A Bulgarian national, Rossen G. Iossifov, has been charged with stealing $290,000 in government-seized cryptocurrency while already serving a 121-month federal prison sentence for money laundering. Prosecutors allege that in January 2024, while incarcerated, he conspired with others to move the seized funds through multiple crypto exchanges and mixing services to hide them from authorities. His original conviction stemmed from operating RG Coins, a Bulgarian crypto exchange that served members of the Alexandria Online Auction Fraud Network, which defrauded at least 900 Americans via fake Craigslist and eBay listings. He faces up to 25 additional years in prison if convicted on the new charges.
Nguồn: https://www.bleepingcomputer.com/news/security/money-launderer-accused-of-stealing-seized-crypto-while-in-prison. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Polymarket xác nhận tin tặc đánh cắp tiền điện tử của người dùng sau khi bên cung cấp dịch vụ bên thứ ba bị xâm nhập, dẫn đến mã độc được tiêm vào website. Theo PeckShield, khoảng 3 triệu USD crypto đã bị đánh cắp từ hơn 11 nạn nhân. Polymarket cho biết đã khắc phục sự cố và hoàn tiền đầy đủ cho người dùng.
Câu này quan trọng vì cho thấy rủi ro của sự phụ thuộc vào các bên thứ ba trong các nền tảng DeFi, từ đó giúp lập trình viên hiểu cách bảo mật hệ thống và kiểm soát các mối đe dọa từ bên ngoài.
Vào ngày 8/7/2026, kẻ tấn công xâm nhập tài khoản GitHub của một maintainer đáng tin cậy để chèn backdoor vào @injectivelabs/sdk-ts, SDK TypeScript chính thức của blockchain Injective. Đoạn mã độc trộm seed phrase BIP-39 và private keys qua server điều khiển bởi hacker, được ngụy trang dưới dạng helper telemetry và ẩn danh hostname bằng mảng ký tự. Backdoor lây lan tới 18 package npm trong 49 phút trước khi bị phát hiện, khiến bất kỳ ứng dụng nào cài phiên bản 1.20.21 trong khoảng thời gian này đều coi dữ liệu ví là bị xâm phạm.
Lập trình viên phát triển ứng dụng blockchain hoặc sử dụng SDK công khai nên đọc để hiểu cách tấn công supply chain được thực hiện thông qua các package npm, cảnh báo về nguy cơ xâm nhập vào hệ thống quản lý chìa khóa tiền điện tử và cách phòng ngừa hiệu quả.
A malicious version of the npm package @injectivelabs/sdk-ts (v1.20.21) was published on June 8, 2026, containing code that stole wallet mnemonics and private keys by hooking into PrivateKey.fromMnemonic and PrivateKey.fromHex. The payload disguised exfiltration traffic as gRPC-web calls to a subdomain mimicking Injective's own infrastructure, with the stolen data encoded in the X-Request-Id header. The attacker also republished 17 other @injectivelabs packages pinned to the poisoned SDK version, enabling transitive compromise. The malicious version was live for under an hour and downloaded 310 times before the maintainer reverted it. Any mnemonic or private key that passed through these packages should be considered exposed. Remediation requires upgrading all affected packages to v1.20.23 and rotating any exposed keys.
A malicious version of @injectivelabs/sdk-ts (1.20.21) was published to npm containing code that exfiltrates wallet private keys and mnemonic phrases via fake telemetry. The compromise was introduced through a developer account with an established contribution history. The malicious code hooks the fromMnemonic and fromHex functions to silently POST base64-encoded sensitive data to a disguised Injective Labs infrastructure endpoint. The attack extended to 17 additional @injectivelabs scoped packages pinned to the malicious version, amplifying the blast radius beyond direct users. With ~50,000 weekly downloads, the impact is significant. The compromised version was deprecated but not removed from npm at time of writing. Developers should upgrade to 1.20.23, treat any exposed keys or mnemonics as compromised, move funds, rotate credentials, and audit transitive dependencies.
Hackers compromised a GitHub account belonging to a legitimate Injective Labs contributor and used it to publish a malicious version (1.20.21) of the @injectivelabs/sdk-ts npm package. The package, which has 50,000 weekly downloads, was infected with a cryptocurrency wallet stealer that captures mnemonic seed phrases and private keys when wallet generation or import functions are called. The stolen data is encoded in base64 and exfiltrated via HTTP POST to an Injective Labs public endpoint to blend in with legitimate traffic. The malicious version was downloaded 310 times before being deprecated, and 87 dependent packages with a combined 112,000 downloads were also affected. Developers who may have been compromised are advised to transfer funds to new wallets and rotate all secrets.
Quỹ đầu tư mạo hiểm Paradigm chuyên về crypto huy động thành công 1,2 tỷ USD cho Fund III, mở rộng đầu tư sang AI, robotics và các lĩnh vực "technical frontier" như drone (Zipline) và startup vũ trụ (True Anomaly).
Để hiểu rõ xu hướng đầu tư mới của các quỹ VC trong công nghệ, đặc biệt là sự chuyển hướng từ blockchain sang AI và robotics, giúp bạn tìm kiếm cơ hội đầu tư hoặc phát triển dự án trong lĩnh vực tương lai.
Web3 is examined as a potential next evolution of the internet, built on blockchain technology that promises user ownership of digital assets and data without reliance on centralized platforms. The piece traces the progression from Web1 (read-only) through Web2 (read/write, platform-dominated) to Web3's 'read, write, own' model. Potential applications include decentralized identity, cross-border payments, tokenized assets, DeFi, and creator economies. Skeptics point to poor usability, regulatory uncertainty, scalability issues, and the reality that many 'Web3' services remain centralized in practice. The author concludes that Web3 is neither proven fact nor empty hype, but a live experiment that may result in a hybrid model combining centralized convenience with decentralized ownership.
Các trang web dự đoán tiền điện tử xung quanh World Cup thường sử dụng các chiêu trò lừa đảo như pump-and-dump, game miễn phí giả mạo yêu cầu mua token, hoặc tạo hoạt động giao dịch ảo để lừa người dùng. Cảnh báo quan trọng là kiểm tra số lượng holder thấp dù khối lượng giao dịch cao, chuyển tiền vòng lặp qua ví trung tâm, hoặc token có tên tương tự đã tồn tại. Nếu đã bị lừa, hãy ngừng gửi tiền, thu hồi quyền chi tiêu ví và báo cáo với cơ quan chức năng.
Lập trình viên nên đọc bài này để hiểu cách các trang dự đoán kết quả bóng đá sử dụng mã nguồn giả mạo và cơ chế lừa đảo trong blockchain, giúp họ phân tích và bảo vệ ứng dụng của mình khỏi các cuộc tấn công tương tự trong các dự án tài chính kỹ thuật số.