Tencent ra mắt OpenClaw Security Toolkit để ứng phó với thách thức bảo mật Lobster AI Agent

Cập nhật sự cố an toàn của RHEA Finance: Còn khoảng 400.000 USD thiếu hụt, cam kết bồi hoàn toàn bộ

RHEA Finance 发布了针对 4 月 16 日安全事件的后续更新，确认在资产追回方面已取得实质进展；截至本次更新，预计仍存在约 40 万美元的资金缺口，主要源于借贷市场资金池中 NEAR、USDT 及 USDC 的组合。RHEA Finance 承诺全额弥补任何剩余缺口，确保所有受影响用户获得完整补偿。

Nhà nghiên cứu công bố lỗ hổng zero-day nghiêm trọng CVSS 7.1 trong lớp đồng thuận Cosmos CometBFT

Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day CVSS 7.1 trong CometBFT của Cosmos, có thể gây treo các nút trong quá trình đồng bộ; sự phản kháng từ phía nhà cung cấp, việc hạ mức và việc công bố đã dẫn tới tiết lộ vào ngày 21 tháng 4; các trình xác thực (validator) nên tránh khởi động lại trước khi có bản vá. Tóm tắt: Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day nghiêm trọng CVSS 7.1 trong lớp đồng thuận CometBFT của Cosmos, có thể khiến các nút bị treo trong quá trình đồng bộ hóa khối, tiềm ẩn ảnh hưởng đến các mạng bảo vệ hơn $8 tỷ USD tài sản. Lỗ hổng này không thể trực tiếp đánh cắp tiền. Park đã theo đuổi việc công bố phối hợp bắt đầu từ ngày 22 tháng 2, nhưng gặp phải sự phản kháng của nhà cung cấp đối với việc công bố công khai và các vấn đề với HackerOne. Nhà cung cấp đã hạ mức một lỗ hổng liên quan (CVE-2025-24371) xuống mức chỉ mang tính thông tin vào ngày 6 tháng 3, khiến Park phát hành một bản chứng minh khái niệm ở cấp mạng trước khi công bố công khai vào ngày 21 tháng 4. Khuyến cáo cho biết các trình xác thực Cosmos nên tránh khởi động lại các nút cho đến khi các bản vá được phát hành; các nút đã ở trong chế độ đồng thuận có thể tiếp tục hoạt động nhưng việc khởi động lại và đồng bộ lại có thể khiến chúng bị tấn công bởi các đối tượng ngang hàng độc hại, gây rủi ro bế tắc.

Kẻ tấn công Venus chuyển 2.301 ETH tới bộ trộn, Tornado Cash được sử dụng để rửa tiền

Phân tích on-chain theo dõi một kẻ tấn công giao thức Venus chuyển 2.301 ETH (~$5.32M) tới một ví bị nghi ngờ, sau đó thực hiện gom lô qua Tornado Cash; khoảng $17,45M vẫn còn trên chuỗi. Tóm tắt: Ghi chú này tóm lược hoạt động on-chain liên quan đến kẻ tấn công giao thức Venus, bao gồm việc chuyển 2.301 ETH (~$5.32M) tới một ví và trộn theo lô qua Tornado Cash, với khoảng $17,45M vẫn được giữ trên chuỗi.

Kẻ lừa đảo giả mạo cơ quan chức năng của Iran yêu cầu Bitcoin và USDT làm phí đi qua eo biển Hormuz; Ít nhất một tàu bị tấn công sau khi thanh toán

Tin Cổng, ngày 22 tháng 4 — Theo CoinDesk, các kẻ lừa đảo giả danh các cơ quan chức năng của Iran đang yêu cầu các công ty vận tải biển thanh toán tiền điện tử bằng Bitcoin hoặc USDT để đổi lấy việc được đi qua an toàn qua eo biển Hormuz. Công ty rủi ro hàng hải của Hy Lạp, Marisks, đã đưa ra cảnh báo rằng

Volo Protocol 金库 bị tấn công gây thiệt hại 3,5 triệu, TVL còn lại được xác nhận là an toàn

Thỏa thuận hệ sinh thái Sui của Volo đã đăng một tuyên bố trên nền tảng X, xác nhận đã xảy ra một lỗ hổng bảo mật, dẫn đến việc khoảng 3,5 triệu USD tài sản bị đánh cắp trong 3 kho tiền cụ thể, liên quan đến WBTC, XAUm và USDC. Volo cho biết đã thông báo ngay lập tức cho Quỹ Sui và các đối tác hệ sinh thái sau khi phát hiện cuộc tấn công, đồng thời đóng băng tất cả các kho tiền để ngăn chặn thêm tổn thất; Volo cam kết chịu toàn bộ tổn thất, không để người dùng gánh bất kỳ trách nhiệm nào.

KelpDAO bị đánh cắp quỹ đã khởi động quy trình rửa tiền, THORChain khối lượng theo ngày tăng vọt 10 lần

Nhà phân tích on-chain Specter theo dõi và cho biết, nhóm tin tặc Triều Tiên TraderTraitor bắt đầu thực hiện các hoạt động rửa tiền đối với số tiền bị đánh cắp từ KelpDAO vào ngày 22 tháng 4, chỉ sau ba giờ kể từ khi Ủy ban An toàn Arbitrum đóng băng khoảng 30,766 ETH. Kẻ tấn công đã chuyển số tiền qua cây cầu THORChain sang mạng Bitcoin, khiến khối lượng giao dịch trong ngày vượt quá gấp 10 lần so với mức trung bình hàng ngày của 30 ngày.