Unity Technologies đã phát hành bản vá bảo mật quan trọng cho công cụ trò chơi của mình, giải quyết lỗ hổng có thể khiến các game thủ di động sử dụng Android, bao gồm cả người dùng tiền điện tử, phải đối mặt với các cuộc tấn công tiềm ẩn.
Những điểm chính cần ghi nhớ:
- Unity đã vá một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các ứng dụng trên Android, bao gồm trò chơi blockchain và ví tiền điện tử.
- Lỗi này hoạt động từ năm 2017, cho phép thực thi mã cục bộ và truy cập vào dữ liệu người dùng nhạy cảm trên nhiều nền tảng.
- Mặc dù không có báo cáo về việc khai thác nào, các nhà phát triển và người dùng thiết bị di động được khuyến khích cập nhật ứng dụng và thiết bị ngay lập tức.
Được phát hiện lần đầu vào tháng 6 và công khai vào tuần trước, lỗi này cho phép các ứng dụng độc hại của bên thứ ba trên cùng một thiết bị thực thi mã cục bộ và truy cập vào thông tin nhạy cảm được lưu trữ trong các ứng dụng do Unity xây dựng.
Các chuyên gia bảo mật cảnh báo lỗ hổng này có thể ảnh hưởng đến các ứng dụng ra đời từ năm 2017, có khả năng lây nhiễm trên các nền tảng Android, Windows, macOS và Linux.
Unity xác nhận triển khai bản vá, cho biết không tìm thấy bằng chứng khai thác
Trong một tuyên bố hôm thứ Sáu , giám đốc cộng đồng của Unity, Larry “Major Nelson” Hryb, đã xác nhận rằng các bản vá đã được triển khai.
Hryb cho biết: "Không có bằng chứng nào về việc khai thác tích cực", đồng thời nói thêm rằng không có báo cáo nào về tác động đối với người dùng hoặc khách hàng.
Lỗ hổng bảo mật này được phát hiện thông qua nghiên cứu của RyotaK thuộc GMO Flatt Security, người đã mô tả cách lỗi này có thể được sử dụng để chiếm quyền ứng dụng và thực thi mã tùy ý từ xa.
Trong một tuyên bố gửi tới Cointelegraph, Google đã kêu gọi các nhà phát triển áp dụng bản vá ngay lập tức và tái bản bất kỳ trò chơi nào bị ảnh hưởng.
Unity đã khuyên tất cả các nhà phát triển tải xuống Unity Editor đã cập nhật trước khi tạo bản dựng mới và xây dựng lại cũng như phát hành lại bất kỳ trò chơi nào đã phát hành trước đó để đảm bảo an toàn cho người dùng.
Microsoft cũng đã đưa ra cảnh báo bảo mật cho biết các trò chơi bị ảnh hưởng trên Windows đang được cập nhật, mặc dù các trò chơi trên console vẫn không bị ảnh hưởng. Windows Defender cũng đã được cập nhật tương ứng.
Người dùng thiết bị di động được khuyến khích cập nhật thiết bị, bật tính năng tự động cập nhật và duy trì phần mềm diệt virus đang hoạt động. Tính năng bảo vệ chống phần mềm độc hại tích hợp của Android cũng đã được tăng cường.
Tác động của lỗ hổng bảo mật này đối với cộng đồng tiền điện tử đặc biệt đáng chú ý khi ngày càng có nhiều trò chơi di động dựa trên blockchain và ứng dụng Web3 được xây dựng bằng Unity.
Những kẻ xấu lợi dụng lỗi này có thể truy cập vào khóa riêng tư, ví hoặc dữ liệu bí mật khác được lưu trữ trong các ứng dụng này.
Theo GameRant, các studio trò chơi như Obsidian Entertainment được cho là đã gỡ bỏ một số tựa game khỏi các cửa hàng kỹ thuật số như một biện pháp phòng ngừa trong khi triển khai bản sửa lỗi của Unity.
Unity, công cụ hỗ trợ hơn 70% trong số 1.000 trò chơi di động hàng đầu, vẫn là nền tảng của trò chơi di động và phát triển ứng dụng thời gian thực, một vị thế nhấn mạnh tầm quan trọng của phản ứng nhanh chóng trước các mối đe dọa bảo mật trên toàn hệ sinh thái.
Các vụ hack tiền điện tử gây thiệt hại 127 triệu đô la trong tháng 9
Theo công ty bảo mật blockchain PeckShield, các vụ tấn công liên quan đến tiền điện tử đã gây ra thiệt hại 127,06 triệu đô la vào tháng 9 năm 2025, đánh dấu mức giảm 22% so với mức 163 triệu đô la của tháng 8.
Tháng này đã chứng kiến gần 20 vụ khai thác lớn, với các sự cố tập trung chủ yếu vào một vài cuộc tấn công quy mô lớn. Mặc dù có sự sụt giảm, các chuyên gia trong ngành vẫn nhấn mạnh rằng các nền tảng DeFi và blockchain vẫn rất dễ bị tấn công bảo mật.
Hai vụ tấn công lớn nhất liên quan đến UXLINK và SwissBorg, gây thiệt hại tổng cộng 85 triệu đô la.
UXLINK đã mất 44,14 triệu đô la sau khi ví đa chữ ký của họ bị khai thác, dẫn đến việc đúc trái phép 10 nghìn tỷ token và giá Token giảm 90%.
SwissBorg đã chịu khoản lỗ 41,5 triệu đô la tại Solana sau khi tin tặc xâm nhập vào đối tác API của họ, Kiln. Cả hai công ty đang hợp tác với các sàn giao dịch, cơ quan thực thi pháp luật và tin tặc mũ trắng để kiểm soát thiệt hại và bồi thường cho người dùng.
Các sự cố khác bao gồm cuộc tấn công lừa đảo trị giá 13,5 triệu đô la vào người dùng Venus Protocol, trong đó 13 triệu đô la đã được thu hồi, cùng các vụ khai thác nhỏ hơn khác nhắm vào các nền tảng như Yala, GriffAI và Shibarium Bridge.
