Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
CFD
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
CFD
Phái sinh CFD cổ phiếu Hoa Kỳ
Cổ phiếu Hoa Kỳ
Tiếp cận cổ phiếu và quỹ ETF thực của Hoa Kỳ
Cổ phiếu Hongkong
Giao dịch cổ phiếu chất lượng được niêm yết tại Hongkong
Cổ phiếu Hàn Quốc
SK Hynix
Giao dịch cổ phiếu Hàn Quốc thực và đầu tư vào các tài sản phổ biến
Futures cổ phiếu
Đòn bẩy cao, giao dịch 24/7
Cổ phiếu token hóa
Được hỗ trợ bởi tài sản cổ phiếu thực
IPO Access
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
GUSD
Đúc GUSD để nhận lợi suất từ RWA kho bạc
Hoạt động cổ phiếu
Giao dịch cổ phiếu phổ biến và nhận airdrop hấp dẫn
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
IPO Access
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Kế hoạch tăng trưởng tài sản cao cấp
Gate Wealth
Nắm quyền kiểm soát tương lai tài chính của bạn
Quỹ định lượng
Chiến lược định lượng hàng đầu
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
Đòn bẩy không thanh lý
USD1 Lãi 8%/năm
Không khóa, tự do giao dịch.
Khuyến mãi
AI
Gate AI
Trợ lý AI đa năng đồng hành cùng bạn
Gate AI Bot
Sử dụng Gate AI trực tiếp trong ứng dụng xã hội của bạn
GateClaw
Gate Tôm hùm xanh, mở hộp là dùng ngay
Gate for AI Agent
Hạ tầng AI, Gate MCP, Skills và CLI
Gate Skills Hub
Hơn 10.000 kỹ năng
Từ văn phòng đến giao dịch, thư viện kỹ năng một cửa giúp AI tiện lợi hơn
Mistral AI và TanStack bị tấn công chuỗi cung ứng với phần mềm độc hại được chứng nhận SLSA
Kẻ tấn công đã xâm nhập vào gói Python chính thức của Mistral AI trên PyPI cùng với hàng trăm gói nhà phát triển phổ biến khác, tiết lộ token GitHub, thông tin xác thực đám mây và kho mật khẩu trên toàn bộ hệ sinh thái nhà phát triển AI và crypto.
Microsoft Threat Intelligence cho biết vào ngày 11 tháng 5, họ đang điều tra phiên bản gói mistralai trên PyPI 2.4.6 sau khi phát hiện mã độc được chèn vào trong mistralai/client/init.py thực thi khi nhập, tải xuống một payload phụ từ 83.142.209.194 vào /tmp/transformers.pyz và khởi chạy nó trên các hệ thống Linux.
Microsoft đang điều tra sự xâm phạm của gói mistralai PyPI v2.4.6. Kẻ tấn công đã chèn mã vào trong mistralai/client/init.py thực thi khi nhập, tải xuống hxxps://83[.]142[.]209[.]194/transformers.pyz vào /tmp/transformers.pyz, và khởi chạy payload giai đoạn thứ hai trên Linux.… pic.twitter.com/9Xfb07Hcia
— Microsoft Threat Intelligence (@MsftSecIntel) 12 tháng 5, 2026
Tên tệp giả mạo bắt chước framework AI Transformers phổ biến của Hugging Face. Sự xâm phạm của Mistral là một phần của chiến dịch phối hợp mà các nhà nghiên cứu gọi là Mini Shai-Hulud.
Nền tảng an ninh SafeDep báo cáo rằng hoạt động này đã xâm phạm hơn 170 gói và phát hành 404 phiên bản độc hại trong khoảng thời gian từ ngày 11 đến 12 tháng 5.
Cuộc tấn công mang CVE-2026-45321 với điểm CVSS là 9.6, xếp loại mức độ nghiêm trọng critical.
