Giao dịch
Loại giao dịch
Giao ngay
Giao dịch tiền điện tử một cách tự do
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy, giao dịch giao ngay, không cần vay, không cháy tải khoản
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
NEW
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
BTC Staking
HOT
Stake BTC và kiếm APR 10%
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
- Chủ đề thịnh hànhXem thêm
24.35K Phổ biến
18 Phổ biến
29.82K Phổ biến
28.02K Phổ biến
81.12K Phổ biến
- Gate Fun hotXem thêm
- Vốn hóa:$3.53KNgười nắm giữ:10.00%
- Vốn hóa:$3.58KNgười nắm giữ:20.04%
- Vốn hóa:$3.61KNgười nắm giữ:20.30%
- Vốn hóa:$3.6KNgười nắm giữ:40.17%
- Vốn hóa:$3.55KNgười nắm giữ:10.00%
- Ghim
Mối đe dọa $3B : Phần mềm độc hại trong thư viện mã nguồn hiện đang nhắm vào hợp đồng thông minh Ethereum
Hệ sinh thái tiền mã hóa đang đối mặt với cuộc khủng hoảng ngày càng gia tăng khi công ty an ninh mạng ReversingLabs tiết lộ một phương thức tấn công tinh vi: các tác nhân đe dọa đang lợi dụng các gói NPM mã nguồn mở để chèn phần mềm độc hại trực tiếp vào các hợp đồng thông minh Ethereum. Phát hiện này đánh dấu một bước tiến nguy hiểm trong các cuộc tấn công chuỗi cung ứng nhằm vào hạ tầng blockchain.
Độ dễ tổn thương ngày càng gia tăng của DeFi: $3B Thiệt hại năm 2025
Quy mô của mối đe dọa thật đáng kinh ngạc. Theo phân tích blockchain của Global Ledger, các hacker đã thành công trong việc đánh cắp $3 tỷ đô la qua 119 vụ tấn công riêng biệt trong nửa đầu năm 2025—tăng 150% so với toàn bộ năm 2024. Thiệt hại phản ánh mức độ liên kết chặt chẽ của các giao thức DeFi đã trở thành mục tiêu dễ dàng cho các cuộc tấn công phối hợp khai thác các lỗ hổng chung.
Một trường hợp điển hình nhấn mạnh rủi ro này: vào tháng 7, các kẻ tấn công đã xâm nhập hợp đồng Rebalancer của Arcadia Finance trên blockchain Base, rút sạch 2,5 triệu đô la bằng cách thao túng các tham số hoán đổi. Sự cố này cho thấy ngay cả các giao thức đã được thiết lập cũng đối mặt với rủi ro đáng kể khi có lỗ hổng bảo mật.
Chiến dịch phần mềm độc hại NPM: Cách Zanki và ReversingLabs phát hiện cuộc tấn công
Nghiên cứu của nhà nghiên cứu ReversingLabs, Karlo Zanki, vào đầu tháng 7 đã tiết lộ một mô hình đáng lo ngại. Các tác nhân đe dọa đã ngụy trang mã độc trong các gói NPM có vẻ hợp pháp, với các biến thể nguy hiểm nhất được xác định là colortoolsv2 và mimelib2, đều được tải lên trong tháng 7.
Các gói này hoạt động qua cấu trúc hai tệp nhằm tối đa hóa khả năng ẩn nấp. Thành phần chính, một script gọi là index.js, chứa các payload độc hại ẩn bên trong, sẽ kích hoạt khi được cài đặt trong dự án của nhà phát triển. Điều làm chiến dịch này chưa từng có tiền lệ là cơ chế phân phối: phần mềm độc hại không sử dụng các máy chủ command-and-control truyền thống, mà tận dụng các hợp đồng thông minh Ethereum để lưu trữ và truy xuất URL tải xuống phần mềm độc hại giai đoạn thứ hai.
