Hacken

In today’s internet, we’re often asked to share personal information our age, location, ID numbers just to access services or pass simple checks. What if you could prove what’s needed without showing anything else?
That’s what Mina Attestations allows. Built on Mina Protocol, a blockchain known for its small size and focus on privacy, Mina Attestations is a tool that helps users prove facts about themselves without revealing too much.
What Is Mina Attestations?
Mina Attestations is a JavaScript library that helps developers add private identity checks to their apps. It was previously called the "Private Credentials API" and has now been completed by the zkSecurity team. This tool lets users prove things like:
I’m over 18I’m not from a restricted countryI passed a KYC check
...without showing their exact age, country, or ID.
It uses a type of math called zero-knowledge proofs (ZKPs). These proofs let you say, “I meet this rule” and others can trust you without knowing your personal data.
Security First: Audit + Bug Bounty
Before launch, Mina Attestations was audited by Hacken, a well-known blockchain security company. They checked the code, the cryptography, and its connection to Mina wallets like Pallad.
All the important security issues were fixed, and a 1-month bug bounty is now live on Hackenproof. This means the tool is safe for developers to use.
How It Works
There are three roles in the Mina Attestations system:
Issuer: Gives the credential (like a company saying “This user passed KYC”)User: Receives the credential and can prove parts of itVerifier: Asks to see only what’s needed
Let’s say a crypto exchange wants to check if you are not from a restricted country. Instead of asking for your passport, they can ask for a proof that only says “Yes, I’m allowed.” You stay in control of your data.
Supported Credential Types
There are two main types:
Native Credentials: Signed directly on Mina — very efficientImported Credentials: From other systems, using ZK proofs. These include:
ECDSA credentials (for Ethereum-like wallets)ZkPass credentials (for checking age, nationality, etc.)
This makes it possible to bring your existing Web2 or Web3 identity into Mina, without giving away extra details.
Works With Wallets
Mina Attestations already works with Pallad Wallet and is being tested with Auro Wallet. This means users will be able to share proofs from inside their wallet, just like sending a transaction.
Why It Matters
With more services asking for identity checks, privacy becomes a challenge. Many apps don’t need to know everything just one fact. Mina Attestations helps solve this. It brings a better way to handle identity in Web3: one where users stay in control.
Thanks to Mina’s small blockchain size and support for off-chain proof creation, tools like this are now easier to use. Developers can add privacy features without needing complex backend systems or heavy infrastructure.
Mina’s Privacy Focus in Action
Mina has always been built with privacy in mind. Its blockchain stays small in size, and users can create and verify proofs on their own devices. Anyone can run a full node without needing powerful hardware.
Now, with Mina Attestations, this vision becomes more real. It’s not just an idea anymore it’s something developers and users can actually use today to protect personal data in a smart and simple way.
Whether you're building identity apps, wallet integrations, or just want more control over your data, Mina Attestations gives you a clean and privacy-focused way to do it.

#mina #MinaProtocol #MinaAttestations #Hacken $MINA

Ngày 02/04/2025, ngành tiền mã hóa đối mặt với cú sốc lớn khi các vụ hack đạt kỷ lục 2 tỷ USD trong quý 1, tăng 96% so với cùng kỳ năm ngoái. Vụ hack 1,4 tỷ USD tại Bybit do hacker Triều Tiên thực hiện đã phơi bày “gót chân Achilles” của ngành: các cuộc tấn công kiểm soát truy cập (access control attacks). Liệu ngành crypto có thể khắc phục lỗ hổng này, hay tiếp tục là “miếng mồi” cho tội phạm mạng?

Kỷ Lục 2 Tỷ USD Bị Đánh Cắp: Access Control Attacks Lên Ngôi

Theo báo cáo Web3 Security của #Hacken , các vụ hack tiền mã hóa trong quý 1/2025 đã lấy đi 2 tỷ USD – tăng 96% so với cùng kỳ năm 2024 (1,02 tỷ USD). Đáng chú ý, 83% số tiền bị đánh cắp đến từ các cuộc tấn công kiểm soát truy cập, đánh dấu quý thứ ba liên tiếp loại tấn công này thống trị. Đây là một xu hướng đáng báo động, cho thấy sự tinh vi ngày càng tăng của tội phạm mạng.

Vụ hack lớn nhất là tại sàn Bybit vào tháng 02/2025, với 1,4 tỷ USD bị đánh cắp bởi hacker Triều Tiên – được xem là vụ trộm tài chính lớn nhất lịch sử và là “tình trạng khẩn cấp an ninh quốc gia”, theo các chuyên gia bảo mật. Hacker đã nhắm vào cơ sở hạ tầng của Bybit, cụ thể là dịch vụ Amazon Web Services, để xâm nhập ví tiền mã hóa và rút tài sản chỉ trong vài giây.

Access Control Attacks: “Gót Chân Achilles” Của Ngành Crypto

Access control attacks khai thác lỗ hổng trong cơ sở hạ tầng của các dự án, như dịch vụ lưu trữ web hoặc ví đa chữ ký (multi-signature wallets). Ví dụ, trong vụ Bybit, #hacker Triều Tiên đã xâm nhập vào web hosting của Safe Wallet – nhà cung cấp ví đa chữ ký phổ biến nhất – và chèn mã độc. Mã này thay thế giao dịch thông thường của Bybit bằng một giao dịch độc hại, chuyển quyền kiểm soát ví của Bybit cho hacker.

