Giao dịch
Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
NEW
Không bị thanh lý bắt buộc trước hạn, không phải lo lắng về lợi nhuận đòn bẩy
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Một cuộc tấn công phần mềm độc hại tinh vi đã làm cạn kiệt danh mục đầu tư tám năm của một nhà đầu tư tiền điện tử Singapore
Khi Mark Koh gặp phải một cơ hội thử nghiệm trò chơi hợp pháp trên Telegram vào đầu tháng 12, anh không có lý do để nghi ngờ nguy hiểm. Người sáng lập nền tảng hỗ trợ nạn nhân RektSurvivor, người có kinh nghiệm đánh giá các dự án Web3, đã ấn tượng với trang web bóng bẩy của MetaToy, cộng đồng Discord hoạt động tích cực và sự phản hồi nhanh chóng từ đội ngũ. Buổi trình bày chuyên nghiệp của trình khởi chạy trò chơi khiến nó trông đáng tin cậy—loại mức độ rõ ràng như meme mặt khả nghi đơn giản không có ở đó.
Nhưng vẻ bề ngoài đánh lừa. Việc cài đặt trình khởi chạy MetaToy đã vô tình nhiễm hệ thống của anh bằng phần mềm độc hại tiên tiến được thiết kế đặc biệt để nhắm vào các chủ sở hữu tài sản crypto.
Cuộc tấn công diễn ra: Tinh vi kỹ thuật vượt xa các mối đe dọa cơ bản
Trong vòng 24 giờ sau khi thực hiện các biện pháp bảo mật toàn diện—quét toàn hệ thống, xóa các tệp đáng ngờ, thậm chí cài đặt lại Windows 11 hoàn toàn—mọi ví phần mềm kết nối đều bị trống rỗng. Thiệt hại: 14.189 USD (tương đương 100.000 nhân dân tệ) tích lũy trong tám năm, hoàn toàn bị rút sạch khỏi các tiện ích mở rộng trình duyệt Rabby và Phantom.
Phản ứng của Koh rất có hệ thống. Mặc dù phần mềm chống virus của anh phát hiện và chặn các hoạt động đáng ngờ, bao gồm hai lần cố gắng chiếm quyền DLL, các kẻ tấn công vẫn thành công. “Tôi có các cụm seed phrase riêng biệt. Không có gì được lưu trữ kỹ thuật số,” anh nói với các nhà nghiên cứu bảo mật, nhưng số tiền vẫn biến mất bất chấp.
Phân tích kỹ thuật cho thấy một cuộc tấn công nhiều lớp. Cuộc tấn công kết hợp việc đánh cắp token xác thực với khai thác lỗ hổng zero-day của Google Chrome lần đầu tiên được ghi nhận vào tháng 9—cho phép thực thi mã từ xa trên máy của anh. “Nó có nhiều vector và cũng cấy một tiến trình độc hại theo lịch trình,” Koh giải thích, cho thấy các kẻ lừa đảo đã triển khai các phương pháp tấn công dự phòng cùng lúc.
Sự cố tại Singapore và xu hướng tội phạm mạng rộng hơn
Koh đã báo cáo vụ việc cho cảnh sát Singapore, những người xác nhận đã nhận được báo cáo gian lận. Một nạn nhân thứ hai, cùng khu vực và được xác định là Daniel, đã trải qua sự cố tương tự sau khi tải xuống trình khởi chạy trò chơi chứa phần mềm độc hại tương tự. Đáng chú ý, kẻ lừa đảo duy trì liên lạc với Daniel, giả vờ tin rằng anh vẫn quan tâm đến việc truy cập nền tảng.
Vụ tấn công tại Singapore này minh họa các chiến thuật phân phối phần mềm độc hại ngày càng tinh vi hơn. Các xu hướng tội phạm mạng gần đây bao gồm các kho GitHub bị lợi dụng để duy trì sự tồn tại của phần mềm độc hại ngân hàng, các công cụ AI giả mạo phát tán các biến thể trộm cắp crypto, các yêu cầu kéo độc hại xâm nhập các tiện ích mở rộng Ethereum, và các hệ thống Captcha giả mạo nhằm thu thập thông tin đăng nhập.
Các biện pháp bảo vệ: Khuyến nghị của Koh dành cho các mục tiêu giá trị cao
Trước sự tinh vi đã thể hiện, Koh nhấn mạnh các quy trình phòng ngừa dành cho các nhà phát triển, nhà đầu tư thiên thần và những người có khả năng tải xuống các ứng dụng beta:
Loại bỏ seed phrase khỏi ví nóng dựa trên trình duyệt khi không hoạt động. Các thực hành bảo mật tiêu chuẩn không đủ để chống lại cuộc tấn công này, do đó cần thêm các biện pháp cách ly.
Ưu tiên quản lý khóa riêng tư hơn là lưu trữ seed phrase. Sử dụng khóa riêng tư hạn chế khả năng tiếp xúc—nếu một ví bị xâm phạm, các ví con sẽ vẫn được bảo vệ.
Giả định rằng các kẻ tấn công tinh vi có thể triển khai nhiều vector nhiễm độc. Phát hiện của phần mềm chống virus về một số mối đe dọa không đảm bảo hệ thống hoàn toàn an toàn; giả định rằng các cơ chế tấn công dự phòng vẫn tồn tại.
Vụ việc MetaToy là một lời nhắc nhở rõ ràng rằng ngay cả các nhà đầu tư crypto có kinh nghiệm, có phán đoán chuyên nghiệp và công cụ bảo mật vẫn có thể bị tổn thương trước các mối đe dọa phối hợp, công nghệ cao. Sự kết hợp giữa kỹ thuật xã hội (vẻ ngoài chuyên nghiệp), việc phân phối phần mềm độc hại (trình khởi chạy trò chơi), và khai thác zero-day đã tạo ra một bề mặt tấn công mà các biện pháp phòng thủ tiêu chuẩn không thể ngăn chặn hoàn toàn.