Điểm nổi bật về sự cố bảo mật hàng tháng của Zero Hour Technology đã bắt đầu! Theo thống kê từ một số nền tảng giám sát rủi ro bảo mật blockchain, vào tháng 5 năm 2024, số tiền thiệt hại do các sự cố bảo mật khác nhau đã tăng lên so với tháng 4. Hơn 37 sự cố bảo mật điển hình đã xảy ra trong tháng 5, với tổng thiệt hại do các cuộc tấn công của hacker, lừa đảo và lừa đảo gây ra lên tới 154 triệu USD, tăng khoảng 52,5% so với tháng 4. Trong số đó, các vụ tấn công lên tới khoảng 54,51 triệu USD, tăng khoảng 3,7%; các vụ lừa đảo lừa đảo lên tới khoảng 97,4 triệu USD, tăng khoảng 754%; 94,5%.

Ngoài ra, còn có một số sự cố bảo mật cụ thể và tin tức mới sẽ được mô tả chi tiết bên dưới.

Hacker tấn công

11 sự cố bảo mật điển hình

(1) Vào ngày 5 tháng 5, GNUS trên chuỗi Fantom đã bị tấn công, dẫn đến thiệt hại khoảng 1,27 triệu USD.

(2) Vào ngày 9 tháng 5, dự án Bloom sinh thái Blast bị tấn công, gây thiệt hại khoảng 540.000 USD. 90% số tiền bị đánh cắp đã được thu hồi (trừ 10% tiền thưởng phát hiện lỗi).

(3) Ngày 10/5, dự án trò chơi Web3 Galaxy Fox bị tấn công gây thiệt hại khoảng 300.000 USD.

(4) Vào ngày 10 tháng 5, Hệ sinh thái cơ sở Tsuru bị tấn công, gây thiệt hại khoảng 410.000 USD.

(5) Vào ngày 14 tháng 5, dự án DEX Perdy Finance trên chuỗi Arbitrum đã bị tấn công, dẫn đến thiệt hại khoảng 460.000 USD.

(6) Vào ngày 15 tháng 5, công cụ Bitcoin DeFi Alex Lab đã mất tổng cộng khoảng 6,3 triệu đô la Mỹ trên chuỗi Stacks và BSC do bị đánh cắp khóa riêng.

(7) Vào ngày 15 tháng 5, dự án phân nhánh phức hợp Sonne Finance trên chuỗi Optimism đã bị tấn công do lỗ hổng hợp đồng, dẫn đến thiệt hại 20 triệu USD. Sau vụ việc, những người đóng góp cho Seal đã tiết kiệm được khoảng 6,5 triệu USD bằng cách bổ sung VELO trị giá khoảng 100 USD vào thị trường. Cuộc tấn công đã lợi dụng một lỗ hổng mới được thêm vào thị trường, trong vòng hai ngày kể từ khi thị trường được tạo ra, kẻ tấn công đã sử dụng chức năng ví đa chữ ký và khóa thời gian để thực hiện các giao dịch chính và thao túng thành công các yếu tố thế chấp của thị trường (c-factor).

(8) Ngày 16/5, dự án bơm.fun sinh thái Solana bị tấn công gây thiệt hại khoảng 1,9 triệu USD. Kẻ tấn công sau đó bắt đầu chuyển tiền vào một số ví ngẫu nhiên. Pump.fun đã đăng trên Twitter rằng cuộc tấn công là do một nhân viên cũ sử dụng đặc quyền của anh ta trong công ty để có được quyền rút tiền một cách bất hợp pháp và sử dụng hợp đồng cho vay để thực hiện một cuộc tấn công cho vay chớp nhoáng.

(9) Ngày 20/5, nền tảng trò chơi Gala Games trên Web3 bị tấn công gây thiệt hại khoảng 21,8 triệu USD. Kẻ tấn công đã đúc 5 tỷ mã thông báo GALA, trị giá hơn 200 triệu USD và sau đó nhanh chóng bán 592 triệu GALA với giá 5.952 ETH. Vào ngày 22 tháng 5, theo hồ sơ on-chain và tuyên bố của Gala Games trên Discord, hacker đã trả lại 5.913,2 ETH.

