Ngày 10 tháng 3, thông tin cho biết, giao thức cho vay DeFi Compound Finance gần đây lại gặp phải sự cố an ninh phía giao diện người dùng, nhiều người dùng báo cáo rằng trang web chính thức của dự án xuất hiện bất thường và bị chuyển hướng đến trang giả mạo có khả năng lừa đảo. Sự kiện này được xem là trường hợp mới nhất trong chuỗi các vụ tấn công chiếm đoạt trang web của các nền tảng DeFi gần đây.
Theo giải thích của nhóm an ninh dự án đăng trên diễn đàn quản trị, kẻ tấn công đã giả mạo tên miền tương tự “compOOnd” để xây dựng trang lừa đảo và dẫn người truy cập đến trang này. Tuy nhiên, nhóm cho biết hiện tại chưa phát hiện thiệt hại về tài sản của người dùng, các chứng thực của các tài khoản hạ tầng bị ảnh hưởng đã được thay thế hoàn toàn, rủi ro hệ thống đã được kiểm soát.
Đây là lần thứ hai trong chưa đầy hai năm, giao diện phía trước của Compound gặp phải sự tấn công tương tự. Trước đó, vào tháng 7 năm 2024, nhiều tên miền dự án DeFi được lưu trữ trên Squarespace đã bị hacker tấn công tập trung, trong đó trang web của Compound cũng bị ảnh hưởng. Các chuyên gia an ninh nhận định, khi công cụ lừa đảo qua mạng tự động hóa ngày càng nâng cao, kỹ thuật tấn công tương tự đang ngày càng dễ thực hiện hơn.
Trong vụ việc lần này, lý do tài sản của người dùng không bị ảnh hưởng một phần là do cách triển khai các giao diện giao dịch cốt lõi khác biệt. Theo giải thích chính thức, tên miền phụ app.compound.finance dùng để kết nối ví và thực hiện giao dịch, cung cấp dịch vụ qua mạng IPFS, giúp nhóm an ninh có thể xác minh độc lập tính toàn vẹn của mã nguồn, từ đó giảm thiểu rủi ro bị chỉnh sửa phía giao diện người dùng.
Dù sự cố này chưa gây thiệt hại về tài chính, nhưng đối với Compound, một trong những giao thức hàng đầu của DeFi, các vấn đề liên tiếp gần đây đã làm giảm lòng tin của thị trường. Trong những năm qua, dự án này từng nhiều lần gặp tranh cãi về vận hành và quản trị. Ví dụ, DAO của Compound trước đó từng bị cộng đồng đặt câu hỏi về xung đột lợi ích tiềm năng với nhà cung cấp dịch vụ quản lý rủi ro Gauntlet.
Trước đó nữa, vào năm 2022, một sai sót trong vận hành đã khiến thị trường cETH trị giá hơn 8 tỷ USD tạm ngưng hoạt động khoảng một tuần cho đến khi hoàn tất sửa chữa kỹ thuật. Ngoài ra, trong quá trình nâng cấp giao thức năm 2021, cũng từng xảy ra sự cố phân phát phần thưởng sai, khiến khoảng 1,5 tỷ USD token bị phát sai cho người dùng.
Các nhà phân tích nhận định, khi quy mô ngành DeFi mở rộng, an ninh phía giao diện người dùng, bảo vệ tên miền và minh bạch trong quản trị đang trở thành các yếu tố quan trọng để duy trì hoạt động ổn định lâu dài của các giao thức. Đối với các nền tảng cho vay, bất kỳ lỗ hổng an ninh nào trên trang web cũng có thể trở thành cổng chính để kẻ tấn công thực hiện các vụ lừa đảo qua mạng.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Project Eleven cảnh báo Q-Day có thể diễn ra sớm nhất vào năm 2030, với 6,9 triệu Bitcoin có nguy cơ bị ảnh hưởng
Theo báo cáo hôm thứ Tư của Project Eleven, máy tính lượng tử có thể bẻ gãy mã hóa hiện đại sớm nhất vào năm 2030, khi công ty khởi nghiệp ước tính rằng 6,9 triệu bitcoin, trị giá hơn 560 tỷ USD, có thể bị phơi nhiễm rủi ro lượng tử trong một số điều kiện nhất định.
