Người gọi mạo danh cảnh sát trong vụ lừa đảo Bitcoin tại Colorado
Một số cư dân của bang Colorado, Hoa Kỳ đã trở thành nạn nhân của một chiêu trò lừa đảo mới khi những kẻ mạo danh cảnh sát đã lừa đảo qua điện thoại.
Theo báo cáo ngày 31/10 từ trang tin địa phương Summit Daily, một kẻ gian đã gọi điện đến các cư dân và tự xưng là đại diện của chính quyền địa phương. Họ tuyên bố rằng nạn nhân phải nộp phạt 10.000 USD vì lỡ nghĩa vụ bồi thẩm đoàn, và số tiền này phải được thanh toán qua Bitcoin.
Trước tình hình đó, nạn nhân đã chuyển 6.000 USD Bitcoin (BTC), nhưng chính quyền thực sự đã can thiệp để ngăn cản việc chuyển thêm 4.000 USD còn lại, giúp nạn nhân thoát khỏi tay kẻ gian.
Theo báo cáo, đây không phải là vụ lừa đảo qua điện thoại bằng BTC đầu tiên trong khu vực. Trong một trường hợp khác, kẻ tấn công đã giả mạo số điện thoại của trụ sở cảnh sát địa phương.
Họ gọi điện cho nhiều người tự xưng là “Trung úy Schilling” và yêu cầu tiền. “Trung úy” giả mạo này tuyên bố rằng các cá nhân đã lỡ ngày tòa án và rằng ông ta có lệnh bắt giữ họ. Không như trường hợp trước, không cá nhân nào trong số này gửi tiền hay cung cấp thông tin cá nhân cho kẻ tấn công.
Theo báo cáo, sở cảnh sát đã phát đi thông báo rằng họ sẽ không bao giờ yêu cầu người dùng chuyển BTC qua điện thoại.
Các người dùng tiền điện tử cần lưu ý rằng các giao dịch trên blockchain là không thể đảo ngược. Một khi người dùng gửi tiền điện tử tới một địa chỉ, tiền không thể được thu hồi. Do vậy, người dùng cần đặc biệt thận trọng để đảm bảo người mà họ gửi tiền thực sự là người mà họ nói mình là.
Sunray Finance bị tấn công với mức tổn thất 2,7 triệu USD
Giao thức giao dịch vĩnh viễn Sunray Finance trên Arbitrum đã bị tấn công mất 2,7 triệu USD vào ngày 30/10, khi kẻ tấn công đã nâng cấp hợp đồng của giao thức và phát hành hai trăm triệu tỷ (200.000.000.000.000.000.000) của Token gốc SUN, theo báo cáo từ công ty bảo mật blockchain TenArmor.
Kẻ tấn công sau đó đã đổi một nửa số Token lấy 2,1 triệu USD Tether (USDT). Vụ tấn công đã khiến giá SUN sụp đổ.
Kẻ xâm nhập dường như đã bỏ qua thực tế rằng có một nhóm thanh khoản thứ 2 cho SUN. Ngay lập tức sau đó, một bot tranh thủ đã mua khoảng 90 triệu tỷ SUN từ nhóm thanh khoản mà kẻ tấn công đã đổ vào, rồi bán vào nhóm thứ 2 với lợi nhuận khoảng 560.000 USD Ether (ETH). Điều này cũng khiến giá trong nhóm thứ 2 suy giảm.
Sunray đã tiết lộ về vụ tấn công trên X, cho biết có “sự phát hành đột ngột của các Token tài sản ngân khố Sunray”. Họ tuyên bố đang “làm việc chăm chỉ để phục hồi tất cả dữ liệu” và kêu gọi người dùng hãy kiên nhẫn trong lúc họ điều tra.
Nguồn: Sunray Finance
Vì kẻ tấn công đã khởi động nâng cấp hợp đồng, TenAmor gợi ý rằng vụ tấn công có thể là do một khóa bí mật bị rò rỉ.
