.

marsbit03/22 09:54

Dùng 200 nghìn đô la để rút gần 100 triệu đô la, stablecoin DeFi lại bị tấn công

marsbit03/22 09:54

Một Giải Pháp Nhanh Chóng: Ripple Sửa Lỗi Lớn Có Thể Đe Dọa Người Dùng XRP Trên Ledger

Ripple đã nhanh chóng phát hành bản cập nhật Rippled 3.1.2 để khắc phục một lỗ hổng nghiêm trọng trong tính năng Batch amendment trên XRP Ledger. Lỗi này có thể khiến máy chủ gặp sự cố khởi động lại hoặc thậm chí cho phép kẻ tấn công thực hiện giao dịch thay mặt người dùng mà không cần khóa riêng tư. Đây là bản sửa lỗi thứ ba sau khi phát hiện vấn đề từ phiên bản 3.1.0. Ripple khuyến cáo người dùng nâng cấp ngay để tránh gián đoạn hoạt động. Song song đó, CTO David Schwartz cũng lên tiếng phản bác chỉ trích về việc Ripple bán XRP để gây quỹ, cho rằng điều này không làm tổn hại đến nhà đầu tư.

bitcoinist03/18 03:33

Một Giải Pháp Nhanh Chóng: Ripple Sửa Lỗi Lớn Có Thể Đe Dọa Người Dùng XRP Trên Ledger

bitcoinist03/18 03:33

“Tôm Hùm” Của Bạn Đang “Chạy Trần”? CertiK Kiểm Chứng: OpenClaw Skill Chứa Lỗ Hổng Làm Cách Nào Để Lọt Kiểm Duyệt Và Chiếm Quyền Điều Khiển Máy Tính Mà Không Cần Ủy Quyền

OpenClaw (còn gọi là “Tôm hùm đất”) - nền tảng AI tự lưu trữ mã nguồn mở, đang phát triển nhanh nhờ khả năng mở rộng linh hoạt. Tuy nhiên, nghiên cứu mới từ CertiK cảnh báo: các Skill (tiện ích) của bên thứ ba trên chợ ứng dụng Clawhub tiềm ẩn rủi ro bảo mật nghiêm trọng. Các Skill chạy trong môi trường quyền cao, có thể truy cập file hệ thống, thực thi lệnh, thao tác tài sản crypto. OpenClaw hiện dựa vào cơ chế quét mã trước khi đăng tải (gồm quét VirusTotal, phát hiện mã tĩnh và kiểm tra logic AI) để ngăn mối đe dọa. Nhưng CertiK chứng minh: hacker dễ dàng bỏ qua các kiểm tra này bằng cách biến đổi cú pháp mã hoặc giấu lỗ hổng trong logic hợp lệ. Nhóm nghiên cứu đã tạo một Skill “test-web-searcher” vượt qua mọi lớp kiểm tra, cài đặt không cảnh báo, và kích hoạt thành công lỗ hổng thực thi lệnh từ xa qua Telegram, chiếm quyền điều khiển thiết bị. Vấn đề nằm ở quan niệm sai lầm của ngành: tin tưởng quá mức vào “quét kiểm duyệt” thay vì thiết lập cơ chế cách ly (sandbox) mặc định và kiểm soát quyền chi tiết. OpenClaw hiện để sandbox là tùy chọn, không bắt buộc, khiến nhiều người dùng tắt đi cho tiện, vô tình “phơi” thiết bị trước nguy cơ bị xâm nhập. Khuyến nghị: Nhà phát triển cần áp dụng sandbox mặc định và kiểm soát quyền chặt chẽ. Người dùng nên cài OpenClaw trên thiết bị ít quan trọng hoặc máy ảo, tránh xa dữ liệu nhạy cảm và tài sản giá trị cao.

marsbit03/17 14:41

“Tôm Hùm” Của Bạn Đang “Chạy Trần”? CertiK Kiểm Chứng: OpenClaw Skill Chứa Lỗ Hổng Làm Cách Nào Để Lọt Kiểm Duyệt Và Chiếm Quyền Điều Khiển Máy Tính Mà Không Cần Ủy Quyền

marsbit03/17 14:41

Bonk.fun Bị Hack Khiến Người Dùng Solana Đối Mặt Với Cuộc Tấn Công Rút Ví

Lỗ hổng bảo mật trên trang web Bonk.fun đã cho phép các liên kết độc hại đánh cắp ví tấn công người dùng Solana. Kẻ tấn công tiêm mã độc để chuyển hướng người dùng đến các trang lừa đảo, yêu cầu họ phê duyệt kết nối ví. Một khi chấp nhận, các chương trình độc hại sẽ tự động rút hết token từ ví nạn nhân về địa chỉ của kẻ tấn công chỉ trong vài giây. Cộng đồng phát triển đã phản ứng nhanh chóng, gỡ bỏ mã độc và cảnh báo người dùng thu hồi mọi quyền phê duyệt đáng ngờ. Đội ngũ Bonk.fun cũng xác nhận sự cố trên mạng X, khuyến cáo người dùng không tương tác với trang web cho đến khi mọi thứ được bảo mật. Sự việc này làm dấy lên lo ngại về an ninh trong hệ sinh thái Solana, đồng thời nhấn mạnh tầm quan trọng của việc cảnh giác với các liên kết và đề xuất phê duyệt không rõ nguồn gốc.

