Sự cố bảo mật

SlowMist cảnh báo về MacSync Stealer (v1.1.2) trên macOS, phần mềm đánh cắp thông tin trộm ví, thông tin đăng nhập, chuỗi khóa hệ thống và khóa hạ tầng, sử dụng các lời nhắc AppleScript giả mạo và các lỗi giả 'unsupported'; kêu gọi cảnh giác và chú ý các IOCs. Tóm tắt: Báo cáo này tóm lược cảnh báo của SlowMist về MacSync Stealer (v1.1.2), một phần mềm đánh cắp thông tin trên macOS nhắm vào ví tiền mã hóa, thông tin đăng nhập trình duyệt, chuỗi khóa hệ thống và các khóa hạ tầng (SSH, AWS, Kubernetes). Nó lừa người dùng bằng các hộp thoại AppleScript giả mạo, yêu cầu nhập mật khẩu và hiển thị các thông báo giả 'unsupported' được thấy rõ. SlowMist cung cấp các IOCs cho khách hàng và khuyến cáo tránh chạy các script macOS chưa được xác minh cũng như luôn cảnh giác trước các lời nhắc mật khẩu bất thường.

Lazarus phát hành Mach-O Man cho macOS để đánh cắp dữ liệu keychain và thông tin đăng nhập ví, nhắm mục tiêu các giám đốc điều hành crypto thông qua các cửa sổ bật lên ClickFix và các cuộc họp Telegram bị xâm nhập. Tóm tắt: Bài viết cho biết phần mềm độc hại Mach-O Man liên quan đến Lazarus nhắm mục tiêu macOS để trích xuất dữ liệu keychain, thông tin đăng nhập trình duyệt và phiên đăng nhập nhằm truy cập ví tiền điện tử và tài khoản sàn giao dịch. Việc phân phối dựa vào kỹ thuật lừa đảo xã hội ClickFix và các tài khoản Telegram bị xâm nhập, dẫn nạn nhân đến các liên kết họp giả. Bài viết liên kết chiến dịch này với vụ hack Kelp DAO ngày 20 tháng 4 và xác định TraderTraitor là tổ chức liên kết với Lazarus, đồng thời ghi nhận sự dịch chuyển rsETH trên nhiều blockchain thông qua chuẩn OFT của LayerZero.

ZachXBT cảnh báo các máy ATM Bitcoin Depot áp đặt mức phí chênh lệch cao—$25k tiền pháp định ở mức 108k USD/BTC so với ~$75k giá thị trường (khoảng 44%), dẫn đến ~ mức lỗ 7,5k USD trên 0,232 BTC; đồng thời cho biết đã có vụ vi phạm bảo mật trị giá 3,26 triệu USD. Bài viết này tóm tắt các cảnh báo của ZachXBT về chính sách định giá của Bitcoin Depot và một vụ vi phạm bảo mật gần đây, nêu bật rủi ro đối với người dùng từ mức phí tăng cao và các lỗ hổng bảo mật.

Tin tức từ Gate, ngày 22 tháng 4 — Giao thức quyền riêng tư Umbra đã tắt trang web frontend của mình để ngăn kẻ tấn công sử dụng giao thức này nhằm chuyển các khoản tiền bị đánh cắp sau các cuộc tấn công gần đây, bao gồm vụ vi phạm giao thức Kelp dẫn đến thiệt hại vượt quá $280 triệu. Khoảng $800,000 trong số tiền bị đánh cắp đã được chuyển thông qua

Giám đốc an ninh thông tin cấp cao của Mù sương 23pds vào ngày 22 tháng 4 đã phát hành cảnh báo, cho biết nhóm tin tặc Bắc Triều Tiên Lazarus Group đã phát hành bộ công cụ phần mềm độc hại macOS nguyên sinh hoàn toàn mới mang tên “Mach-O Man”, được nhắm riêng vào ngành công nghiệp tiền điện tử và các giám đốc điều hành của doanh nghiệp giá trị cao.

Theo giám sát của nhà phân tích on-chain Ai dì vào ngày 22 tháng 4, kẻ tấn công của Venus Protocol đã chuyển 2.301 ETH (khoảng 5,32 triệu USD) từ cách đây 11 giờ vào địa chỉ 0xa21…23A7f, sau đó chuyển tiền vào bộ trộn tiền mã hóa Tornado Cash theo từng đợt để làm sạch; tính đến thời điểm theo dõi, kẻ tấn công vẫn đang nắm giữ khoảng 17,45 triệu USD ETH trên chuỗi.

