Tin tức Gate News: Vào ngày 31 tháng 3, nhà nghiên cứu thực tập của công ty bảo mật blockchain Fuzzland là Chaofan Shou đã chỉ ra trên X rằng gói npm của công cụ lập trình AI Claude Code thuộc Anthropic chứa đầy đủ các tệp source map (cli.js.map, khoảng 60MB), từ đó có thể khôi phục toàn bộ mã nguồn TypeScript. Đã được xác minh, phiên bản mới nhất v2.1.88 được phát hành hôm nay vẫn chứa tệp này, bên trong có mã đầy đủ của 1.906 tệp mã nguồn do Claude Code tự sở hữu, bao gồm chi tiết triển khai như thiết kế API nội bộ, hệ thống phân tích telemetry, công cụ mã hóa, giao thức truyền thông liên tiến trình (IPC) và các cơ chế khác. Source map là tệp gỡ lỗi trong phát triển JavaScript dùng để ánh xạ mã đã nén trở lại mã nguồn gốc, và không nên xuất hiện trong các gói phát hành dành cho sản xuất. Tháng 2 năm 2025, phiên bản sớm của Claude Code cũng từng bị phơi bày vì đúng vấn đề này; khi đó, Anthropic đã gỡ các phiên bản cũ khỏi npm và xóa source map, nhưng vấn đề sau đó lại tái diễn. Trên GitHub đã có nhiều kho lưu trữ công khai trích xuất và sắp xếp mã nguồn đã được khôi phục, trong đó ghuntley/claude-code-source-code-deobfuscation đạt gần một nghìn lượt sao. Thông tin bị rò rỉ là mã triển khai phía máy khách của công cụ Claude Code CLI, không liên quan đến trọng số mô hình hay dữ liệu người dùng, nên không gây rủi ro an toàn trực tiếp cho người dùng phổ thông; tuy nhiên, việc mã nguồn đầy đủ tiếp tục bị lộ đồng nghĩa với việc kiến trúc nội bộ, các cơ chế bảo mật và logic telemetry được tiết lộ hoàn toàn ra bên ngoài.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Cảnh báo Mộ Sương: Lỗ hổng “Linux Copy Fail” rất dễ bị khai thác, khuyến nghị nâng cấp kernel càng sớm càng tốt
Theo CEO bảo mật thông tin 23pds của SlowMist đăng trên X vào ngày 30 tháng 4, đã phát hiện một lỗ hổng logic có tên “Copy Fail” trong hệ điều hành Linux (CVE-2026-31431). Lỗ hổng này rất dễ bị khai thác; SlowMist khuyến nghị người dùng nhanh chóng nâng cấp kernel.
MarketWhisper1giờ trước
Aftermath Finance bị tấn công gây thiệt hại 1,14 triệu USD, Mysten Labs cam kết bồi hoàn toàn bộ cho người dùng
Theo phân tích kỹ thuật về vụ tấn công được GoPlus công bố vào ngày 30 tháng 4 và tuyên bố chính thức của Aftermath Finance, nền tảng hợp đồng vĩnh cửu trên Sui của Aftermath Finance đã bị tấn công vào ngày 29 tháng 4, thiệt hại vượt quá 1,14 triệu USD. Bên dự án cho biết, với sự hỗ trợ từ Mysten Labs và Quỹ Sui, tất cả người dùng sẽ được bồi hoàn toàn bộ.
MarketWhisper2giờ trước
Aftermath Finance Mất Hơn 1,14M USD Trong Cuộc Tấn Công Vào Ngày 29 Tháng 4, Hứa Bồi Thường Toàn Bộ Cho Người Dùng
Theo PANews, Aftermath Finance, một nền tảng hợp đồng tương lai vĩnh viễn trên blockchain Sui, đã mất hơn 1,14 triệu USD trong một cuộc tấn công vào ngày 29 tháng 4. Phân tích của GoPlus cho thấy kẻ tấn công đã khai thác lỗ hổng không khớp biểu tượng trong hàm calculate_taker_fees bằng cách đánh cắp quyền ADMIN thông qua hàm add_integrator_config để trích xuất token lặp đi lặp lại thông qua th
GateNews3giờ trước
Thỏa thuận SWEAT bị đánh cắp 13,71 tỷ token, tạm dừng hợp đồng sau đó hoàn toàn khôi phục quỹ người dùng
Theo bản báo cáo tổng kết sau vụ tấn công do giao thức SWEAT công bố sau khi xảy ra sự cố, số tiền người dùng bị đánh cắp trong sự kiện tấn công lỗ hổng xảy ra vào thứ Tư đã được khôi phục hoàn toàn, và hoạt động vận hành của giao thức đã trở lại bình thường. Công ty an ninh mã hóa Blockaid ước tính rằng kẻ tấn công đã trộm khoảng 137.1 tỷ token SWEAT; đội ngũ SWEAT nhanh chóng tạm dừng hợp đồng token và liên hệ với sàn giao dịch cùng nhà cung cấp thanh khoản Rhea Finance, cuối cùng khôi phục toàn bộ số dư tài khoản của người dùng.
MarketWhisper4giờ trước
Polymarket Bác Bỏ Yêu Cầu Vi Phạm Dữ Liệu Sau Khi Tin Tặc Tuyên Bố 300K+ Bản Ghi Bị Đánh Cắp
Theo tuyên bố chính thức của Polymarket, nền tảng thị trường dự đoán đã bác bỏ các cáo buộc gần đây rằng họ đã chịu một vụ vi phạm dữ liệu, cho biết thông tin đang được lan truyền liên quan đến các endpoint API công khai và dữ liệu blockchain on-chain. Một tin tặc sử dụng bút danh "xorcat" cho biết đã lấy được hơn 300.000 bản ghi, bao gồm khoảng 10.000 hồ sơ người dùng có tên và địa chỉ ví. Polymarket cho biết hạ tầng của họ được xây dựng dựa trên tính minh bạch, và bộ dữ liệu được tổng hợp từ các nguồn có thể truy cập công khai thay vì từ bất kỳ sự xâm nhập làm lộ hệ thống nội bộ nào, đồng thời mô tả các cáo buộc về vụ vi phạm là "vô cùng vô lý và hoàn toàn nhảm nhí." Các nhà nghiên cứu an ninh cũng đã lặp lại quan điểm này, cho rằng dữ liệu đã được thu thập (scrape) từ các nguồn công khai hơn là được trích xuất thông qua truy cập trái phép.
GateNews12giờ trước