Yehor Rudytsia, nhà nghiên cứu bảo mật on-chain tại Hacken, chia sẻ với DL News: “Các vụ tấn công này thường xảy ra do thực hành bảo mật vận hành kém trong các dự án.” Ví đa chữ ký, vốn được thiết kế để tăng cường bảo mật bằng cách yêu cầu nhiều bên phê duyệt giao dịch, trở nên vô dụng khi hacker kiểm soát cơ sở hạ tầng và lừa người dùng “ký mù” (blind-signing) vào giao dịch độc hại.

Safe Wallet là “nạn nhân” chính, với các vụ hack lớn liên quan đến ví này trong ba quý liên tiếp. Tháng 10/2024, Radiant Capital mất 55 triệu USD sau khi ví Safe Wallet bị tấn công. Tháng 07/2024, hacker Triều Tiên dùng kỹ thuật social engineering để chiếm ví Safe Wallet của sàn WazirX (Ấn Độ), lấy đi 235 triệu USD. Hacken nhấn mạnh: “Đây không phải là điểm yếu của ví đa chữ ký, mà là lời cảnh báo để cải thiện thiết kế và cơ sở hạ tầng xung quanh.”

Giải Pháp: Cải Thiện Bảo Mật Và Nhận Diện Giao Dịch

Hacken đề xuất các dự án cần cập nhật cơ sở hạ tầng và cảnh báo người dùng khi giao dịch bị thay thế bằng giao dịch độc hại. Một giải pháp là triển khai chữ ký giao dịch khác biệt, cho phép người dùng kiểm tra chi tiết giao dịch trước khi phê duyệt, giảm nguy cơ ký mù. Ngoài ra, các công ty cần tăng cường bảo mật vận hành, như kiểm tra định kỳ cơ sở hạ tầng và đào tạo nhân viên về social engineering.

Kỹ Thuật Rửa Tiền Mới: Tinh Vi Hơn Bao Giờ Hết

Với số tiền lớn bị đánh cắp, hacker đang thử nghiệm các phương pháp rửa tiền mới để che giấu nguồn gốc và chuyển đổi thành tiền mặt. Một xu hướng nổi bật là sử dụng giao dịch đòn bẩy trên các sàn giao dịch phi tập trung (perpetual futures). Hacker dùng tiền mã hóa bị đánh cắp để mở vị thế đòn bẩy lớn, sau đó đặt cược ngược lại trên sàn khác bằng vốn sạch. Khi vị thế đòn bẩy bị thanh lý, tiền bẩn “mất đi”, còn lợi nhuận từ vị thế ngược lại được giữ bằng vốn sạch, khiến số tiền trông hợp pháp.


Phương pháp khác là giả vờ làm “trader tệ hại”, cố ý thua lỗ cho các bot giao dịch để hòa trộn tiền bẩn vào hoạt động arbitrage DeFi thông thường. Rudytsia cho biết: “Bằng cách này, kẻ tấn công có thể qua mặt các mô hình phát hiện truyền thống của sàn giao dịch và hệ thống tuân thủ.” Các kỹ thuật này ngày càng cần thiết do công cụ phân tích blockchain và tính năng chống rửa tiền (như Private Proofs of Innocence của Railgun) ngày càng hiệu quả.

Tác Động Đến Thị Trường Crypto

Bybit: Mất 1,4 tỷ USD, niềm tin vào sàn giảm mạnh (khối lượng giao dịch giảm 30% sau vụ hack, theo CoinMarketCap).
Thị trường crypto: Vốn hóa giảm 11,65% (2,88 nghìn tỷ USD), niềm tin vào bảo mật suy yếu (Ethereum giảm 45%, Bitcoin giảm 12% Q1/2025).
Ngành bảo mật: Các công ty như Hacken kêu gọi cải thiện cơ sở hạ tầng (Safe Wallet mất 1,7 tỷ USD trong ba quý).
Kết Luận: Ngành Crypto Trước “Cơn Bão” Hack?

Kỷ lục 2 tỷ USD bị đánh cắp trong quý 1/2025, với vụ hack 1,4 tỷ USD tại Bybit, đã phơi bày lỗ hổng lớn của ngành crypto: access control attacks. Hacker ngày càng tinh vi, nhắm vào ví đa chữ ký và cơ sở hạ tầng, trong khi các kỹ thuật rửa tiền mới khiến việc truy vết khó khăn hơn. Nếu không cải thiện bảo mật, ngành crypto có thể tiếp tục là “miếng mồi” cho tội phạm mạng. Liệu các giải pháp như chữ ký giao dịch khác biệt có đủ để bảo vệ nhà đầu tư? Khi hacker không ngừng tiến hóa, ngành crypto đang đứng trước thử thách lớn nhất từ trước đến nay.

Cảnh báo rủi ro: Đầu tư crypto mang rủi ro cao do biến động giá và nguy cơ hack. Hãy sử dụng ví an toàn và kiểm tra kỹ giao dịch.

#anhbacong