Giao dịch
Loại giao dịch
Giao ngay
Giao dịch tiền điện tử một cách tự do
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy, giao dịch giao ngay, không cần vay, không cháy tải khoản
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
NEW
Không bị thanh lý bắt buộc trước hạn, không phải lo lắng về lợi nhuận đòn bẩy
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Khuyến mãi
Trung tâm hoạt động
Tham gia các hoạt động và giành nhiều giải thưởng tiền mặt lớn cùng nhiều quà tặng độc quyền
Giới thiệu
20 USDT
Kiếm 40% hoa hồng hoặc phần thưởng lên đến 500 USDT
Thông báo
Thông báo về niêm yết mới, hoạt động, nâng cấp, v.v.
Gate Blog
Các Bài Báo Về Tiền Điện Tử
Dịch vụ VIP
Chiết khấu phí lớn
Bằng chứng dự trữ
Gate cam kết 100% bằng chứng dự trữ
Đại lý
Tận hưởng hoa hồng độc quyền và kiếm được lợi nhuận cao
Quản lý tài sản
NEW
Giải pháp quản lý tài sản toàn diện
Tổ chức
NEW
Giải pháp tài sản kỹ thuật số chuyên nghiệp cho các tổ chức
Chuyển khoản ngân hàng OTC
Nạp và rút tiền pháp định
Chương trình Môi giới
Cơ chế hoàn tiền API hào phóng
Gate Vault
Giữ tài sản của bạn an toàn
Ảnh hưởng của Elon Musk đến Crypto: DOGE, Bitcoin & Memecoin
1giờ trước
Giải thích về Cú sốc cung: Từ việc giảm một nửa của Bitcoin đến cuộc khủng hoảng của XRP năm 2026
2giờ trước
Chủ đề thịnh hành
Xem thêm10.3K Phổ biến
18 Phổ biến
1.35K Phổ biến
33.41K Phổ biến
87.55K Phổ biến
Ghim
4 triệu USD Ethereum bị đánh cắp! Toàn bộ quá trình rửa tiền của hacker được phơi bày, cơ chế đa chữ ký bị tấn công
Unleash Protocol tuần trước tiết lộ thiệt hại do hacker gây ra là 1,337 ETH trị giá 4 triệu USD. Peckshield và CertiK theo dõi cho thấy, hacker đã sử dụng Tornado Cash để rửa tiền, đã gửi nhiều giao dịch 100 ETH đến dịch vụ trộn tiền. Kẻ tấn công đã chiếm quyền kiểm soát hệ thống quản trị đa chữ ký mà không được phép, có thể đã thực hiện nâng cấp hợp đồng trái phép thông qua kỹ thuật xã hội, bỏ qua kiểm tra để rút tiền.
Ghi nhận quá trình theo dõi rửa tiền Tornado Cash
Dựa trên hoạt động trên chuỗi và báo cáo từ nhiều công ty an ninh, hacker đang cố gắng sử dụng giao thức Tornado Cash trên Ethereum để rửa tiền. Tornado Cash là một dịch vụ trộn tiền mã hóa, bằng cách pha trộn quỹ của nhiều người dùng, cắt đứt liên kết có thể theo dõi nguồn gốc và đích của dòng tiền, khiến các cơ quan thực thi pháp luật khó truy vết.
Peckshield chỉ ra rằng, có vẻ như hacker đã gửi nhiều giao dịch 100 ETH đến dịch vụ trộn tiền phổ biến này. Chiến lược chuyển tiền theo từng đợt như vậy là phương pháp rửa tiền điển hình, vì chuyển một lượng lớn tiền một lần dễ bị hệ thống giám sát phát hiện hơn. Việc chia nhỏ 1,337 ETH thành 13 đến 14 giao dịch 100 ETH, cách nhau một khoảng thời gian nhất định, giúp giảm thiểu rủi ro bị phát hiện ngay lập tức.
CertiK bắt đầu gắn nhãn các token Wrapped ETH và IP rút ra đáng ngờ, các khoản rút này được gửi đến một tài khoản bên ngoài, dường như được thiết lập bằng SafeProxyFactory. Chi tiết kỹ thuật này cho thấy mức độ chuyên nghiệp của hacker, SafeProxyFactory là nhà máy hợp đồng của Gnosis Safe (hiện gọi là Safe), dùng để triển khai ví đa chữ ký mới. Hacker sử dụng công cụ này để tạo ví tạm thời nhận tiền bẩn, thể hiện hiểu biết sâu sắc về hệ sinh thái Ethereum.
Các tài sản bị ảnh hưởng gồm có WIP, USDC, WETH, stIP và vIP, phần lớn đã được cầu nối sang Ethereum và gửi đến Tornado Cash. Quá trình cầu nối này đã làm tăng độ khó theo dõi, vì tài sản trong quá trình chuyển qua nhiều hợp đồng và địa chỉ, mỗi lần chuyển đều làm loãng dấu vết. Khi vào Tornado Cash, tiền sẽ trộn lẫn với các khoản gửi của người dùng khác, tạo thành một “hộp đen”, số tiền ra không thể đối chiếu với số tiền vào.
