Theo tin tức từ BitouchNews, Nhà cung cấp phần mềm quản lý danh tính và quyền truy cập Okta đã chính thức đưa ra tuyên bố cho biết rằng vào ngày 30 tháng 10 năm 2024, một lỗ hổng đã được phát hiện trong nội bộ khi AD/LDAP DelAuth tạo khóa bộ đệm. Thuật toán Bcrypt được sử dụng để tạo khóa bộ đệm. Chuỗi kết hợp userId + tên người dùng + mật khẩu được băm. Trong một số điều kiện nhất định, điều này có thể cho phép người dùng chỉ xác thực bằng cách cung cấp cho tên người dùng khóa được lưu trong bộ nhớ đệm từ lần xác thực thành công trước đó.Lỗ hổng này yêu cầu mỗi lần tạo khóa bộ đệm cho người dùng, tên người dùng phải bằng hoặc vượt quá 52 ký tự. Các sản phẩm và phiên bản bị ảnh hưởng là Okta AD/LDAP DelAuth kể từ ngày 23 tháng 7 năm 2024 và lỗ hổng bảo mật đã được khắc phục trong môi trường sản xuất của Okta vào ngày 30 tháng 10 năm 2024.

Theo tin tức từ BitouchNews, Các quan chức của Lido đã tuyên bố trước đây rằng Trong vòng 24 giờ, những người đóng góp cho Lido DAO đã được thông báo về một lỗ hổng nền tảng ảnh hưởng đến các nhà khai thác nút hoạt động của Lido (InfStones ) trên Ethereum , lỗ hổng này đã bị khai thác trong vài tháng qua. Lỗ hổng này đã được nhà nghiên cứu bảo mật dWallet Labs tiết lộ cho InfStones vào tháng 7 năm 2023. Nhà điều hành nút thông báo rằng lỗ hổng đã được giải quyết. Lỗ hổng này liên quan đến Có khả năng làm lộ quyền truy cập cấp cơ sở vào 25 máy chủ xác thực, có thể bao gồm cả tài liệu quan trọng, cho những kẻ tấn công bên ngoài có thể không liên kết với giao thức Lido. Không rõ liệu những người đóng góp có bao gồm máy chủ và/hoặc khóa liên quan đến Lido Authenticator trong phạm vi hệ thống bị ảnh hưởng hay không. Cộng tác viên Lido DAO đã đưa ra kết luận sau đây về lỗ hổng được đề cập ở trên: Không có dấu hiệu nào cho thấy bất kỳ khóa nào bị xâm phạm do lỗ hổng này; tuy nhiên, như một biện pháp phòng ngừa, InfStones đã tự nguyện gỡ bỏ tất cả các trình xác thực và chuyển sang các khóa mới đang chờ biểu quyết DAO. Tất cả ETH từ trình xác thực thoát sẽ quay trở lại giao thức Lido thông qua quá trình rút tiền và sau đó sẽ được đặt lại vào các khóa có sẵn trong bộ đệm.

Theo tin tức từ BitouchNews, Cơ quan an ninh blockchain CertiK thông báo trên nền tảng xã hội rằng họ đã phát hiện ra một loạt lỗ hổng nghiêm trọng trên sàn giao dịch Kraken, có thể dẫn đến tổn thất tiềm tàng hàng trăm triệu đô la.Cuộc điều tra của CertiK cho thấy hệ thống gửi tiền của Kraken không thể phân biệt hiệu quả giữa các trạng thái chuyển tiền nội bộ khác nhau và có nguy cơ các tác nhân độc hại có thể giả mạo giao dịch gửi tiền và rút tiền giả. Trong quá trình thử nghiệm, hàng triệu đô la tiền giả có thể được gửi vào tài khoản Kraken và hơn 1 triệu đô la tiền điện tử giả được rút vào tài sản hợp lệ mà không có bất kỳ cảnh báo nào được hệ thống Kraken kích hoạt.Sau khi CertiK thông báo cho Kraken, Kraken đã phân loại lỗ hổng này là "nghiêm trọng" và bước đầu đã khắc phục sự cố. Tuy nhiên, CertiK chỉ ra rằng nhóm bảo mật Kraken sau đó đã đe dọa nhân viên CertiK và yêu cầu hoàn trả số tiền điện tử không khớp trong một thời gian không hợp lý mà không cung cấp địa chỉ trả nợ. Để bảo vệ an ninh người dùng, CertiK quyết định công khai vấn đề này, kêu gọi Kraken ngăn chặn mọi mối đe dọa đối với hacker mũ trắng, nhấn mạnh rằng cần hợp tác để giải quyết rủi ro và cùng nhau bảo vệ tương lai của Web3.

Theo tin tức từ BitouchNews, Radiant Capital đã ban hành một X vềSự chậm trễ này là do các giao dịch bổ sung được yêu cầu sau khi kích hoạt khóa thời gian, liên quan đến việc chuyển vai trò quản trị viên khẩn cấp sang multisig mới. Multisig này hiện đang hoạt động và chỉ dành cho mục đích sử dụng khẩn cấp, với thẩm quyền giới hạn trong việc tạm dừng và tiếp tục thị trường khi cần thiết.Theo báo cáo trước đó, các quan chức Radiant Capital đã đăng một bài đánh giá trên mạng xã hội cho biết giao thức này đã gặp phải một vụ vi phạm an ninh cực kỳ phức tạp vào ngày 16, dẫn đến thiệt hại 50 triệu USD. Những kẻ tấn công đã khai thác ví phần cứng từ nhiều nhà phát triển thông qua việc tiêm phần mềm độc hại tiên tiến.