TheNewsCrypto03/12 11:18

Bonk.fun Bị Hack Khiến Người Dùng Solana Đối Mặt Với Cuộc Tấn Công Rút Ví

TheNewsCrypto03/12 11:18

BIS Cảnh Báo Việc Tự Lưu Trữ Tiền Mã Hóa Có Thể Trở Thành Khe Hở Mới Trong Chống Rửa Tiền

Một báo cáo mới của Ngân hàng Thanh toán Quốc tế (BIS) cảnh báo rằng ví tiền mã hóa tự lưu trữ (self-custody) có thể trở thành một lỗ hổng mới trong việc chống rửa tiền (AML). Lý do chính là khi các quy định siết chặt các kênh thanh toán khác, dòng tiền bất hợp pháp sẽ chuyển hướng sang các kênh ít bị giám sát hơn. Báo cáo nhấn mạnh rằng ví tự lưu trữ không phụ thuộc vào một trung gian có thể định danh để thực hiện kiểm tra khách hàng (CDD) hoặc báo cáo giao dịch đáng ngờ (SAR). Điều này làm giảm đáng kể khả năng phát hiện và xử lý các hoạt động bất hợp pháp. So với tiền mặt, ví tự lưu trữ thậm chí còn hấp dẫn hơn đối với tội phạm vì chúng dễ dàng vận chuyển số lượng lớn qua biên giới mà không có rào cản vật lý. Báo cáo gọi đây là "hiệu ứng đệm nước": việc siết chặt một khu vực sẽ khiến các rủi ro nổi lên ở khu vực khác. EU được lấy làm ví dụ, nơi ví do các nhà cung cấp dịch vụ (CASP) quản lý đã bị siết chặt, trong khi ví tự lưu trữ hầu như không bị giới hạn giao dịch nào, không giống như giới hạn 10.000 EUR đối với tiền mặt. Sự chênh lệch này có thể khuyến khích các đối tượng xấu chuyển từ tiền mặt sang ví tiền mã hóa tự lưu trữ.

bitcoinist03/11 05:33

BIS Cảnh Báo Việc Tự Lưu Trữ Tiền Mã Hóa Có Thể Trở Thành Khe Hở Mới Trong Chống Rửa Tiền

bitcoinist03/11 05:33

Tuần tới cần theo dõi｜Xung đột Iran tiếp tục ảnh hưởng đến tình hình toàn cầu; Dữ liệu CPI tháng 2 sắp công bố (9.3-15.3)

Ngày 9/3: Xung đột tại Iran bước sang tuần thứ hai, tiếp tục tác động đến tình hình toàn cầu. Các diễn biến mới bao gồm việc Hội đồng Chuyên gia Iran đã đưa ra quyết định cuối cùng về nhân vật lãnh đạo tối cao mới. Tình hình giao thông tại eo biển Hormuz vẫn đang ảnh hưởng lớn đến kinh tế toàn cầu. Cùng ngày, SharpLink sẽ tổ chức hội nghị điện đàm về báo cáo tài chính năm 2025. Ngoài ra, Neutron thông báo tạm dừng một số tính năng để khắc phục lỗ hổng bảo mật và dự kiến khôi phục vào 9/3. Ngày 11/3: Mỹ sẽ công bố số liệu CPI cho tháng 2, bao gồm tỷ lệ CPI năm và lõi chưa điều chỉnh theo mùa. Ủy ban Giám sát Dịch vụ Tài chính Anh cũng kết thúc thời hạn nộp ý kiến cho cuộc điều tra về stablecoin vào ngày này. Ngày 13/3: Mỹ sẽ công bố số liệu PCE tháng 1, bao gồm chỉ số giá PCE lõi theo năm và tháng, cùng các dữ liệu kinh tế quan trọng khác như tỷ lệ chi tiêu cá nhân và GDP.

marsbit03/08 12:07

Tuần tới cần theo dõi｜Xung đột Iran tiếp tục ảnh hưởng đến tình hình toàn cầu; Dữ liệu CPI tháng 2 sắp công bố (9.3-15.3)

marsbit03/08 12:07

Thiệt hại do hack tiền mã hóa đạt 112,5 triệu USD trong hai tháng đầu năm 2026, theo dữ liệu PeckShield

Theo dữ liệu từ PeckShield, các vụ hack liên quan đến tiền mã hóa đã gây thiệt hại 112,53 triệu USD trong hai tháng đầu năm 2026. Tháng 1 chiếm phần lớn với 86,01 triệu USD từ 16 vụ, giảm nhẹ 1,42% so cùng kỳ 2025. Tháng 2 ghi nhận 26,52 triệu USD từ 15 vụ, giảm mạnh 69,2% so tháng trước. Tuy nhiên, tổn thất vẫn tập trung vào một số ít sự cố lớn, như Step Finance (28,9 triệu USD) trong tháng 1 và YieldBlox DAO (10 triệu USD) trong tháng 2. Dù tháng 2 có giảm thiệt hại, các lỗ hổng bảo mật hệ thống, đặc biệt trong hạ tầng cross-chain và DeFi, vẫn tồn tại, cho thấy rủi ro an ninh tiếp tục là vấn đề nghiêm trọng.

ambcrypto03/02 17:54

Thiệt hại do hack tiền mã hóa đạt 112,5 triệu USD trong hai tháng đầu năm 2026, theo dữ liệu PeckShield