Інциденти безпеки

Нещодавно у мережі поширилися чутки: «дослідження Google показало, що квантовий комп’ютер може за 9 хвилин зламати біткоїн-ключі», але це виявилося неправдивою інформацією. За цими даними неможливо знайти жодного джерела. Насправді для злому біткоїнівської ECDSA потрібно 1,9 мільярда кубітів, що значно перевищує 105 кубітів Google Willow. Справжня загроза полягає в тому, що зловмисники можуть зібрати дані, а потім використати квантовий комп’ютер для їх дешифрування; експерти прогнозують, що злам квантовим комп’ютером відбудеться у 2035–2040 роках. Криптографічна індустрія вже почала готувати захисні заходи.

США висунули обвинувачення хакеру, причетному до порушення безпеки Uranium Finance, яке спричинило збитки в розмірі $53 мільйони. Обвинувачений може отримати до 30 років позбавлення волі за звинуваченнями у шахрайстві та відмиванні грошей.

Атаку на ланцюг постачання було скомпрометовано Axios, широко використовуваний пакет npm, із новою шкідливою залежністю. Розробникам наполегливо рекомендують фіксувати версії та виконувати аудит lockfile-файлів, щоб уникнути потенційних ризиків безпеки.

Зламати блокчейн Bitcoin за допомогою квантових комп’ютерів може бути не так складно, як колись вважалося, і технологія Bitcoin Taproot, яка дає змогу здійснювати більш ефективні та приватні транзакції, може бути частково винною, заявила в понеділок команда Google Quantum AI у блозі та щойно опублікованому аналітичному матеріалі. Команда s

Socket AI нещодавно опублікував попередження щодо безпеки, вказавши, що базовий пакет залежностей npm axios зазнав активної атаки на ланцюг постачання, а в останній версії було вбудовано шкідливий пакет plain-crypto-js. Широке використання axios створює ризик для багатьох проєктів, рекомендується користувачам негайно заблокувати версію та перевірити файли.

Новини Gate News, 31 березня, Huma Finance на платформі X опублікувала попередження про безпеку: офіційний обліковий запис X свого партнера Arf @arf_one було зламано, і цей акаунт поширив фальшиву інформацію про токени. Huma Finance нагадує користувачам: доки акаунт Arf не відновить нормальну роботу, не взаємодійте з жодними публікаціями, розміщеними цим акаунтом.

Новини Gate News, 31 березня, у свіжому блозі команда Google Quantum AI зазначила, що більшість протоколів ECDLP-256, від яких залежить більшість технологій блокчейну та криптовалюта, мають уразливості безпеки. Хоча вже існують можливі рішення, зокрема постквантова криптографія (PQC), їхнє впровадження потребує часу, а нагальність дій для антиквантової міграції зростає дедалі більше. Google встановив часовий графік антиквантової криптографічної міграції на 2029 рік і співпрацює з певною організацією, Центром блокчейн-досліджень Стенфордського університету, Фондом Ethereum та іншими інституціями, щоб просувати відповідну роботу.

Steakhouse Financial опублікувала останні оновлення щодо інциденту з безпекою; офіційний сайт досі недоступний, але вебсайт Steakhouse Vaults працює нормально, функції депозитів і зняття коштів без відхилень. Атака походить від телефонного соціального інжинірингу (соцатаки), через що було викрадено права на керування доменом, а DNS офіційного сайту перенаправляє на шкідливі IP-адреси. Офіційна команда відкотила всі зміни, і безпека активів користувачів гарантована.

Згідно з Gauntlet, Resolv Labs після інциденту з вразливістю не опублікувала план відновлення, планує розпочати стягнення коштів і виконати операції з вилучення на кількох ринках пулів ліквідності. Вилучені ринки включають ліквідність приблизно на 11,9 млн доларів США; надалі буде створено контракти для позовів для постачальників ліквідності.

30 березня американські прокурори висунули обвинувачення Джонатану Спаллетті з Меріленду, звинувачуючи його в тому, що з 2021 року він неодноразово здійснював атаки на децентралізовану біржу Uranium Finance, причетний обсяг становить 54 мільйони доларів. Спаллетті загрожують звинувачення у комп’ютерному шахрайстві та відмиванні грошей, сукупно він може отримати до 30 років позбавлення волі. Він незаконно наживався шляхом маніпулювання транзакційними процесами та використовував кошти, здобуті злочинним шляхом, для придбання колекційних предметів. Прокуратура підкреслює, що криптоактиви так само захищені законом.

