Sự cố bảo mật

Theo Foresight News, hợp đồng legacy v1 của Huma Finance triển khai trên Polygon đã bị kẻ tấn công khai thác hôm nay, gây thiệt hại 101.400 USDC. Giao thức cho biết tiền của người dùng không bị ảnh hưởng và token PST của nó cũng không bị tác động. Hệ thống v2 trên Solana, được xây dựng lại hoàn chỉnh, không dễ bị tổn thương trước hình thức khai thác này. Huma Finance đã tạm dừng hoàn toàn hoạt động v1, đúng như kế hoạch trước đó là sẽ dừng dần các pool thanh khoản legacy.

Theo Odaily, trader A (@missoralways) cho biết hai ví của họ kết nối với Sigma đã bị rút cạn gần đây, đánh dấu vụ lộ ví thứ hai trong vòng sáu tháng. Trader này cho biết trước đó họ từng lưu trữ khối tài sản bảy số trong Sigma mà không gặp vấn đề về bảo mật, nhưng cả hai lần rút cạn đều xảy ra khi số dư ví giảm xuống dưới 10.000 USD. Ngoài ra, một người dùng khác đã mất khoảng 200.000 USD tài sản trong bối cảnh tương tự. Nhóm Sigma đã bắt đầu điều tra các sự cố.

Theo Arkham Intelligence, vào ngày 11/5, nền tảng phân tích blockchain đã công bố một báo cáo cho thấy lừa đảo đầu tư chiếm 49% tổng thiệt hại do tội phạm tiền mã hóa trong năm 2025. Dẫn số liệu từ Trung tâm Khiếu nại Tội phạm Internet của FBI, báo cáo cho biết thiệt hại do tội phạm liên quan đến crypto tại Hoa Kỳ đã vượt 11 tỷ USD trong năm 2025. Báo cáo cũng nêu rằng tội phạm tài sản số hiện diễn ra dưới nhiều hình thức như lừa đảo đầu tư, rửa tiền, mã độc tống tiền, né tránh trừng phạt và tài

Theo hệ thống giám sát an ninh MistEye của SlowMist, một tiện ích mở rộng Chrome MV3 độc hại đang nhắm mục tiêu người dùng ví TRON bằng các cuộc tấn công phishing nhằm đánh cắp cụm seed phrase, khóa riêng, tệp keystore và mật khẩu. Tiện ích này sử dụng kỹ thuật làm rối bằng Unicode và giả mạo thương hiệu để ngụy trang như một plugin chính thức, sau đó tải một trang popup iframe từ xa khi cài đặt để lừa người dùng nhập thông tin nhạy cảm, thông tin này được gửi đi qua Telegram Bot. Hạ tầng độc hạ

Theo ChainCatcher, Proxy Kho bạc Khu vực làm việc (Workspace Treasury Proxy) của Ink Finance trên Polygon đã bị tấn công cách đây vài phút, dẫn đến thiệt hại xấp xỉ 140.000 USD.

Theo giám sát của PeckShield, kẻ tấn công TrustedVolumes đã chuyển và rửa 278.000 USD tiền bị đánh cắp tính đến ngày 11 tháng 5. Kẻ tấn công đã gửi 10,2 ETH (23.600 USD) vào Tornado Cash, chuyển 110 ETH (250.000 USD) sang Bitcoin qua THORChain và đã cố gắng gửi 0,5 ETH vào Railgun trước khi rút. TrustedVolumes đã chịu tổn thất tổng cộng khoảng 6,7 triệu USD trong vụ tấn công ngày 7 tháng 5.

Theo Cảnh sát NSW, lực lượng chức năng đã thu giữ 52,3 Bitcoin trị giá khoảng 5,7 triệu AUD trong một cuộc đột kích ở Ingleburn, khu vực tây nam của Sydney, vào ngày 4 tháng 5, trong đó cảnh sát mô tả đây là một trong các vụ thu giữ tiền mã hóa lớn nhất ở Australia. Hoạt động này là một phần của Strike Force Andalusia, cuộc điều tra được khởi động vào tháng 9 năm 2024 liên quan đến hoạt động được cho là từ thị trường darknet, gắn với việc bán các loại ma túy bị cấm. Sau cuộc điều tra, hai người