Điều đáng chú ý là, kể từ khi Tornado Cash bị Bộ Tài chính Mỹ trừng phạt vào năm 2022, việc sử dụng dịch vụ này đã trở thành hành vi phạm pháp. Tuy nhiên, lệnh trừng phạt không hoàn toàn chặn được hoạt động của nó, vì Tornado Cash dựa trên hợp đồng thông minh, phi tập trung, không thể bị tắt như dịch vụ tập trung. Hacker sẵn sàng mạo hiểm pháp lý để dùng Tornado Cash, cho thấy họ cảnh giác với các kỹ thuật theo dõi.
Làm thế nào hệ thống quản trị đa chữ ký bị tấn công
Vào sáng thứ Ba, Unleash tiết lộ về một lỗ hổng bảo mật. Dự án đã tạm dừng hoạt động và bắt đầu phân tích chứng cứ về vụ tấn công, dường như xuất phát từ việc phá vỡ cơ chế đa chữ ký. Unleash viết trên X: “Điều tra ban đầu của chúng tôi cho thấy, một địa chỉ bên ngoài đã chiếm quyền quản lý thông qua hệ thống quản trị đa chữ ký của Unleash, và thực hiện nâng cấp hợp đồng trái phép.”
Nói cách khác, kẻ tấn công đã chiếm quyền kiểm soát hệ thống quản trị của Unleash Protocol mà không được phép, có thể thông qua lừa đảo xã hội hoặc các lỗ hổng bảo mật khác, để thực hiện nâng cấp vượt qua kiểm tra, từ đó rút tiền của người dùng. Mô hình tấn công này không hiếm trong lĩnh vực DeFi, nhưng việc thành công phá vỡ hệ thống đa chữ ký vẫn gây chú ý.
Ví đa chữ ký (Multi-Signature Wallet) là cơ chế bảo vệ tài sản phổ biến trong các giao thức DeFi. Nó yêu cầu nhiều chủ sở hữu khóa riêng ký xác nhận mới có thể thực hiện giao dịch, về lý thuyết, ngay cả khi một khóa bị đánh cắp, hacker cũng không thể lấy cắp tiền. Tuy nhiên, vụ tấn công này cho thấy, hệ thống đa chữ ký không phải là tuyệt đối an toàn.
Ba khả năng thất bại của cơ chế đa chữ ký
Tấn công xã hội: Hacker dùng email lừa đảo hoặc tin nhắn giả mạo để dụ các người ký tiết lộ khóa riêng
Nhân viên nội bộ xấu: Người giữ khóa đa chữ ký hợp tác hoặc bị mua chuộc, chủ động hợp tác với hacker
Lỗ hổng hợp đồng: Hợp đồng đa chữ ký có lỗi lập trình, cho phép kẻ tấn công vượt qua yêu cầu ký
Thông báo của Unleash nhấn mạnh rằng “địa chỉ bên ngoài” đã chiếm quyền kiểm soát, ám chỉ đây có thể không phải do nội bộ, mà là hacker bên ngoài đã lấy được đủ quyền ký bằng các kỹ thuật hoặc lừa đảo xã hội. Việc nâng cấp này đã cho phép rút tiền mà không có sự phê duyệt của đội ngũ Unleash, diễn ra ngoài quy trình quản trị và vận hành dự kiến, cho thấy hacker đã nắm toàn quyền quản lý.
Cảnh báo an ninh hệ sinh thái Story Protocol
Unleash cho biết: “Vụ việc bắt nguồn từ hệ thống quản trị và quyền hạn của giao thức Unleash”, và bổ sung rằng “ảnh hưởng dường như chỉ giới hạn trong các hợp đồng và quyền kiểm soát quản lý riêng của Unleash”, đồng thời “không có bằng chứng cho thấy hợp đồng của Story Protocol, các nhà xác thực hoặc hạ tầng nền tảng bị ảnh hưởng”. Thông báo này cố gắng giới hạn phạm vi thiệt hại trong chính Unleash, tránh lan rộng ra toàn bộ hệ sinh thái Story Protocol.
Unleash là một trong nhiều ứng dụng nổi bật xây dựng dựa trên Story Protocol. Story Protocol là một giao thức Layer 1 khá mới, tập trung vào các ứng dụng token hóa quyền sở hữu trí tuệ. Công ty PIP Labs đứng sau Story đã huy động được 1,4 tỷ USD, với các nhà đầu tư gồm nhiều quỹ đầu tư mạo hiểm hàng đầu. Nếu vụ rửa tiền này làm dấy lên nghi ngờ về an ninh hệ sinh thái Story Protocol, có thể ảnh hưởng đến các ứng dụng dựa trên giao thức này và định giá chung.
Đội ngũ Unleash đã cảnh báo người dùng không tương tác với hợp đồng, và sẽ cập nhật ngay khi có thông tin đáng tin cậy về vụ tấn công và các biện pháp khắc phục. Việc tạm dừng hoạt động là biện pháp phòng ngừa tiêu chuẩn, nhằm ngăn hacker khai thác lỗ hổng để rút tiền, nhưng cũng đồng nghĩa người dùng hợp pháp tạm thời không thể truy cập tài sản của mình.
Ở góc độ rộng hơn, vụ rửa tiền này một lần nữa phơi bày rủi ro quản trị của các giao thức DeFi. Mặc dù hệ thống đa chữ ký an toàn hơn so với ký đơn, nhưng vẫn phụ thuộc vào con người, và con người là phần dễ bị tấn công nhất. Khi giá trị khóa trong DeFi ngày càng tăng, các cuộc tấn công vào hệ thống quản trị có thể trở nên phổ biến và phức tạp hơn.