Crypto-Sec là chuyên mục tổng hợp hai tuần một lần của TinTucBitcoin về các câu chuyện và mẹo liên quan đến tiền điện tử và an ninh mạng.
Polter Finance bị rút cạn trong cuộc tấn công flash loan “kinh điển”
Nền tảng DeFi (DeFi) dựa trên Fantom, Polter Finance, đã bị rút hơn 7 triệu USD thông qua cuộc tấn công flash loan “kinh điển” vào ngày 18 tháng 11, theo phân tích của chuyên gia blockchain Nick Franklin.
Kẻ tấn công đã tăng giá Token quản trị của SpookySwap, BOO, một cách giả tạo bằng cách vay “gần như tất cả các Token BOO từ LP [bể thanh khoản].” Khi giá đã đủ cao, kẻ tấn công “có thể gửi 1 BOO và rút cạn tất cả các bể.”
Nguồn: Nick Franklin
Dữ liệu từ nền tảng phân tích blockchain BlockSec Phalcon xác nhận rằng trước cuộc tấn công, chỉ có 269.042,22851562786 Token trong bể thanh khoản.
Kẻ tấn công sau đó vay 269.042,22851562785 Token BOO (1,3 triệu USD dựa trên giá BOO tại thời điểm đó) thông qua một khoản vay chớp nhoáng, chỉ còn lại 0,000000000001 Token.
Vì giá Token trên sàn giao dịch phi tập trung được xác định bằng tỷ lệ giữa Token đó và Token mà nó định giá, điều này đã khiến giá BOO tăng vọt.
Kẻ tấn công sau đó đã gửi một Token BOO duy nhất và tiến tới vay 9,1 triệu USD Token Fantom bọc (FTM), thu về 7,8 triệu USD tiền lãi.
Kẻ tấn công đã lặp lại cuộc tấn công để có được các Token khác, bao gồm Magic Internet Money (MIM), sFTMX, Axelar USDC (axlUSDC), Bitcoin (BTC), Ether (ETH) và USD Coin (USDC). Một số ước tính cho rằng cuộc tấn công đã rút tổng cộng 12 triệu USD.
Franklin không đưa ra suy đoán về cách kẻ tấn công có thể lấy lại đủ BOO để trả lại khoản vay chớp nhoáng. Tuy nhiên, một lời giải thích có thể là họ đã mua nó từ một bể thanh khoản khác với giá thấp hơn nhiều.
Người dùng DeFi nên xem xét rủi ro khi gửi tiền vào các nền tảng có Token thanh khoản thấp, vì giá của các Token này thường dễ bị thao túng.
Người sáng lập ẩn danh của Polter Finance, được biết đến với cái tên Whichghost, đã nộp đơn báo cáo cảnh sát về vụ việc và đang cố gắng đàm phán với kẻ tấn công.
CoinPoker bị tấn công ví nóng
Nền tảng poker tiền điện tử CoinPoker gần đây trở thành nạn nhân của một vụ hack khoá riêng tư, theo một báo cáo ngày 18 tháng 11 từ nền tảng phân tích blockchain Cyvers. Kẻ tấn công thực hiện các giao dịch trên nhiều mạng khác nhau, bao gồm BNB Smart Chain, Ethereum và Polygon.
Vào ngày 16 tháng 11, nền tảng poker cố gắng mở đàm phán với kẻ tấn công bằng cách đăng một thông điệp lên mạng Ethereum.
“Chúng tôi nhận thức được hoạt động liên quan đến việc tiền bị đánh cắp từ địa chỉ ví [bắt đầu bằng 0x3c17],” thông điệp cho biết. “Chúng tôi tìm cách xây dựng kênh liên lạc an toàn để giải quyết vấn đề này một cách xây dựng. […] Chúng tôi sẵn sàng thảo luận về các điều khoản, bao gồm một khoản tiền thưởng tiềm năng, để hoàn trả an toàn số tiền.”
Dữ liệu blockchain cho thấy kẻ tấn công đã gửi hầu hết số tiền bị đánh cắp vào máy trộn quyền riêng tư Tornado Cash, khiến việc truy vết trở nên khó khăn và có thể tạo ra yếu điểm trong khả năng thương lượng của nền tảng.
Kẻ tấn công Coinpoker rửa tiền qua Tornado Cash: Nguồn: Etherscan
Người dùng Web3 nên biết rằng họ có thể mất tiền nếu một nền tảng trò chơi tập trung bị hack và mất tiền gửi của khách hàng. May mắn thay, CoinPoker dường như đã vượt qua cuộc tấn công này, vì các lệnh rút tiền hiện tại vẫn hoạt động bình thường.
Người đàn ông nhận 24 năm tù vì vụ lừa đảo tiền điện tử làm sập ngân hàng
Một người đàn ông từ thành phố Elkhart, Kansas, Hoa Kỳ bị kết án 24 năm tù vì vai trò trong một vụ lừa đảo tiền điện tử làm sập ngân hàng Heartland Tri-State, theo báo cáo ngày 5 tháng 11 từ trang tin công nghệ The Register của Vương quốc Anh. Kẻ đầu sỏ đứng sau vụ lừa đảo này vẫn chưa bị bắt giữ bởi cơ quan chức năng.
Theo báo cáo, Shan Hanes, 53 tuổi, là giám đốc điều hành của Ngân hàng Heartland Tri-State vào thời điểm ông gặp một kẻ lừa đảo tiền điện tử qua WhatsApp năm 2023.
Kẻ lừa đảo này đã thuyết phục Hanes đầu tư vào một kế hoạch đầu tư tiền điện tử giả. Nhưng Hanes không chỉ đóng góp tiền của mình mà còn chiếm đoạt cả quỹ của Elkhart Church of Christ và Câu lạc bộ Đầu tư Santa Fe, những tổ chức mà ông phụ trách quản lý tài chính.
Hơn nữa, Hanes cuối cùng đã bắt đầu rút tiền từ chính ngân hàng. Hơn 47 triệu USD đã bị rút từ tiền gửi tại Ngân hàng Heartland Tri-State và được chuyển vào kế hoạch lừa đảo tiền điện tử này, nhưng kế hoạch không tạo ra lợi nhuận thực tế nào và toàn bộ số tiền đã bị kẻ sáng lập vô danh bỏ túi.
Quan chức tài chính của ngân hàng cuối cùng đã báo cáo hành vi gian lận của Hanes với cơ quan chức năng. Nhưng lúc đó, tổn thất quá lớn đã vượt qua tổng tài sản của ngân hàng, dẫn đến tình trạng phá sản.
Theo báo cáo tháng 7 năm 2023 của CNN, ngân hàng thất bại này đã được cứu trợ đầu tiên bởi Tập đoàn Bảo hiểm Tiền gửi Liên bang Hoa Kỳ, sau đó được mua lại bởi Dream First Bank of Syracuse và mở cửa trở lại.
Theo báo cáo, cơ quan chức năng đã thu hồi được 8 triệu USD từ các ví của Hanes, nhưng 39 triệu USD còn lại đã mất mãi mãi.
Các nhà đầu tư tiền điện tử có thể muốn cảnh giác với các khoản đầu tư tiền điện tử không thể theo dõi trên blockchain qua một công cụ tìm kiếm khối công khai. Những loại “dự án” này thường hóa hư cấu.