Thẩm phán Margaret Garnett của Tòa án quận Hoa Kỳ thuộc Quận phía Nam New York đã một phần gỡ phong tỏa 30.766 ETH bị đóng băng từ ngày 1 tháng 5 vào thứ Sáu, cho phép diễn ra một cuộc bỏ phiếu quản trị onchain để chuyển số tài sản này sang Aave. Sự điều chỉnh cho phép các đại biểu khởi tạo và bỏ phiếu cho giao dịch mà không vi phạm thông báo hạn chế. Tuy nhiên, các khoản tiền vẫn chịu sự phong tỏa nếu các chủ nợ có phán quyết liên quan đến khủng bố cuối cùng giành thắng lợi trong yêu cầu của họ

Theo Edaily, Viện An ninh Tài chính Hàn Quốc (FSI) hôm nay đã công bố việc phát triển một công cụ riêng để kiểm chứng bảo mật hợp đồng thông minh và triển khai ba sáng kiến lớn, bao gồm xây dựng hệ thống kiểm chứng hợp đồng thông minh và đào tạo nhân tài số hóa tài sản. Công cụ kiểm chứng sẽ tự động phát hiện các lỗ hổng lớn trong hợp đồng thông minh được dùng cho chứng khoán token, stablecoin và các dịch vụ tài sản số khác, tập trung vào các nhóm lỗ hổng rủi ro cao như tấn công reentrancy, sai

Theo Foresight News, nhà phát triển Wagyu PerpetualCow cho biết người nắm giữ token XMR1 có thể rút tiền thông qua Terminal thay vì giao diện cross-chain cũ, đồng thời bác bỏ các cáo buộc Rug Pull gần đây. Nhà phát triển cho biết chưa có người dùng nào phản ánh thất bại khi rút tiền, và giao diện swap đã nêu rõ phương thức rút tiền đúng ngay từ trước. Trước đó, cộng đồng từng lo ngại rằng Wagyu giống một Rug Pull, với các khoản tiền gửi XMR có thể bị khóa và xuất hiện các chỉ báo Honeypot. XMR1

Theo Cryptopolitan vào ngày 11 tháng 5, nhóm nghiên cứu bảo mật của Microsoft Defender đã công bố kết quả điều tra, phát hiện kẻ tấn công từ cuối năm 2025 đã đăng các hướng dẫn khắc phục lỗi giả mạo macOS trên các nền tảng như Medium và Craft, nhằm dụ người dùng thực thi lệnh độc hại trong Terminal để từ đó cài đặt phần mềm độc hại nhằm đánh cắp khóa ví tiền mã hóa, dữ liệu iCloud và mật khẩu đã lưu trong trình duyệt. Cơ chế tấn công: ClickFix vượt qua macOS Gatekeeper Theo báo cáo của nhóm nghi

Theo tuyên bố chính thức của Renegade trên X, bản triển khai Arbitrum V1 (legacy) của giao thức đã bị tấn công vào sáng sớm nay (11/5), dẫn đến thiệt hại khoảng 209.000 USD. Một hacker mũ trắng đã hoàn trả khoảng 190.000 USD, và đội ngũ xác nhận rằng mọi người dùng bị ảnh hưởng sẽ được bồi thường đầy đủ. Đội ngũ xác nhận lỗ hổng chỉ tồn tại trong bản triển khai Arbitrum V1; các bản triển khai V1 Base, V2 Arbitrum và V2 Base vẫn an toàn. Tất cả hạ tầng hỗ trợ các giao dịch của V1 Arbitrum đã bị t

Theo Foresight News, USDT0, giao thức tương tác tài sản của Tether, đã công bố chi tiết kiến trúc bảo mật sau sự cố Kelp. Giao thức sử dụng mạng xác minh phi tập trung (DVN) độc quyền với quyền phủ quyết tin nhắn và yêu cầu ba trình xác thực độc lập dựa trên các bộ mã khác nhau để đạt đồng thuận 3/3 trước khi các tin nhắn xuyên chuỗi được xử lý. Các nút trình xác thực hiện tại bao gồm DVN độc quyền của USDT0, LayerZero và Canary. USDT0 cũng đã khởi động chương trình thưởng tìm lỗi trị giá 6 triệ

Theo nhóm nghiên cứu an ninh của Microsoft, từ cuối năm 2025, các đối tượng tấn công đã phát tán các hướng dẫn giả mạo xử lý sự cố macOS trên nhiều nền tảng, bao gồm Medium, Craft và Squarespace, nhằm lừa người dùng chạy các lệnh terminal độc hại. Các lệnh này sẽ tải xuống và thực thi phần mềm độc hại được thiết kế để đánh cắp khóa ví tiền mã hóa từ Exodus, Ledger và Trezor, đồng thời lấy dữ liệu iCloud và mật khẩu đã lưu từ Chrome và Firefox. Các họ mã độc liên quan gồm AMOS, Macsync và SHub St

