Crypto-Sec là bản tổng hợp hai tuần một lần của Cointelegraph về các câu chuyện và mẹo liên quan đến tiền điện tử và an ninh mạng.
Polter Finance bị rút trong cuộc tấn công vay chớp nhoáng "cổ điển"
Giao thức tài chính phi tập trung (DeFi) dựa trên Fantom, Polter Finance, đã bị rút hơn 7 triệu đô la thông qua một cuộc tấn công vay chớp nhoáng "cổ điển" vào ngày 18 tháng 11, theo nhà phân tích blockchain Nick Franklin.
Kẻ tấn công đã tăng giá token quản trị SpookySwap, BOO, một cách nhân tạo bằng cách vay "hầu như tất cả các token BOO từ LP [hồ thanh khoản]." Khi giá đạt đủ cao, kẻ tấn công "đã có thể gửi 1 BOO và rút sạch tất cả các hồ."
Nguồn: Nick Franklin
Dữ liệu từ nền tảng phân tích blockchain BlockSec Phalcon xác nhận rằng trước cuộc tấn công, chỉ có 269,042.22851562786 token trong hồ thanh khoản.
Kẻ tấn công sau đó đã vay 269,042.22851562785 token BOO (1,3 triệu đô la dựa trên giá BOO tại thời điểm đó) thông qua một khoản vay chớp nhoáng, chỉ để lại 0.000000000001 token còn lại.
Vì giá của một token trên một sàn giao dịch phi tập trung được xác định bởi tỷ lệ giữa nó và token mà nó được định giá, điều này chắc chắn đã khiến giá BOO tăng vọt.
Kẻ tấn công sau đó đã gửi một token BOO duy nhất và tiếp tục vay 9,1 triệu đô la giá trị token Fantom (FTM) đã được bao bọc, kiếm được 7,8 triệu đô la trong quá trình này.
Kẻ tấn công sau đó đã lặp lại cuộc tấn công để lấy các token khác, bao gồm Magic Internet Money (MIM), sFTMX, Axelar USDC (axlUSDC), Bitcoin (BTC), Ether (ETH), và USD Coin (USDC). Một số ước tính đã cho rằng cuộc tấn công đã rút sạch tổng cộng 12 triệu đô la.
Franklin không suy đoán về cách kẻ tấn công có thể lấy lại đủ BOO để trả lại khoản vay chớp nhoáng. Tuy nhiên, một lý do khả dĩ là họ đã mua nó từ một hồ thanh khoản khác với giá thấp hơn nhiều.
Người dùng DeFi nên xem xét các rủi ro khi gửi tiền vào các nền tảng có token thanh khoản thấp, vì giá của những token này thường dễ bị thao túng.
Người sáng lập ẩn danh của Polter Finance, được biết đến với tên gọi Whichghost, đã nộp báo cáo cảnh sát về sự cố này và đang cố gắng đàm phán với kẻ tấn công.
CoinPoker bị tấn công ví nóng
Nền tảng poker tiền điện tử CoinPoker gần đây đã là nạn nhân của một cuộc tấn công khóa riêng tư, theo báo cáo ngày 18 tháng 11 từ nền tảng phân tích blockchain Cyvers. Kẻ tấn công đã thực hiện các chuyển khoản qua nhiều mạng khác nhau, bao gồm BNB Smart Chain, Ethereum và Polygon.
Vào ngày 16 tháng 11, nền tảng poker đã cố gắng mở cuộc đàm phán với kẻ tấn công bằng cách đăng một thông điệp lên mạng Ethereum.
“Chúng tôi biết về hoạt động liên quan đến những khoản tiền bị đánh cắp từ địa chỉ ví [bắt đầu bằng 0x3c17],” thông điệp cho biết. “Chúng tôi muốn thiết lập giao tiếp an toàn để giải quyết vấn đề này một cách xây dựng. [...] Chúng tôi sẵn lòng thảo luận về các điều khoản, bao gồm một khoản tiền thưởng tiềm năng, để đảm bảo an toàn cho việc trả lại các khoản tiền.”
Dữ liệu blockchain cho thấy kẻ tấn công đã gửi hầu hết các khoản tiền bị đánh cắp vào máy trộn riêng tư Tornado Cash, khiến việc truy tìm trở nên khó khăn, điều này có thể tạo ra điểm yếu trong vị thế đàm phán của nền tảng.
Kẻ tấn công Coinpoker rửa tiền qua tornado cash: Nguồn: Etherscan
Người dùng Web3 nên nhận thức rằng họ có thể mất tiền nếu một nền tảng game tập trung bị hack và làm mất tiền gửi của khách hàng. May mắn thay, CoinPoker dường như đã đứng vững trước cuộc tấn công này, vì việc rút tiền hiện tại dường như hoạt động bình thường.
Người đàn ông nhận 24 năm tù vì lừa đảo tiền điện tử làm sập ngân hàng
Một người đàn ông từ thành phố Elkhart, Kansas, Hoa Kỳ đã nhận 24 năm tù vì vai trò của mình trong một trò lừa đảo tiền điện tử đã làm sập Ngân hàng Heartland Tri-State, theo báo cáo ngày 5 tháng 11 từ trang tin công nghệ Vương quốc Anh The Register. Người đứng đầu trò lừa đảo vẫn chưa bị các cơ quan chức năng bắt giữ.
Theo báo cáo, Shan Hanes, 53 tuổi, là Giám đốc điều hành của Ngân hàng Heartland Tri-State vào thời điểm ông tiếp xúc với một kẻ lừa đảo tiền điện tử qua WhatsApp vào năm 2023.
Kẻ lừa đảo được cho là đã thuyết phục Hanes đầu tư vào một kế hoạch đầu tư tiền điện tử giả. Nhưng Hanes không chỉ góp tiền của mình. Ông còn biển thủ tiền từ Nhà thờ Christ Elkhart và Câu lạc bộ Đầu tư Santa Fe, những tổ chức mà ông chịu trách nhiệm xử lý tài chính.
Ngoài ra, Hanes cuối cùng đã bắt đầu rút tiền từ chính ngân hàng. Hơn 47 triệu đô la đã bị rút từ tiền gửi của Ngân hàng Heartland Tri-State và gửi vào trò lừa đảo tiền điện tử này, nhưng trò lừa đảo không bao giờ tạo ra lợi nhuận thực sự, và tiền chỉ đơn giản là bị túm lấy bởi người sáng lập không tên của nó.
Giám đốc tài chính của ngân hàng cuối cùng đã báo cáo việc biển thủ của Hanes với các cơ quan chức năng. Nhưng vào thời điểm đó, thiệt hại lớn đến nỗi chúng lớn hơn vốn hóa của ngân hàng, khiến ngân hàng phá sản.
Theo báo cáo của CNN vào tháng 7 năm 2023, ngân hàng thất bại đã được Cơ quan Bảo hiểm Tiền gửi Liên bang Hoa Kỳ cứu trợ trước, sau đó được Ngân hàng Dream First của Syracuse mua lại và mở cửa trở lại.
Theo báo cáo, các cơ quan chức năng đã thành công trong việc thu hồi 8 triệu đô la từ ví của Hanes, nhưng 39 triệu đô la còn lại đã bị mất mãi mãi.
Các nhà đầu tư tiền điện tử có thể muốn nghi ngờ về các khoản đầu tư tiền điện tử mà không thể được theo dõi trên blockchain thông qua một trình khám phá khối công khai. Những loại "dự án" này thường hóa ra là hư cấu.
