Lỗ hổng trên DeFi trên Curve Finance được trao thưởng lên tới 250.000 USD

09:00 | 17/04/2024 | HACKER / MALWARE

Một nhà nghiên cứu bảo mật có biệt danh Marco Croc từ Kupia Security đã được thưởng 250,000 USD vì phát hiện ra một lỗ hổng mà trong lịch sử đã cho phép tin tặc rút hàng triệu USD từ các giao thức tiền điện tử. Lỗ hổng này tái xuất hiện trong giao thức tài chính phi tập trung (DeFi) Curve Finance.

Lỗ hổng trên DeFi trên Curve Finance được trao thưởng lên tới 250.000 USD

Trong một bài đăng trên mạng xã hội X, nhà nghiên cứu Marco Croc đã giải thích cách khai thác lỗ hổng này để thao túng số dư và rút tiền từ pool thanh khoản. Curve Finance thừa nhận các lỗ hổng bảo mật tiềm ẩn và nhận thấy mức độ nghiêm trọng của lỗ hổng. Sau khi điều tra kỹ lưỡng, Curve Finance đã trao cho Marco Croc giải thưởng tiền thưởng tối đa là 250,000 USD.

Theo Curve Finance, mối đe dọa được phân loại là không nguy hiểm và họ tin rằng họ có thể lấy lại số tiền bị đánh cắp trong trường hợp như vậy. Tuy nhiên, giao thức cho biết một sự cố bảo mật ở bất kỳ quy mô nào có thể gây ra sự hoảng loạn nghiêm trọng nếu nó xảy ra.

Curve Finance gần đây đã phục hồi sau vụ hack 62 triệu USD vào tháng 7/2023. Là một phần của việc trở lại trạng thái bình thường, giao thức DeFi đã bỏ phiếu hoàn trả tài sản trị giá 49.2 triệu USD cho các nhà cung cấp thanh khoản (LP).

Dữ liệu on-chain xác nhận rằng 94% chủ sở hữu token đã chấp thuận việc giải ngân số token trị giá hơn 49.2 triệu USD để bù đắp khoản lỗ của các pool Curve, JPEG’d (JPEG), Alchemix (ALCX) và Metronome (MET).

Theo đề xuất của Curve, quỹ cộng đồng sẽ cung cấp token Curve DAO (CRV). Số tiền cuối cùng cũng bao gồm khoản khấu trừ cho số token được thu hồi kể từ sự cố. Tổng số ETH cần phục hồi được tính là 5919.2226 ETH, CRV để phục hồi được tính là 34,733,171.51 CRV và tổng số để phân phối được tính là 55,544,782.73 CRV.

Kẻ tấn công đã khai thác lỗ hổng trên các pool ổn định bằng cách sử dụng một số phiên bản ngôn ngữ lập trình Vyper. Lỗi này khiến các phiên bản 0.2.15, 0.2.16 và 0.3.0 của Vyper dễ bị tấn công trở lại.

Hồng Vân

‹ › ×

Tin liên quan

Cảnh báo lỗ hổng bảo mật Tunnelvision trên dịch vụ VPN

07:00 | 24/05/2024

Hai nhà nghiên cứu Dani Cronce và Lizzie Moratti tới từ Công ty an ninh mạng Leviathan Security (Mỹ) đã phát hiện một lỗ hổng bảo mật có tên là TunnelVision, ảnh hưởng đến tất cả dịch vụ VPN dựa trên định tuyến bằng cách khai thác các điểm yếu trong cấu hình mạng cục bộ.

Tin tặc khai thác lỗ hổng OpenMetadata để khai thác tiền điện tử trên Kubernetes

14:00 | 25/04/2024

Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.

Thế vận hội Paris 2024 gặp nhiều nguy cơ rủi ro về an ninh mạng

15:00 | 15/05/2024

Mặc dù, Ban tổ chức Thế vận hội Paris 2024 đã tăng cường đảm bảo an ninh mạng hơn so với các sự kiện thể thao lớn trước đây. Tuy nhiên, vẫn tồn tại một số vấn đề rủi ro về an ninh mạng đáng chú ý. Tội phạm mạng, các nhóm tin tặc đa quốc gia đang dành nhiều sự quan tâm đến Thế vận hội, làm ảnh hưởng và tốn thất kinh tế lớn cho các sự kiện thể thao trên thế giới.

Lỗ hổng trên iPhone được mua với giá lên tới 7 triệu USD

15:00 | 16/04/2024

Theo báo cáo của The Times of India, một số công ty, tổ chức đang mua lỗ hổng Zero-day trên iPhone với giá lên đến 7 triệu USD và 5 triệu USD đối với điện thoại Android.

Hơn 50.000 máy chủ có thể bị tấn công bởi lỗ hổng nghiêm trọng của Tinyproxy

09:00 | 21/05/2024

Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Tin cùng chuyên mục

Điện thoại di động của Tổng thống Mexico bị tin tặc tấn công

14:00 | 19/03/2025

Ngày 17/3, Tổng thống Mexico Claudia Sheinbaum xác nhận một trong những thiết bị di động của bà đã bị tin tặc tấn công vài ngày trước, song cơ quan an ninh thông tin đã vào cuộc và vô hiệu hóa thành công cuộc tấn công này.

Vén màn sự phát triển chuỗi lây nhiễm độc hại của nhóm tin tặc Lazarus

21:00 | 26/01/2025

Trong vài năm qua, nhóm tin tặc Lazarus đã phân phối phần mềm độc hại bằng cách khai thác các cơ hội việc làm giả mạo nhắm vào nhân viên trong nhiều ngành công nghiệp khác nhau, bao gồm quốc phòng, hàng không vũ trụ, tiền điện tử và các lĩnh vực toàn cầu khác. Chiến dịch tấn công này được gọi là DeathNote và cũng được gọi là “Operation DreamJob”. Bài viết sẽ cung cấp tổng quan về những thay đổi đáng kể trong chuỗi lây nhiễm của Lazarus và khám phá cách chúng kết hợp việc sử dụng các mẫu phần mềm độc hại mới và cũ để điều chỉnh các cuộc tấn công.

Phát hiện Rootkit PUMAKIT sử dụng các kỹ thuật ẩn mình tinh vi

10:00 | 24/12/2024

Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.

Tin tặc sử dụng tệp ZIP bị lỗi và tài liệu Office để vượt qua các giải pháp bảo mật

13:00 | 17/12/2024

Các chuyên gia cảnh báo về một chiến dịch lừa đảo mới sử dụng các tài liệu Microsoft Office và tệp ZIP bị lỗi để vượt qua các giải pháp bảo mật như phần mềm diệt virus hay bộ lọc email.