Người dùng tiền điện tử cần biết rằng một số giao thức chứa hợp đồng có thể nâng cấp. Các hợp đồng này gồm hai phần: Một hợp đồng proxy chứa số dư và một hợp đồng triển khai chứa mã.
Nhà phát triển hoặc quản trị viên có thể thay đổi hợp đồng triển khai bất kỳ lúc nào bằng cách chỉ định proxy trỏ tới một triển khai khác, điều này có thể dẫn đến thay đổi chức năng của giao thức.
Nếu một giao thức có chứa các hợp đồng có thể nâng cấp, thì điều này thường có nghĩa là các quản trị viên có thể dễ dàng rút cạn quỹ bất cứ lúc nào họ muốn. Do đó, người dùng chỉ nên tương tác với các hợp đồng có thể nâng cấp nếu họ thực sự tin tưởng cao vào nhà phát triển.
Ngay cả khi nhà phát triển hoàn toàn đáng tin cậy, hợp đồng có thể nâng cấp vẫn có thể bị khai thác nếu kẻ tấn công đánh cắp khóa bí mật của nhà phát triển, đây có thể là điều đã xảy ra trong trường hợp này.
Ramses Exchange là nạn nhân của vụ khai thác phần thưởng
Một sàn giao dịch phi tập trung khác trên Arbitrum, Ramses, đã bị khai thác với số tiền mất 93.000 USD vào ngày 24/10, theo báo cáo từ nền tảng bảo mật blockchain Blocksec Phalcon. Trong trường hợp này, nâng cấp hợp đồng không phải là nguyên nhân gây ra tổn thất. Thay vào đó, mã chứa một lỗi cho phép kẻ tấn công “rút cạn hợp đồng dễ bị tổn thương”.
Theo Blocksec, đội ngũ Ramses đã được thông báo về vụ tấn công và đã tiến hành các biện pháp ngăn chặn.
Nguồn: Blocksec Phalcon.
Một công ty bảo mật blockchain khác, SolidityScan, đã cung cấp báo cáo sau sự kiện về cuộc khai thác vào ngày 25/10. Kẻ tấn công đã sử dụng một Token không thể thay thế duy nhất để nhận phần thưởng nhiều lần mà không cần chờ đợi một kỳ thưởng mới kết thúc. Chính các phần thưởng quá mức này, không phải là phần của thiết kế giao thức, đã cho phép pool phần thưởng bị rút cạn, dẫn tới khoản giảm 93.000 USD.
Ramses đã được kiểm toán bởi công ty bảo mật Yearn Academy vào năm 2023. SolidityScan không nêu rõ liệu khai thác này có xuất hiện trong phiên bản được kiểm toán hay không hoặc liệu nó đã được thêm vào sau này.
Theo báo cáo, nhóm Ramses đã thừa nhận vụ tấn công và tuyên bố rằng số dư của người dùng sẽ không bị ảnh hưởng.
Cảnh sát Ấn Độ cho biết kẻ lừa đảo tiền điện tử đã chiếm đoạt 297.000 USD
Cảnh sát tại Dhone, Ấn Độ đang điều tra các khiếu nại rằng một kẻ lừa đảo tiền điện tử đã ăn cắp tiền từ khoảng 320 người trên nhiều khu vực của đất nước, chiếm đoạt hơn 23 triệu rupee Ấn Độ (297.000 USD) từ các nạn nhân, theo báo cáo của Deccan Chronicle.
Kẻ lừa đảo bị cáo buộc, Ramanjaneyulu, được cho là đã hứa hẹn thu nhập 10.000 rupee (119 USD) mỗi tháng cho các nhà đầu tư gửi tiền điện tử cho hắn. Những người tố cáo cho biết hắn tuyên bố được hỗ trợ bởi các sàn giao dịch nổi tiếng như Binance và OKX và cũng tự xưng là đại diện cho một công ty thảo mộc hữu cơ.
Cảnh sát vẫn đang điều tra các cáo buộc và chưa lập hồ sơ chính thức.