Звіт GoPlus Security повідомляє, що різновид шкідливого ПЗ під назвою Infiniti Stealer здійснює атаки проти користувачів Mac, видаючи себе за підроблену сторінку перевірки Cloudflare, і викрадає криптогаманці та облікові дані. Це шкідливе ПЗ шляхом ручного виконання команд обходить механізми безпеки, уміє красти дані браузера та ключі розробника, а також має здатність уникати виявлення.

Хвиля шахрайств націлюється на користувачів Pi Network під час фази Другої міграції, використовуючи фальшиві посилання 2FA, щоб ошукувати людей і змушувати їх ділитися фразами доступу до гаманця. Шахраї використовують терміновість користувачів, що призводить до несанкціонованого доступу до гаманця. Користувачі мають віддавати пріоритет безпеці та взаємодіяти лише через офіційні канали, щоб захистити свої кошти.

Засновник компанії Strategy Майкл Сейлор у телепередачі CNBC порівняв свої акції STRC з фондами грошового ринку, що викликало значний інтерес. Дивіденди за акціями STRC сягають 11,5%, однак це не справжній фонд грошового ринку — є високі ризики. Незважаючи на те, що SEC встановила, що його ризики суттєво вищі, Сейлор усе одно приваблює велику кількість роздрібних інвесторів; аналітики наголошують, що потрібно бути обережним і чітко відрізняти.

LiteLLM нещодавно зазнала атаки на ланцюг постачання: витікнули сотні ГБ даних і облікові дані 500 000 акаунтів. Зловмисники використали вразливість у CI/CD на GitHub, щоб викрасти облікові дані доступу Trivy, а потім вставити шкідливий код. Ця подія демонструє важливість безпеки ланцюгів постачання, і розробникам слід посилити керування правами та моніторинг.

Обліковий запис ведучого NPR Скотта Саймона в X був захоплений криптовалютними шахраями, що спонукало колегу Стіва Інскіпа випустити попередження. Обліковий запис був заблокований, щоб запобігти подальшим шахрайствам, що підкреслює зростаючу тенденцію націлюватися на відомих журналістів для обману.

Розподілений капітал Шень Бо опублікував на платформі X детальну інформацію про інцидент із викраденням активів від 10 листопада 2022 року: йдеться про активи на суму 42 млн доларів США. Час викрадення — з 0:46 до 1:02 за EST, а використаним пристроєм був гарячий гаманець Trust Wallet на iPhone 12 Pro Max. Постраждалими є численні адреси ETH, BTC і TRON.

Новий офіційний додаток, запущений урядом США, привернув увагу, оскільки питання збору даних і ризиків конфіденційності стали предметом обговорення. Розробники та дослідники зазначили, що додаток може отримувати доступ до місцезнаходження користувачів та фіксувати їхню мережеву активність, що створює потенційні загрози безпеці. Інтерес користувачів до прозорості даних і захисту конфіденційності відповідно зріс.

Solv Protocol здійснив розбір безпекової події в BRO Vault за березень 2026 року, через вразливість було втрачено приблизно 38.0474 SolvBTC. Платформа вже завершила заходи з контролю ризиків і здійснила повне відшкодування, а також це не вплинуло на інші активи та користувачів. Подія вказує на недостатність процесу безпекового аудиту, і команда посилить аудит і погодження смартконтрактів, щоб підвищити загальну безпеку. Ця подія стала сигналом тривоги для галузі, підкреслюючи важливість безпеки активів і управління.

GoPlus попереджає, що GlassWorm оновився до складної рамки атаки на постачальницький ланцюг, маскуючи розширення Chrome для крадіжки даних користувачів та криптоактивів. Атака базується на ін'єкції коду та отруєнні, використовуючи блокчейн Solana для приховування інструкцій, підвищуючи непомітність. Користувачі повинні бути обережними при встановленні невідомого програмного забезпечення та впроваджувати інструменти для виявлення, щоб запобігти атакам.

SIREN токен наразі коштує 1.80 доларів США, за 24 години зріс на 16.46%. Проект SirenAI поєднує ШІ та блокчейн, пропонуючи інтелектуальні інвестиції та рішення для децентралізованих фінансів. Проте токен сильно зосереджений на небагатьох адресах, що викликає ринкові ризики, а контролююча сторона, ймовірно, є відомою інвестиційною компанією DWF Labs. Інвестування потребує обережності.