(10) Vào ngày 21 tháng 5, TonUP, nền tảng Launchpad sinh thái TON, đã bị tấn công do các kỹ sư định cấu hình sai các tham số tập lệnh, dẫn đến thiệt hại khoảng 107.000 USD.

(11) Vào ngày 26 tháng 5, đồng tiền meme sinh thái cơ sở Normie đã bị tấn công, dẫn đến thiệt hại khoảng 490.000 USD.

Kéo thảm / Lừa đảo lừa đảo

6 sự cố bảo mật điển hình

(1) Vào ngày 3 tháng 5, một địa chỉ cá voi nhất định đã bị lừa đảo đầu độc địa chỉ, dẫn đến thiệt hại 72 triệu USD.

(2) Vào ngày 14 tháng 5, một sự cố kéo theo đã xảy ra đối với dự án Pii Park giả trên chuỗi Polygon và nhà triển khai đã kiếm được lợi nhuận khoảng 490.000 USD.

(3) Vào ngày 14 tháng 5, một địa chỉ bắt đầu bằng 0xff49 đã bị Pink Drainer lừa đảo, dẫn đến thiệt hại khoảng 1,66 triệu USD.

(4) Vào ngày 16 tháng 5, một địa chỉ bắt đầu bằng 0x719e đã bị lừa đảo, dẫn đến thiệt hại khoảng 1,25 triệu USD.

(5) Vào ngày 18 tháng 5, một địa chỉ bắt đầu bằng 0xee6a đã bị lừa đảo và mất số token lợi nhuận Pendle trị giá khoảng 5,6 triệu đô la Mỹ.

(6) Vào ngày 26 tháng 5, một địa chỉ bắt đầu bằng 0x2154 đã bị lừa đảo, dẫn đến thiệt hại khoảng 6,9 triệu USD.

tội phạm tiền điện tử

20 sự cố bảo mật điển hình

(1) Vào ngày 19 tháng 5, Tòa án Nhân dân Khu mới Trùng Khánh Liangjiang (Khu thương mại tự do) gần đây đã kết luận một vụ tranh chấp hợp đồng ủy thác cấp cao, liên quan đến tranh chấp về việc ủy ​​thác cho các thành viên của một tổ chức mô hình kim tự tháp mua tiền ảo. Sau khi xét xử, tòa án xác định rằng hợp đồng ủy thác đã vi phạm các quy định bắt buộc của luật pháp quốc gia và các quy định hành chính và nên bị coi là vô hiệu. Sau khi tuyên án sơ thẩm, Chu không chịu chấp nhận bản án và có đơn kháng cáo. Tòa án nhân dân trung cấp số 1 Trùng Khánh đã ra bản án sơ thẩm, bác kháng cáo và giữ nguyên bản án ban đầu. Hiện bản án đã có hiệu lực pháp luật và đương nhiên được thi hành.

(2) Vào tháng 5, cảnh sát quận Maiji, Tianshui đã tới 5 tỉnh, 9 thành phố và triệt phá một băng nhóm rửa tiền ảo trên toàn chuỗi, bắt giữ 13 nghi phạm và thu hồi hàng hóa bị đánh cắp hơn một triệu nhân dân tệ. Hiện 13 nghi phạm hình sự đã bị áp dụng biện pháp hình sự bắt buộc theo quy định của pháp luật và vụ án đang được tiếp tục điều tra.

(3) Vào ngày 15 tháng 5, Văn phòng Công an thành phố Thành Đô đã công bố quá trình phát hiện một vụ án ngân hàng ngầm lớn liên quan đến tiền ảo. Vụ án liên quan đến tổng số tiền 13,8 tỷ nhân dân tệ. Tổng cộng có 193 nghi phạm đã bị bắt và 149 triệu nhân dân tệ. số tiền liên quan đã bị đóng băng. Các manh mối liên quan được thu thập vào tháng 11 năm 2022. Vào ngày 1 tháng 6 năm 2023, dưới sự chỉ huy của Bộ Công an và Cục Công an, 25 nghi phạm hình sự bao gồm Lin, Weng và Chen đã bị bắt, cùng một số lượng lớn nghi phạm hình sự đã được sử dụng. trong vụ án đã bị tịch thu thẻ ngân hàng, tấm chắn USB và các công cụ thanh toán khác.

