Giao dịch
Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
NEW
Không bị thanh lý bắt buộc trước hạn, không phải lo lắng về lợi nhuận đòn bẩy
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Sao chép Địa chỉ đơn kích hoạt mất hàng triệu đô la: Phân tích sâu về các lỗ hổng trong thiết kế ví
Một sự cố bảo mật đáng báo động đã phơi bày những lỗ hổng cơ bản trong cách các ví blockchain xử lý xác minh địa chỉ. Một tài khoản nắm giữ gần $50 triệu USDT đã trở thành nạn nhân của một âm mưu tinh vi, với số tiền bị rút sạch về ví của kẻ tấn công thông qua một cuộc tấn công thụ động được các chuyên gia an ninh đánh giá là khai thác các lỗi trong thiết kế giao diện người dùng.
Cách hoạt động của Poisoning Địa chỉ: Cấu trúc của cuộc tấn công
Ví bị tấn công đã duy trì hoạt động chuyển USDT ổn định trong gần hai năm. Sau khi nhận khoảng $50 triệu từ một sàn giao dịch lớn, người dùng đã thực hiện một giao dịch thử nghiệm để xác nhận địa chỉ nhận — một thực hành bảo mật phổ biến. Tuy nhiên, những gì xảy ra sau cho thấy cách mà các biện pháp phòng ngừa của người dùng đôi khi lại làm tăng nguy cơ rủi ro.
Kẻ tấn công đã chuẩn bị sẵn một địa chỉ ví giả phản chiếu một địa chỉ thường xuất hiện trong lịch sử giao dịch của nạn nhân. Bằng cách gửi một lượng USDT nhỏ vào địa chỉ giả này, kẻ lừa đảo đảm bảo rằng nó sẽ xuất hiện trong danh sách giao dịch lịch sử của người dùng. Khi người dùng sau đó cố gắng chuyển toàn bộ $50 triệu, họ đã sao chép nhầm địa chỉ mà họ tin là đáng tin cậy từ các giao dịch trước — thực chất là đã chọn phải địa chỉ độc hại.
Điều này thể hiện một cuộc tấn công thụ động: kẻ tấn công không xâm phạm buộc ví hoặc thao túng chính giao thức blockchain. Thay vào đó, họ khai thác các mẫu hành vi người dùng dự đoán được và thiết kế giao diện ví khuyến khích sao chép địa chỉ từ lịch sử giao dịch. Hành động của nạn nhân khi sao chép từ lịch sử ví — vốn thường được xem là an toàn — trở thành con đường tấn công.
Mô hình dựa trên tài khoản vs. UTXO: Những khác biệt về điểm yếu cấu trúc
Người sáng lập Cardano, Charles Hoskinson, nhấn mạnh một điểm khác biệt quan trọng trong kiến trúc blockchain giải thích tại sao cuộc tấn công này lại dễ dàng thành công trên Ethereum và các mạng tương thích EVM. Các nền tảng này hoạt động dựa trên mô hình dựa trên tài khoản, trong đó các địa chỉ hoạt động như các tài khoản cố định duy trì số dư và lịch sử giao dịch liên tục.
Trong hệ thống dựa trên tài khoản:
Ngược lại, Bitcoin và Cardano sử dụng mô hình UTXO (Unspent Transaction Output), hoạt động hoàn toàn khác:
Sự khác biệt về kiến trúc này khiến các cuộc tấn công poisoning địa chỉ gặp phải trở ngại lớn trong môi trường UTXO. Việc không có lịch sử địa chỉ cố định loại bỏ các tín hiệu hình ảnh mà các kẻ lừa đảo khai thác trong các kịch bản tấn công chủ động, nơi UI ví trực tiếp tạo điều kiện cho các thói quen nguy hiểm của người dùng.
Vượt ra ngoài Giao thức: Giao điểm giữa Thiết kế và Con người
Hoskinson nhấn mạnh rằng sự cố này không phải là một thất bại của giao thức hay lỗ hổng của hợp đồng thông minh. Thay vào đó, nó là ví dụ về sự hội tụ nguy hiểm giữa thiết kế hệ thống và hành vi con người — một cuộc tấn công tầng con người mà không có bất kỳ biện pháp bảo mật mật mã nào có thể ngăn chặn.
Sự cố này đã thúc đẩy các nhà phát triển ví xem xét lại quy trình xác minh địa chỉ. Các cập nhật bảo mật gần đây từ các nhà cung cấp ví lớn đã bao gồm cảnh báo rõ ràng về thói quen sao chép địa chỉ và thiết kế lại màn hình xác minh với sự phân biệt rõ ràng hơn về mặt hình ảnh giữa các địa chỉ. Những cải tiến này thừa nhận rằng kiến trúc bảo mật phải dựa trên hành vi thực tế của người dùng chứ không chỉ lý thuyết về các thực hành tối ưu.
Điểm rút ra quan trọng cho người dùng
Mất $50 triệu này nhấn mạnh lý do tại sao bảo mật ví không chỉ dừng lại ở việc giữ khóa riêng tư. Người dùng nên:
Sự cố này có thể thúc đẩy nhanh các cuộc thảo luận về kiến trúc liệu các mô hình dựa trên tài khoản có nên áp dụng các sửa đổi lấy cảm hứng từ UTXO, hoặc liệu các giao diện ví cần được thiết kế lại căn bản để giảm thiểu các lỗi do con người gây ra. Sự trưởng thành của hệ sinh thái tiền mã hóa ngày càng phụ thuộc vào việc thu hẹp khoảng cách giữa an ninh kỹ thuật và khả năng sử dụng thực tế.