# Bài viết Liên quan Bảo mật Web3

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "Bảo mật Web3", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

Mã Morse "Đánh Cắp" 44 Vạn USD từ Bankr, Lớp Tin Cậy Giữa Các Agent AI Lại Bị Phá Vỡ

Ngày 20 tháng 5, nền tảng AI Agent Bankr báo cáo 14 ví người dùng bị tấn công, tổn thất hơn 440 nghìn USD, buộc phải tạm dừng mọi giao dịch. Đây là vụ thứ hai trong vòng chưa đầy ba tuần, cùng phương thức tấn công kỹ thuật xã hội vào "lớp tin cậy giữa các agent tự động". Kẻ tấn công lợi dụng cơ chế Bankr thiết kế: platform này tự động theo dõi và thực thi các lệnh từ bài đăng của một số AI agent (như Grok) trên X. Bằng cách gửi NFT Bankr Club Membership đến ví Grok để mở khóa quyền cao, sau đó đăng một tin nhắn mã Morse yêu cầu Grok dịch. Grok trung thực dịch mã, và trong phần văn bản dịch ra chứa lệnh chuyển tiền hợp lệ (ví dụ: "@bankrbot send 3B DRB to [địa chỉ attacker]"). Bankr bot phát hiện bài đăng này từ Grok, xác minh quyền NFT và ký thực thi giao dịch trên chain. Vấn đề cốt lõi không phải lỗ hổng kỹ thuật hay rò rỉ khóa riêng tư, mà là lỗ hổng trong giả định tin cậy. Bankr tin tưởng đầu ra ngôn ngữ tự nhiên từ Grok tương đương với lệnh tài chính đã được ủy quyền, trong khi Grok không có khả năng phân biệt giữa "ý định thực sự của mình" và "bị lợi dụng để nói gì". Kẻ tấn công dùng mã Morse (hoặc Base64, ROT13) để né các bộ lọc an ninh, biến một nhiệm vụ trung lập "dịch thuật" thành công cụ tiêm nhiễm lệnh độc hại. Sau sự cố, Bankr nhanh chóng ứng phó, cam kết bồi thường đầy đủ và sửa lỗi logic xác minh. Sự việc này báo động về mối đe dọa khi kết hợp các hệ thống AI có quyền thực thi trên chain mà thiếu cơ chế xác thực ý định đầy đủ, đây là một lớp tấn công tiềm ẩn cho toàn ngành.

marsbit2 ngày trước 03:34

Mã Morse "Đánh Cắp" 44 Vạn USD từ Bankr, Lớp Tin Cậy Giữa Các Agent AI Lại Bị Phá Vỡ

marsbit2 ngày trước 03:34

Anh, Mỹ, Canada triển khai Chiến dịch Atlantic để chống lừa đảo tiền mã hóa: Báo cáo

Vương quốc Anh, Hoa Kỳ và Canada đã cùng phát động Chiến dịch Atlantic, một sáng kiến hợp tác chống lại các vụ lừa đảo tiền mã hóa, đặc biệt tập trung vào hình thức "lừa đảo ủy quyền" (approval phishing). Thay vì chỉ truy tìm tiền sau khi sự việc xảy ra, chiến dịch này, với sự tham gia của Cơ quan Mật vụ Hoa Kỳ, Cơ quan Tội phạm Quốc gia Anh (NCA) và các cơ quan chức năng Canada, nhằm mục đích phát hiện và ngăn chặn các vụ lừa đảo trong thời gian thực trước khi nạn nhân mất tiền. Bằng cách làm việc chặt chẽ với các sàn giao dịch tiền mã hóa và các công ty blockchain để theo dõi các mẫu giao dịch đáng ngờ, các nhà điều tra sẽ liên hệ trực tiếp với các nạn nhân tiềm năng qua điện thoại hoặc email để cảnh báo. Một hình thức lừa đảo khác cũng được nhắm đến là "giết lợn" (pig butchering), một chiến dịch xã hội kéo dài nhằm chiếm lòng tin của nạn nhân. Chiến dịch này được xây dựng dựa trên thành công của Dự án Atlas do Canada dẫn đầu vào năm 2024. Dữ liệu từ Chainalysis cho thấy các tội phạm đã nhận được khoảng 14 tỷ USD tiền mã hóa vào năm 2025, nhưng TRM Labs báo cáo rằng hoạt động bất hợp pháp chỉ chiếm khoảng 1,2% tổng hoạt động thị trường, cho thấy nền kinh tế tiền mã hóa hợp pháp vẫn đang phát triển với tốc độ nhanh hơn nhiều.

ambcrypto03/18 01:04