(4) Theo tin tức ngày 13/5, Cục Công an thành phố Panshi, tỉnh Cát Lâm đã phát hiện thành công vụ án hoạt động trái phép ngân hàng ngầm sử dụng tiền ảo. Số tiền liên quan lên tới khoảng 2,14 tỷ nhân dân tệ và 6 nghi phạm phạm tội ở Trung Quốc. và Hàn Quốc đã bị bắt. Cảnh sát phát hiện băng nhóm tội phạm trong vụ án này đã tham gia kinh doanh ngoại hối trái phép bằng cách sử dụng tài khoản trong nước để nhận và chuyển tiền, giao dịch tiền ảo OTC, thanh toán đồng won Hàn Quốc, v.v., giúp đỡ các đại lý thu mua Hàn Quốc, e-- xuyên biên giới. các công ty thương mại, xuất nhập khẩu và các nhóm khác để thực hiện việc trao đổi Nhân dân tệ và Trao đổi Đồng Won Hàn Quốc.

(5) Ngày 11/5, Cục Công an Phúc Kiến Mingxi phát hiện một vụ lừa đảo tiền ảo. Li gặp một người đàn ông lạ thông qua một phần mềm trò chuyện ở nước ngoài và bị người đàn ông lạ dụ kiếm tiền bằng cách mua tiền ảo "USDT" rồi bán lại để kiếm chênh lệch giá. Anh ta đã nhiều lần chuyển tiền cho người đàn ông này để mua tiền ảo “USDT”. Sau khi nhận được tiền, người đàn ông này đã bịa ra nhiều lý do để từ chối cung cấp tiền ảo “USDT” cho Li. Cuối cùng, Li đã bị lừa 387.000 nhân dân tệ. Ngày 11/5, cảnh sát Mingxi đã tới Tứ Xuyên và bắt giữ thành công nghi phạm lừa đảo Zhao.

(6) Ngày 16/5, sau khi Trung tâm chống lừa đảo Công an huyện Sunwu, thành phố Hắc Hà, tỉnh Hắc Long Giang phát hiện manh mối vụ lừa đảo mạng viễn thông trong quá trình làm việc, công an đã ngay lập tức tổ chức lực lượng cảnh sát để thực hiện công việc. Sau khi tìm hiểu, cảnh sát phát hiện Wu Moumou, cư dân một thành phố thuộc tỉnh Giang Tây, bị nghi ngờ hợp tác với người khác để sử dụng tiền ảo giúp những kẻ lừa đảo viễn thông rửa tiền, đồng thời nhanh chóng xác định được nghi phạm. Cùng ngày, cảnh sát đã bắt giữ và đưa ra công lý 4 nghi phạm gồm Wu Mouyuan, Chen Mou, Liu Mouhua và Wang Mouwei tại một thành phố thuộc tỉnh Giang Tây.

(7) Theo tin ngày 16/5, cảnh sát Hong Kong mới đây đã bắt giữ 3 người đàn ông địa phương trong một vụ nghi ngờ lừa đảo tiền điện tử. Một người đàn ông đã cố gắng bán lại Tether (USDT) trị giá khoảng 1 triệu đô la Hồng Kông trong một cửa hàng ở Tsim Sha Tsui, nhưng đã bị lừa gạt khi được trả bằng đồng xu đen tối.

(8) Ngày 14/5, cảnh sát Hong Kong bắt giữ một băng nhóm rửa tiền xuyên biên giới. Được biết, Cục Điều tra Tội phạm Thương mại của Cảnh sát Hồng Kông đã nhắm mục tiêu vào một nhóm rửa tiền xuyên biên giới vào tháng 11 năm 2023. Cuộc điều tra cho thấy nhóm này đã xúi giục người đại lục mở tài khoản ngân hàng bù nhìn ở Hồng Kông từ tháng 9 năm 2023 đến tháng 3 năm 2024, thông qua các loại vụ lừa đảo khác nhau lừa gạt nạn nhân. Theo hướng dẫn của kẻ lừa đảo, nạn nhân gửi số tiền lừa đảo vào tài khoản bù nhìn do nhóm tội phạm kiểm soát. Sau đó, nhóm sẽ rút số tiền lừa đảo bằng tiền mặt từ tài khoản bù nhìn và mua tiền điện tử tại một sàn giao dịch tiền điện tử không cần kê đơn (. OTC). Đồng thời, nhóm này sẽ mở một tài khoản dưới danh tính giả trên nền tảng tiền điện tử ở nước ngoài, gửi tiền điện tử được mua bằng tiền lừa đảo, sau đó chuyển nó sang nhiều ví tiền điện tử để rửa tiền thu được từ tội phạm.