Nhà nghiên cứu an ninh Doyeon Park vào ngày 21 tháng 4 đã công bố một lỗ hổng zero-day mức độ nghiêm trọng cao cấp CVSS 7.1 tồn tại trong lớp đồng thuận của Cosmos, CometBFT, có thể khiến các nút bị tấn công bởi các đối tác độc hại trong giai đoạn đồng bộ khối (BlockSync) và rơi vào tình trạng bế tắc, ảnh hưởng đến mạng lưới bảo đảm hơn 8 tỷ đô la Mỹ tài sản.

Tóm tắt: Nhóm Lazarus đã phát hành một bộ công cụ phần mềm độc hại macOS gốc có tên Mach-O Man, nhắm tới các nền tảng crypto và các giám đốc điều hành có giá trị cao; SlowMist khuyến cáo người dùng thận trọng trước các cuộc tấn công. Trừu tượng: Bài viết cho biết Nhóm Lazarus đã công bố Mach-O Man, một bộ công cụ phần mềm độc hại macOS gốc nhắm tới các nền tảng tiền mã hóa và các giám đốc điều hành có giá trị cao. SlowMist khuyến cáo người dùng hãy thận trọng để giảm thiểu các cuộc tấn công tiềm ẩn.

Theo CoinDesk đưa tin vào ngày 22 tháng 4, công ty dịch vụ rủi ro hàng hải của Hy Lạp Marisks đã phát cảnh báo rằng kẻ lừa đảo giả mạo các cơ quan của Iran để gửi tin nhắn đến nhiều công ty vận tải biển, nhằm yêu cầu Bitcoin hoặc USDT như một khoản “phí qua lại” để thông quan eo biển Hormuz. Marisks xác nhận các tin nhắn liên quan không đến từ các kênh chính thức của Iran và, theo Reuters, cho biết họ tin rằng ít nhất có một tàu đã bị lừa gạt, và vào cuối tuần khi cố gắng đi qua vẫn bị bắn phá.

RHEA Finance 发布了针对 4 月 16 日安全事件的后续更新，确认在资产追回方面已取得实质进展；截至本次更新，预计仍存在约 40 万美元的资金缺口，主要源于借贷市场资金池中 NEAR、USDT 及 USDC 的组合。RHEA Finance 承诺全额弥补任何剩余缺口，确保所有受影响用户获得完整补偿。

Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day CVSS 7.1 trong CometBFT của Cosmos, có thể gây treo các nút trong quá trình đồng bộ; sự phản kháng từ phía nhà cung cấp, việc hạ mức và việc công bố đã dẫn tới tiết lộ vào ngày 21 tháng 4; các trình xác thực (validator) nên tránh khởi động lại trước khi có bản vá. Tóm tắt: Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day nghiêm trọng CVSS 7.1 trong lớp đồng thuận CometBFT của Cosmos, có thể khiến các nút bị treo trong quá trình đồng bộ hóa khối, tiềm ẩn ảnh hưởng đến các mạng bảo vệ hơn $8 tỷ USD tài sản. Lỗ hổng này không thể trực tiếp đánh cắp tiền. Park đã theo đuổi việc công bố phối hợp bắt đầu từ ngày 22 tháng 2, nhưng gặp phải sự phản kháng của nhà cung cấp đối với việc công bố công khai và các vấn đề với HackerOne. Nhà cung cấp đã hạ mức một lỗ hổng liên quan (CVE-2025-24371) xuống mức chỉ mang tính thông tin vào ngày 6 tháng 3, khiến Park phát hành một bản chứng minh khái niệm ở cấp mạng trước khi công bố công khai vào ngày 21 tháng 4. Khuyến cáo cho biết các trình xác thực Cosmos nên tránh khởi động lại các nút cho đến khi các bản vá được phát hành; các nút đã ở trong chế độ đồng thuận có thể tiếp tục hoạt động nhưng việc khởi động lại và đồng bộ lại có thể khiến chúng bị tấn công bởi các đối tượng ngang hàng độc hại, gây rủi ro bế tắc.

