Tóm tắt chính:
Hai vụ tấn công khai thác riêng biệt đã rút hàng triệu USD từ Gnosis Pay và TesseraDAO vào ngày 1 tháng 6, đánh dấu một khởi đầu đầy khó khăn cho tháng này đối với an ninh tiền mã hóa.
"Chúng tôi sẽ đảm bảo rằng tất cả người dùng đều được bồi hoàn," đồng sáng lập Gnosis, Martin Koppelmann, cho biết trên X. Công ty đã xóa một bài đăng trước đó kêu gọi người dùng rút tiền, thừa nhận rằng hầu hết không thể thực hiện theo lời khuyên đó.
Vụ tấn công Gnosis Pay nhắm vào module Zodiac delay, một tính năng được thiết kế để áp đặt thời gian chờ ba phút đối với các giao dịch. Theo Gnosis, những kẻ tấn công đã xâm nhập module này để đẩy các giao dịch vào hàng đợi của người dùng trên nhiều ví cùng một lúc. Cuộc tấn công không xâm phạm khóa riêng tư của người dùng. Gnosis Pay là dịch vụ thẻ ghi nợ tự quản lý hỗ trợ các stablecoin như EURe trên chuỗi Gnosis.
Sự việc này diễn ra sau một vụ tấn công riêng biệt vào tuần trước đã rút hơn 3 triệu USD từ hàng chục ví Gnosis Safe thông qua một module cộng đồng bị xâm phạm, SquidRouterModule. Vẫn chưa rõ liệu hai vụ tấn công có liên quan với nhau hay không, nhưng các cuộc tấn công liên tiếp vào cơ sở hạ tầng module đặt ra câu hỏi về bảo mật hợp đồng thông minh trong các công cụ thanh toán thực tế.
Gnosis Pay đã tạm dừng chuyển tiền xuyên chuỗi như một phần trong phản ứng của mình và khắc phục các lỗi giao diện người dùng khiến người dùng không thể rút tiền trong suốt vụ việc. Koppelmann không tiết lộ con số thiệt hại cụ thể nhưng cho biết nhóm tin rằng họ có thể kiểm soát phần lớn thiệt hại.
TesseraDAO, một tổ chức tự trị phi tập trung, cũng báo cáo một vụ tấn công khai thác vào ngày 1 tháng 6, làm gia tăng tổng thiệt hại trong lĩnh vực này. Chi tiết về vụ tấn công TesseraDAO vẫn còn hạn chế khi nhóm đang điều tra.
Hai vụ việc xảy ra trong bối cảnh ngành công nghiệp tiền mã hóa rộng lớn hơn đang phải đối mặt với sự giám sát ngày càng tăng về các lỗ hổng bảo mật. Các nhà phát triển và nhà nghiên cứu bảo mật đã bày tỏ lo ngại rằng các công cụ hỗ trợ bởi AI có thể đang giúp những kẻ khai thác phát hiện lỗ hổng nhanh hơn, mặc dù chưa có mối liên hệ trực tiếp nào được xác lập trong những trường hợp này.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.