(9) Bộ Tư pháp Hoa Kỳ đã truy tố và bắt giữ Cartier, người thừa kế trang sức Cartier, với cáo buộc sử dụng USDT để rửa tiền và bị cáo buộc thông đồng với các tập đoàn ma túy Colombia. Cartier, cùng với 5 công dân Colombia, đã cố gắng nhập khẩu 100 kg cocaine và rửa hàng trăm triệu đô la, chủ yếu thông qua giao dịch USDT không cần kê đơn (OTC). Họ thực sự đã rửa được 14,5 triệu USD trước khi bị bắt. Cartier hiện đang bị giam giữ tại Trung tâm giam giữ Miami, trong khi những người đồng phạm của anh ta đang bị giam tại một nhà tù ở Colombia.

(10) Bộ Tư pháp Hoa Kỳ đã bắt giữ một thủ lĩnh botnet lên kế hoạch lừa đảo trực tuyến trị giá 130 triệu USD, theo cáo trạng ngày 29/5, nghi phạm bị tình nghi “tạo và phát tán phần mềm độc hại để xâm chiếm và tổng hợp hàng trăm triệu người trên thế giới. .” Hàng triệu mạng máy tính Windows tại nhà" Một phân tích độc lập của công ty phân tích chuỗi khối Chainlysis đã tiết lộ rằng các địa chỉ ví được liên kết với các nghi phạm đã nắm giữ tổng cộng hơn 130 triệu đô la tài sản kỹ thuật số kiếm được thông qua hoa hồng bất hợp pháp.

(11) Vào ngày 17 tháng 5, một bản cáo trạng ở Quận Trung tâm California đã được công bố, buộc tội hai công dân Trung Quốc bị cáo buộc đóng vai trò chính trong kế hoạch rửa tiền liên quan đến gian lận đầu tư tiền điện tử. Họ bị cáo buộc cầm đầu một kế hoạch rửa tiền liên quan đến vụ lừa đảo đầu tư tiền điện tử quốc tế trị giá ít nhất 73 triệu USD.

(12) Theo tin tức ngày 1 tháng 5, FBI đã phát hiện ra Idin Dalpour, một kế hoạch Ponzi sử dụng các khoản đầu tư tiền điện tử làm mồi nhử, liên quan đến 43 triệu USD.

(13) Ngày 14/5, Alexey Pertsev, một trong những nhà phát triển dịch vụ trộn tiền Tornado Cash, bị kết tội rửa tiền và bị kết án 64 tháng tù ở Hà Lan.

(14) Theo tin tức ngày 15 tháng 5, “Vua tiền điện tử” người Canada và các cộng sự của ông đã bị bắt và bị buộc tội lừa đảo 30 triệu USD của các nhà đầu tư thông qua các chương trình đầu tư tiền điện tử và ngoại hối.

(15) Theo tin tức ngày 21 tháng 5, chính quyền Hoa Kỳ đã bắt giữ và buộc tội một người đàn ông Đài Loan điều hành một thị trường buôn bán ma túy darknet, bị cáo buộc sử dụng trang web này để bán số ma túy bất hợp pháp trị giá hơn 100 triệu USD, bao gồm cả fentanyl, bằng tiền điện tử.

(16) Chính quyền Paraguay đã bắt giữ gần 400 thợ đào Bitcoin ở thành phố Sapquet. Hoạt động này được cảnh sát và Cơ quan Điện lực Quốc gia (ADE) phối hợp thực hiện như một phần của cuộc điều tra về nghi ngờ trộm cắp điện.

(17) Theo tin tức ngày 31/5, chính quyền Thổ Nhĩ Kỳ đã phát động chiến dịch mã hóa tại 21 tỉnh ở Ankara và bắt giữ 127 nghi phạm bị tình nghi “thực hiện hành vi lừa đảo quốc tế thông qua kế hoạch Ponzi” và “tội ác và rửa tài sản có được từ tội phạm”. Trong quá trình hoạt động, cơ quan chức năng đã thu giữ hơn 177 bất động sản và 61 bất động sản trị giá 1 tỷ TL. Ngoài ra, họ cũng tịch thu một khẩu súng không có giấy phép, một khẩu súng bắn đạn trống và một số tài sản tiền điện tử.