Phân tích on-chain theo dõi một kẻ tấn công giao thức Venus chuyển 2.301 ETH (~$5.32M) tới một ví bị nghi ngờ, sau đó thực hiện gom lô qua Tornado Cash; khoảng $17,45M vẫn còn trên chuỗi. Tóm tắt: Ghi chú này tóm lược hoạt động on-chain liên quan đến kẻ tấn công giao thức Venus, bao gồm việc chuyển 2.301 ETH (~$5.32M) tới một ví và trộn theo lô qua Tornado Cash, với khoảng $17,45M vẫn được giữ trên chuỗi.

Tin Cổng, ngày 22 tháng 4 — Theo CoinDesk, các kẻ lừa đảo giả danh các cơ quan chức năng của Iran đang yêu cầu các công ty vận tải biển thanh toán tiền điện tử bằng Bitcoin hoặc USDT để đổi lấy việc được đi qua an toàn qua eo biển Hormuz. Công ty rủi ro hàng hải của Hy Lạp, Marisks, đã đưa ra cảnh báo rằng

Thỏa thuận hệ sinh thái Sui của Volo đã đăng một tuyên bố trên nền tảng X, xác nhận đã xảy ra một lỗ hổng bảo mật, dẫn đến việc khoảng 3,5 triệu USD tài sản bị đánh cắp trong 3 kho tiền cụ thể, liên quan đến WBTC, XAUm và USDC. Volo cho biết đã thông báo ngay lập tức cho Quỹ Sui và các đối tác hệ sinh thái sau khi phát hiện cuộc tấn công, đồng thời đóng băng tất cả các kho tiền để ngăn chặn thêm tổn thất; Volo cam kết chịu toàn bộ tổn thất, không để người dùng gánh bất kỳ trách nhiệm nào.

Nhà phân tích on-chain Specter theo dõi và cho biết, nhóm tin tặc Triều Tiên TraderTraitor bắt đầu thực hiện các hoạt động rửa tiền đối với số tiền bị đánh cắp từ KelpDAO vào ngày 22 tháng 4, chỉ sau ba giờ kể từ khi Ủy ban An toàn Arbitrum đóng băng khoảng 30,766 ETH. Kẻ tấn công đã chuyển số tiền qua cây cầu THORChain sang mạng Bitcoin, khiến khối lượng giao dịch trong ngày vượt quá gấp 10 lần so với mức trung bình hàng ngày của 30 ngày.

Tin tức Gate, ngày 22 tháng 4 — Nghi phạm tin tặc Kelp DAO đã chuyển 106.466 ETH sang các ví bên ngoài trong 20 giờ qua, theo dữ liệu on-chain từ Arkham. Kẻ tấn công đã phân tán số tiền qua nhiều địa chỉ, một kỹ thuật rửa tiền phổ biến nhằm che giấu dấu vết giao dịch.

Volo trên Sui báo cáo một vụ vi phạm trị giá $3.5M trên ba kho tiền (vault); đóng băng các vault; $28M TVL không bị ảnh hưởng; đang trong quá trình điều tra; Volo chịu trách nhiệm cho khoản lỗ và sẽ công bố báo cáo sau sự cố. Volo, một giao thức BTCFi và token đặt cọc thanh khoản (liquid staking token) trên mạng Sui, đã công bố một vụ vi phạm bảo mật ảnh hưởng đến khoảng $3.5 triệu trên ba vault. Nhóm đã đóng băng tất cả các vault và thông báo cho Sui Foundation cũng như các đối tác hệ sinh thái; các vault còn lại, tổng cộng khoảng $28 triệu TVL, vẫn an toàn. Volo sẽ chịu trách nhiệm cho khoản lỗ và công bố một báo cáo toàn diện sau sự cố cùng kế hoạch khắc phục sau khi cuộc điều tra hoàn tất.

Tin cổng Gate, ngày 21 tháng 4 — Những kẻ lừa đảo giả danh các quan chức Iran đang yêu cầu Bitcoin (BTC) và Tether (USDT) làm phí trung chuyển từ các tàu hoạt động qua eo biển Hormuz, theo cảnh báo của MARISKS, một công ty quản lý rủi ro hàng hải có trụ sở tại Hy Lạp. Kế hoạch này hứa hẹn sai sự thật về "ủy quyền cho lộ trình trung chuyển an toàn"