Cách tiếp cận này vượt qua các quét bảo mật thông thường bằng cách khai thác tính bất biến và phân tán của blockchain như một lớp che giấu.
Bot Solana giả mạo: Cách tính hợp lệ giả mạo đã lừa đảo các nhà phát triển
Các nhà nghiên cứu đã phát hiện ra một kho lưu trữ GitHub bị xâm phạm có tên solana-trading-bot-v2 chứa gói colortoolsv2 độc hại. Kho lưu trữ này trông đáng tin cậy đối với những người xem qua—nó có hàng nghìn commit, nhiều cộng tác viên hoạt động và số sao đáng kể—nhưng tất cả các chỉ số về tính hợp lệ đều được xây dựng một cách nhân tạo.
Bất kỳ nhà phát triển nào cài đặt gói này đều vô tình cấp quyền truy cập cho các kẻ tấn công vào ví người dùng, có thể dẫn đến rút hết tất cả các quỹ liên kết. Cuộc tấn công này kết hợp ba lớp lừa đảo: một kho lưu trữ giả mạo hợp lệ, mã độc che giấu, và cơ chế phân phối lệnh dựa trên blockchain.
Tại sao Hợp đồng Thông minh trở thành hạ tầng tấn công
Sáng tạo ở đây thể hiện sự thay đổi trong phương pháp của kẻ tấn công. Thay vì duy trì hạ tầng C2 truyền thống dễ bị tấn công và tiêu diệt, các tác nhân đe dọa giờ đây sử dụng các hợp đồng thông minh Ethereum như các mạng phân phối phần mềm độc hại vĩnh viễn, chống kiểm duyệt. Tính phân quyền của blockchain đảm bảo các trung tâm điều khiển này vẫn hoạt động bất chấp sự can thiệp của pháp luật.
Theo CEO AMLBot, Slava Demchuk, các lỗ hổng kiểm soát truy cập và thiết kế hợp đồng thông minh vẫn là các phương thức tấn công chính. Kiến trúc có thể ghép nối của các giao thức DeFi làm tăng mức độ thiệt hại, cho phép các kẻ tấn công xâu chuỗi các khai thác trên nhiều nền tảng cùng lúc.
Sự kiện tuyệt chủng chuỗi cung ứng mà không ai sẵn sàng
Bối cảnh rộng hơn còn đáng báo động hơn: năm 2025 chứng kiến sự bùng nổ của các chiến dịch NPM. Ngoài colortoolsv2, các nhà nghiên cứu đã ghi nhận các gói ethers-provider2 và ethers-providerz vào tháng 3, tiếp theo là nhiều phần mềm thu thập thông tin, downloader và dropper được phát hiện trong suốt năm.
Mỗi biến thể phần mềm độc hại mới chứng tỏ rằng các tác nhân đe dọa đã chuyển từ việc nhắm vào từng người dùng riêng lẻ sang tấn công vào chính quy trình phát triển. Một gói độc hại duy nhất có thể xâm nhập hàng nghìn dự án, biến các kho lưu trữ mã nguồn mở thành các trung tâm phân phối.
Những gì các nhà phát triển cần làm ngay bây giờ
Các kiểm toán viên an ninh nhấn mạnh một hành động quan trọng: trước khi tích hợp bất kỳ thư viện bên ngoài nào, các nhà phát triển phải tiến hành đánh giá kỹ lưỡng nguồn gốc gói, lịch sử đóng góp và tính xác thực của mã. Thời đại tin tưởng mở nguồn theo mặc định đã kết thúc.
Các phát hiện của ReversingLabs cho thấy rằng các hợp đồng thông minh của Ethereum—ban đầu được thiết kế như hạ tầng không tin cậy—đã trở nên không tin cậy theo một cách hoàn toàn khác: các kẻ tấn công đang khai thác chúng như các kênh phân phối phần mềm độc hại vĩnh viễn, an toàn trong kiến thức rằng tính bất biến của blockchain khiến việc loại bỏ là không thể sau khi triển khai.