Giao dịch
Loại giao dịch
Giao ngay
Giao dịch tiền điện tử một cách tự do
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy, giao dịch giao ngay, không cần vay, không cháy tải khoản
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Khởi động
Đầu tư
Simple Earn
VIP
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Quỹ định lượng
VIP
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
New
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Staking
Thế chấp tiền điện tử để kiếm tiền từ các sản phẩm PoS
BTC Staking
HOT
Stake BTC và kiếm APR 10%
Đúc GUSD
New
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Thêm
- Chủ đề thịnh hànhXem thêm
22.9K Phổ biến
80K Phổ biến
202.4K Phổ biến
165.3K Phổ biến
16K Phổ biến
- Ghim
Cuộc tấn công chuỗi cung ứng JavaScript đe dọa an ninh tiền điện tử trên hàng triệu ứng dụng
Một cuộc tấn công chuỗi cung ứng lịch sử nhắm vào các thư viện JavaScript được sử dụng rộng rãi đã phơi bày những lỗ hổng bảo mật nghiêm trọng trong hệ sinh thái tiền điện tử, có khả năng đặt hàng tỷ tài sản kỹ thuật số vào tình trạng rủi ro. Cuộc tấn công tinh vi này, đã xâm phạm 18 gói npm phổ biến bao gồm các thư viện thiết yếu như chalk, debug và ansi-styles, đại diện cho một trong những vi phạm chuỗi cung ứng phần mềm quan trọng nhất trong lịch sử gần đây.
Phương Pháp Tấn Công và Tác Động
Các nhà nghiên cứu an ninh phát hiện rằng những kẻ tấn công đã truy cập vào tài khoản npm (Node Package Manager) của một nhà phát triển nổi bật, cho phép họ chèn mã độc vào các thư viện JavaScript mà tổng cộng nhận được hơn 2,6 tỷ lượt tải xuống hàng tuần. Các gói bị xâm phạm này phục vụ như những thành phần cơ bản cho hàng triệu ứng dụng trên các nền tảng web và di động.
Phần mềm độc hại này nhắm mục tiêu cụ thể vào các giao dịch tiền điện tử thông qua một kỹ thuật được gọi là "crypto-clipping" - lặng lẽ chặn và sửa đổi địa chỉ ví trong quá trình giao dịch để chuyển hướng quỹ đến các địa chỉ do kẻ tấn công kiểm soát. Phần mềm độc hại tinh vi này hoạt động trên nhiều mạng blockchain, khai thác lòng tin mà các nhà phát triển đặt vào các phụ thuộc mã nguồn mở.
"Khi các nhà phát triển không biết đã cài đặt các gói npm bị xâm phạm, mã độc có quyền truy cập vào cùng một ngữ cảnh thực thi JavaScript như các ví tiền điện tử, cho phép các cuộc tấn công thao tác giao dịch tinh vi," các nhà nghiên cứu an ninh giải thích về vụ vi phạm.
Giải thích về Lỗ hổng Kỹ thuật
Cuộc tấn công khai thác các mối quan hệ tin cậy vốn có trong hệ sinh thái npm, nơi các gói tiện ích nhỏ như chalk, strip-ansi và color-convert tạo thành nền tảng cho vô số dự án lớn hơn. Những thư viện này đã được nhúng sâu vào các cây phụ thuộc, có nghĩa là ngay cả những nhà phát triển chưa cài đặt trực tiếp chúng cũng có thể bị tiếp xúc với mã bị xâm phạm.
Kho npm hoạt động tương tự như một cửa hàng ứng dụng cho các nhà phát triển, phục vụ như một kho lưu trữ trung tâm nơi các gói mã có thể được chia sẻ và tải xuống để xây dựng các dự án JavaScript. Mô hình phân phối tập trung này, mặc dù hiệu quả cho việc phát triển, tạo ra một vectơ hoàn hảo cho các cuộc tấn công vào chuỗi cung ứng khi bị xâm phạm.
Đánh giá rủi ro người dùng
Người dùng chủ yếu dựa vào các ví phần mềm tích hợp với các ứng dụng dựa trên JavaScript phải đối mặt với rủi ro cao nhất từ cuộc tấn công này. Mã độc có thể hoạt động âm thầm ở phía sau, chặn thông tin liên lạc của ví và sửa đổi chi tiết giao dịch mà không có dấu hiệu rõ ràng về sự xâm phạm.
Người dùng ví phần cứng xác nhận chi tiết giao dịch một cách trực tiếp trước khi ký sẽ có sự bảo vệ đáng kể chống lại vector tấn công này, vì việc thao tác địa chỉ ví sẽ được hiển thị trong quá trình xác nhận. Tuy nhiên, vẫn chưa rõ liệu phần mềm độc hại có cố gắng thu thập trực tiếp các cụm từ hạt giống hoặc khóa riêng hay không.
Chiến lược giảm thiểu an ninh
Các chuyên gia bảo mật khuyến nghị một số hành động ngay lập tức cho các nhà phát triển và người dùng tài sản kỹ thuật số:
Cuộc tấn công nêu bật lỗ hổng nghiêm trọng trong các hệ sinh thái mã nguồn mở và chứng minh cách mà các cuộc tấn công tinh vi có thể lan rộng nhanh chóng - từ sự xâm phạm ban đầu đến khả năng ảnh hưởng đến hàng tỷ lượt tải xuống trong vòng vài giờ.
Khi tình huống này tiếp tục phát triển, các nhà nghiên cứu an ninh đang tích cực phân tích toàn bộ phạm vi của các ứng dụng bị ảnh hưởng và khả năng khai thác trong thực tế.