Một tin tặc đã đánh cắp tài sản tiền điện tử trị giá khoảng 55 triệu đô la từ bZx, một nền tảng tài chính phi tập trung (DeFi) cho phép người dùng vay, cho vay và theo dõi biến động của tiền điện tử.
Thứ Sáu vừa qua, sau khi tiến hành điều tra sơ bộ về cuộc tấn công, công ty cho biết một nhà phát triển bZx đã nhận được một email lừa đảo trên máy tính cá nhân có chứa một macro độc hại trong tệp văn bản Word trông như vô hại được đính kèm.
Sau khi mở tệp đính kèm, một tập lệnh đã được thực thi trên máy tính của nhà phát triển và xâm phạm đến cụm ví “mnemonic” của nhân viên.
Sau đó, tin tặc đã lấy cắp được hai khóa cá nhân (được bZx sử dụng để tích hợp với chuỗi Polygon và Binance Smart Chain) từ máy tính của nhân viên và dùng nó để đánh cắp các quỹ Polygon và Binance Smart Chain của nền tảng, cùng với tiền điện tử từ một số lượng nhỏ người dùng.
Trong khi bZx vẫn đang điều tra về số tiền chính xác bị đánh cắp, Công ty bảo mật blockchain SlowMist đã đưa ra con số hơn 55 triệu đô la dựa trên các giao dịch độc hại mà họ phát hiện.
Sau khi xảy ra vụ tấn công, bZx cho biết họ đã vô hiệu hóa chức năng của trang web để ngăn người dùng gửi tiền vào quỹ và làm việc với các sàn giao dịch tiền điện tử khác để theo dõi kẻ tấn công cũng như đóng băng số tiền bị đánh cắp.
bZx đã đề nghị một khoản tiền thưởng nếu tin tặc hoàn lại tiền của họ.
Nền tảng DeFi cũng đã đưa ra một thông điệp cho tin tặc:
“Chúng tôi khuyến khích bạn liên hệ với DAO tại [email protected] để thảo luận về việc trả lại tiền và tiền thưởng có thể”.
bZx đang hy vọng kẻ tấn công có thể trả lại toàn bộ số tiền bị đánh cắp như trong sự cố PolyNetwork (tin tặc đã hoàn trả toàn bộ 600 triệu đô la bị đánh cắp cho công ty sau các cuộc đàm phán).
Sự cố bZx được xếp ở vị trí thứ 5 trong danh sách những vụ đánh cắp tiền điện tử lớn nhất diễn ra trong năm nay, 4 vị trí đứng đầu bao gồm:
- PolyNetwork – $600 million
- Cream Finance – $130 million
- Liquid – $94 million
- EasyFi – $81 million
Nguồn: The Record.
Tín nhiệm mạng | ZDI của Trend Micro đã thưởng 1.081.250 đô la cho 61 lỗ hổng zero-day đã được khai thác tại Pwn2Own Austin 2021, với các khai thác thành công trên Samsung Galaxy S21 và máy in HP LaserJet vào ngày thứ ba của cuộc thi.
Tín nhiệm mạng | Google đã phát hành bản cập nhật bảo mật tháng Mười một cho Android để vá 39 lỗ hổng, bao gồm một lỗ hổng zero-day được cho là đã bị khai thác trong thực tế.
Tín nhiệm mạng | Chính phủ Mỹ đã công bố phần thưởng 10 triệu đô la cho thông tin giúp xác định danh tính hoặc vị trí của các thành viên chủ chốt trong nhóm ransomware DarkSide.
Tín nhiệm mạng | Trong ngày đầu tiên của cuộc thi Pwn2Own Austin 2021, các thí sinh đã giành được 362.500 đô la sau khi khai thác các lỗ hổng bảo mật chưa được tiết lộ trước đó trên các thiết bị ...
Tín nhiệm mạng | Một dạng lừa đảo mới trên Steam được quảng bá thông qua tin nhắn Discord với nội dung hứa hẹn đăng ký Nitro miễn phí nếu người dùng liên kết tài khoản Steam của họ. Nếu người dùng làm theo, tin tặc sẽ lấy được tài khoản...
Tín nhiệm mạng | Google thông báo sẽ thưởng tiền cho các nhà nghiên cứu bảo mật để tìm ra các khai thác lỗ hổng, đã hoặc chưa được khắc phục trước đó, trong ba tháng tới như một phần của chương trình bug bounty mới nhằm cải thiện bảo mật của Linux kernel.