Theo LayerZero, giao thức đã ra lời xin lỗi công khai vào thứ Sáu về cách xử lý vụ khai thác ngày 18 tháng 4, khiến 292 triệu USD ở rsETH bị rút khỏi cầu nối chuỗi chéo của Kelp DAO, đánh dấu sự thay đổi đáng kể về giọng điệu so với bài đăng hậu kiểm trước đó. LayerZero thừa nhận rằng mạng xác minh phi tập trung (Decentralized Verifier Network, DVN) của họ không nên đóng vai trò là bộ xác minh duy nhất cho các giao dịch giá trị cao, nêu rõ: “Chúng tôi đã mắc sai lầm khi cho phép DVN của mình hoạ

Theo bài đăng blog chính thức của LayerZero hôm thứ Sáu, giao thức đã đưa ra một lời xin lỗi công khai về cách xử lý vụ khai thác ngày 18 tháng 4, làm cạn kiệt 292 triệu USD rsETH từ cầu nối cross-chain của Kelp DAO. LayerZero thừa nhận mình đã mắc sai lầm khi cho phép Decentralized Verifier Network của họ đóng vai trò là bộ xác minh duy nhất cho các giao dịch có giá trị cao, đảo ngược quan điểm trước đó khi đổ lỗi cho các lựa chọn cấu hình của Kelp DAO. Để phản hồi sự cố, LayerZero cho biết họ

Công ty an ninh crypto CertiK ước tính, tính trong 4 tháng đầu năm 2026, các nắm giữ tiền mã hóa đã mất khoảng 101 triệu USD do các cuộc tấn công cướp bóc (wrench attacks), dựa trên phân tích của hãng. Nếu xu hướng tiếp diễn với tốc độ này, con số tương đương sẽ là hàng trăm triệu USD bị mất trong cả năm 2026. Wrench attacks—một thuật ngữ trong an ninh mạng để chỉ các vụ tấn công bạo lực và các nỗ lực tống tiền vượt qua hệ thống bảo mật phần mềm—đã trở thành “một dạng mối đe dọa đã được thiết lậ

Theo The Block, LayerZero đã phát hành lời xin lỗi công khai vào hôm thứ Sáu vì cách xử lý vụ khai thác ngày 18 tháng 4 khiến số lượng rsETH trị giá khoảng 292 triệu USD bị rút khỏi cầu nối cross-chain của Kelp DAO. Giao thức thừa nhận họ đã mắc sai lầm khi cho phép Mạng xác minh phi tập trung (Decentralized Verifier Network - DVN) của mình đóng vai trò là bộ xác minh duy nhất cho các giao dịch giá trị cao, qua đó đảo ngược quan điểm trước đó đổ lỗi cho các lựa chọn cấu hình của Kelp DAO. LayerZ

Theo CertiK, các nạn nhân của cuộc tấn công “crypto wrench” đã mất khoảng 101 triệu USD trong 4 tháng đầu năm 2026, với xu hướng được dự báo sẽ chạm tới hàng trăm triệu USD cho cả năm. Công ty an ninh đã xác minh 34 vụ việc trên toàn cầu, tương đương mức tăng 41% so với cùng kỳ năm 2025, trong đó 82% tập trung ở châu Âu. Đáng chú ý, hơn một nửa số vụ việc đã được xác minh liên quan đến người thân của các mục tiêu chính, bao gồm vợ/chồng, con cái hoặc cha mẹ cao tuổi, vừa là nạn nhân trực tiếp ho

Theo ChainCatcher, giao thức USDT0 của Tether đã công bố kiến trúc bảo mật sau sự cố Kelp, triển khai cơ chế đồng thuận xác minh 3/3 yêu cầu ba trình xác thực độc lập sử dụng các bộ mã tách biệt. Các node trình xác thực hiện tại bao gồm DVN độc quyền của USDT0, LayerZero và Canary. Giao thức công bố chương trình thưởng lỗi trị giá 6 triệu USD trên Immunefi, trong đó mọi giao dịch multisig đều cần được rà soát bởi các nhóm nội bộ, các công ty bảo mật bên ngoài và bên kiểm toán. Các hợp đồng đã đư