(18) Theo tin ngày 26/5, cơ quan thực thi pháp luật Malaysia mới đây đã bắt giữ một băng nhóm tội phạm bị tình nghi sử dụng tiền điện tử để rửa tiền, tổng cộng 10 người đã bị bắt. Trong các cuộc đột kích từ ngày 13 đến ngày 21 tháng 5, các nhân viên thực thi pháp luật đã thu giữ 129 phương tiện với tổng giá trị khoảng 3,8 triệu USD, cũng như đồng hồ hàng hiệu trị giá hơn 3,9 triệu USD, 18 ô tô, xe máy và túi xách sang trọng, và tài khoản ngân hàng bị đóng băng với tổng trị giá khoảng 10,8 triệu USD. Băng nhóm này bị cáo buộc đã thu lợi bất hợp pháp bằng cách lừa đảo biển số xe cao cấp và kinh doanh đồng hồ hàng hiệu xa xỉ, đồng thời chuyển tiền sang Malaysia thông qua các sàn giao dịch và sàn giao dịch tiền điện tử chưa đăng ký.

(19) Ủy ban Chứng khoán Texas ở Hoa Kỳ đã ban hành lệnh ngừng hoạt động đối với Arkbit Capital, cáo buộc công ty này tham gia vào các hoạt động khai thác tiền điện tử lừa đảo trên nền tảng đám mây. Theo lệnh, Ủy ban Chứng khoán Texas phát hiện Arkbit Capital và các đơn vị liên kết của nó tham gia vào các hoạt động lừa đảo, bao gồm sử dụng các kỹ thuật thao túng hình ảnh và video lừa đảo để thúc đẩy các kế hoạch đầu tư của mình. Arkbit đã tuyên bố sai rằng họ vận hành một trung tâm dữ liệu có trụ sở tại Arkansas để khai thác nhiều loại tiền điện tử khác nhau trên nền tảng đám mây, hứa hẹn lợi nhuận đầu tư hàng ngày là 1,6-2,8% trong 120 ngày đối với tiền gửi tài sản kỹ thuật số trong khoảng từ 50 đến 49.999 USD.

(20) Theo tin tức ngày 26 tháng 5, công dân Ấn Độ Chirag Tomar đã nhận tội “tội liên bang ăn cắp hơn 37 triệu đô la bằng cách lừa dối trang web Coinbase” và nhận tội lừa đảo qua đường dây, có thể bị phạt tới 20 năm tù và phạt 250.000 USD. Chirag Tomar và các cộng sự của anh ta đã thiết kế một trang web Coinbase Pro giả mạo để lừa người dùng nhập thông tin đăng nhập và mã xác thực hai yếu tố. Họ đã bị bắt tại Sân bay Atlanta khi nhập cảnh vào Hoa Kỳ vào ngày 20 tháng 12 năm ngoái và vẫn đang bị liên bang giam giữ.

Tóm tắt

Đánh giá từ việc phân tích các sự kiện nêu trên, số tiền thiệt hại tăng so với tháng 4 và tháng 5. Trong số đó, có 2 vụ hack với thiệt hại vượt quá 10 triệu đô la Mỹ: nền tảng trò chơi Gala Games thiệt hại 22,5 triệu đô la Mỹ do bị tấn công. rò rỉ khóa riêng và Sonne Finance đã mất 22,5 triệu đô la Mỹ do rò rỉ hợp đồng. Lỗ hổng này gây thiệt hại 20 triệu đô la.

Nhóm bảo mật công nghệ zero-hour khuyến nghị các bên tham gia dự án luôn cảnh giác và tiến hành đào tạo về an ninh nội bộ cũng như quản lý thẩm quyền để nâng cao nhận thức về bảo mật của nhân viên và tránh tệ nạn nội bộ.

Ghi chú:

Nội dung của bài viết này đều được thu thập từ thông tin có sẵn công khai.

Lời nhắc quan trọng: Bài viết này chỉ tổng hợp thông tin ngành và không cấu thành bất kỳ lời khuyên hoặc đảm bảo đầu tư nào.​​ ​