Startup tập trung vào bảo mật hậu lượng tử
GateNews1giờ trước
Ekubo Protocol bị rút cạn 1,4 triệu USD WBTC thông qua lỗ hổng khai thác dựa trên cấp quyền
Theo công ty bảo mật blockchain Blockaid, Ekubo Protocol gần đây đã mất khoảng 1,4 triệu USD dưới dạng wrapped bitcoin (WBTC) sau khi kẻ tấn công khai thác một lỗ hổng kiểm soát truy cập trong các hợp đồng EVM swap router của dự án. Kẻ tấn công đã vượt qua các cơ chế xác minh thanh toán để rút tiền từ các ví.
GateNews5giờ trước
Hồ sơ nạn nhân khủng bố Triều Tiên $71M đệ đơn kiện các hacker của vụ tấn công Aave, diễn giải lại vụ tấn công thành hành vi lừa đảo
Các luật sư đại diện cho các nạn nhân của 3 vụ khủng bố do Triều Tiên thực hiện đã nộp một bản trả lời dài 30 trang vào hôm thứ Ba, trong đó họ định hình lại vụ hack Aave ngày 18/4 như một hành vi lừa đảo chứ không phải trộm cắp — một sự phân biệt pháp lý có thể trao cho kẻ tấn công “quyền sở hữu hợp pháp” đối với lượng crypto được mượn. Các nạn nhân đang tìm cách thu hồi khoảng 71 triệu USD
GateNews8giờ trước
Crypto Whale kiện Coinbase vì số tiền bị đánh cắp $55M DAI bị đóng băng
Một cá voi crypto ẩn danh được xác định là "D.B." đã nộp đơn kiện vào hôm thứ Hai chống lại Coinbase và một kẻ trộm bị cáo buộc, do sàn từ chối hoàn trả các khoản tiền bị đóng băng liên quan đến vụ trộm crypto diễn ra vào tháng 8 năm 2024, theo hồ sơ tòa án. Nguyên đơn bị mất khoảng 55 triệu USD trị giá DAI trong sự cố
CryptoFrontier9giờ trước
Bitcoin Core tiết lộ lỗi có thể khiến thợ đào làm sập các node
Các nhà phát triển Bitcoin Core đã tiết lộ một lỗ hổng mức độ nghiêm trọng cao, có thể cho phép thợ đào làm sập từ xa một số node Bitcoin.
Tóm tắt
Bitcoin Core đã công bố CVE-2024-52911, ảnh hưởng đến các phiên bản trước 29.0, trong khi các node cũ vẫn đang bị phơi lộ trực tuyến.
Các thợ đào cần các khối bằng chứng công việc (proof-of-work) tốn kém để kích hoạt
Cryptonews11giờ trước
Chủ nhân tham gia vụ khủng bố ở Triều Tiên tranh chấp quyền nâng cấp, tài sản Aave trị giá 71 triệu USD bị phong tỏa: viện dẫn luật bảo hiểm chống khủng bố
Vụ tấn công khủng bố của Triều Tiên leo thang, tài sản bị Aave đóng băng trị giá 71 triệu USD bước vào vòng thứ ba. Nguyên đơn chuyển sang lập luận theo luật TRIA để cho rằng ETH là tài sản nhà nước của Triều Tiên, nhấn mạnh hành vi lừa đảo chứ không phải trộm cắp nhằm vượt qua kháng biện “kẻ trộm không sở hữu tang vật”, đồng thời thách thức năng lực đứng kiện và vị thế quản trị của Aave. DeFi United đã huy động hơn 328 triệu USD, quỹ đủ để bù đắp cho người dùng bị ảnh hưởng. Vụ việc có thể trở thành án lệ then chốt về pháp lý DeFi và quản trị DAO.
ChainNewsAbmedia12giờ trước