Mô hình tin cậy nguồn gốc SLSA vừa bị phá vỡ
Điều làm cho cuộc tấn công này mang tính chưa từng có về cấu trúc là các gói độc hại mang chứng nhận nguồn gốc SLSA Build Level 3 hợp lệ.
Nguồn gốc SLSA là một chứng chỉ mã hóa được tạo ra bởi Sigstore nhằm xác minh rằng một gói được xây dựng từ nguồn đáng tin cậy.
Snyk báo cáo rằng cuộc tấn công TanStack là trường hợp đầu tiên được ghi nhận của các gói npm độc hại có nguồn gốc SLSA hợp lệ, có nghĩa là các biện pháp phòng vệ chuỗi cung ứng dựa trên chứng thực hiện nay đã rõ ràng là không đủ.
Nhóm tấn công, được gọi là TeamPCP, đã xâu chuỗi ba lỗ hổng: cấu hình sai workflow pull_request_target, tấn công cache của GitHub Actions, và trích xuất bộ nhớ thời gian chạy của token OIDC từ quá trình chạy của GitHub Actions.
Cam kết độc hại được tạo dưới danh tính giả mạo giả mạo ứng dụng GitHub của Anthropic Claude, với tiền tố [skip ci] để giảm thiểu kiểm tra tự động.
Malware lấy cắp gì và cách nó lây lan
Như Cryptopolitan đã đưa tin về vụ việc Trust Wallet tháng 1 năm 2026 liên quan đến khoản lỗ 8,5 triệu đô la, sâu Shai-Hulud đã tiến hóa qua nhiều đợt kể từ tháng 9 năm 2025.
Biến thể mới nhất này bổ sung việc trộm cắp kho mật khẩu, với các nhà nghiên cứu Wiz ghi nhận malware hiện nhắm vào kho 1Password và Bitwarden cùng với khóa SSH, thông tin xác thực AWS và GCP, tài khoản dịch vụ Kubernetes, token GitHub, và thông tin xác thực phát hành npm.
Malware gửi dữ liệu ra ngoài qua ba kênh dự phòng: tên miền typosquat (git-tanstack.com), mạng nhắn tin phi tập trung Session, và các kho GitHub theo chủ đề Dune được tạo bằng token bị đánh cắp.
Malware sẽ thoát ra nếu phát hiện cài đặt ngôn ngữ tiếng Nga. Trên các hệ thống định vị đến Israel hoặc Iran, nó có xác suất 1 trên 6 để thực thi wipe đệ quy (rm -rf /).
Phản ứng của Mistral và hệ sinh thái rộng lớn hơn
Mistral đã phát hành cảnh báo an ninh vào ngày 12 tháng 5 nói rằng hạ tầng cốt lõi của họ không bị xâm phạm. Công ty đã truy nguyên vụ việc đến một thiết bị nhà phát triển bị xâm phạm liên quan đến chiến dịch chuỗi cung ứng TanStack rộng lớn hơn.
Phiên bản mistralai==2.4.6 đã được tải lên ngay sau nửa đêm UTC ngày 12 tháng 5, trước khi PyPI cách ly dự án.
Các gói npm bị xâm phạm, bao gồm @mistralai/mistralai, @mistralai/mistralai-azure, và @mistralai/mistralai-gcp, đã có sẵn trong vài giờ trước khi bị gỡ bỏ.
Tổng số lượt tải xuống hàng tuần của các gói bị xâm phạm vượt quá 518 triệu. Chỉ riêng @tanstack/react-router đã nhận hơn 12,7 triệu lượt tải hàng tuần.
Các nhà phát triển đã cài đặt các phiên bản bị ảnh hưởng được khuyên đổi mới thông tin xác thực đám mây, token GitHub, khóa SSH, và đổi API key, cũng như kiểm tra thư mục .claude/ và .vscode/ để phát hiện các hook duy trì.
Nếu bạn đang đọc bài này, bạn đã đi trước rồi. Hãy ở lại đó với bản tin của chúng tôi.