漏洞

CoinVoice最新获悉：3 月 10 日，以太坊二层扩容方案 Optimism 宣布下一代故障证明架构 Cannon 即将上线，并针对其发布高达 25 万美元的漏洞赏金计划。该架构将成为第一个可以运行 EVM 等效 L2 的公共故障证明实现。同时实现理论上的最低 calldata gas 成本。[原文链接]

CoinVoice最新获悉：3 月 9 日，Evmos 在社交媒体发文表示，Evmos 核心团队对本次网络升级失败负责。因为 Evmos 核心团队推出升级的速度过快，导致有重大漏洞未能识别出来。故验证节点不应为本次事件负责。官方将继续收集相关数据，商议决定 Evmos 链是从区块 58700 继续，还是重置为 0，目前团队还在进行工程设计，以平滑重启 Evmos。 此前报道，Evmos 于 3 月 7 日宣布升级失败后表示，Evmos 主网至少在接下来的几天内都不会上线，正对时间进行分析。[原文链接]

CoinVoice最新获悉：波卡委员会宣布已批准 Acala 的第 167 号提案，将设立 10 万枚 DOT 用于 ORML 模块的漏洞悬赏。据了解，ORML 是波卡的实时运行模块库，被广泛应用于波卡和 Kusama 的平行链。[原文链接]

CoinVoice最新获悉：3 月 7 日，波卡理事会已批准 Open Runtime Module Library（ORML）安全漏洞赏金计划，总赏金池达 10 万枚 DOT。该计划为波卡 Treasury 支持的第一个链上漏洞赏金计划，也是波卡上获得批准的第四个赏金计划。 该计划将由波卡理事会监督的 3/5 多签地址进行管理。签名者包括 Parity 核心开发者 Wei Tang、波卡开发者 Shawn Tabrizi、Acala 核心开发者 Shaun Wang、Manta Network 联合创始人 Shumo Chu 以及 Acala CTO Bryan Chen。[原文链接]

CoinVoice最新获悉：3 月 6 日，据官方消息，DeFi 量化对冲基金 Force DAO 宣布解散并清盘，同时表示，「ForceDAO 在被黑客利用漏洞攻击后从未真正恢复过，因此正式结束 ForceDAO 的运营。官方建议任何仍在投资资金库的用户，请提取任何剩余资金。」 此前报道，2021 年 4 月，Force DAO 项目遭到黑客攻击，其 FORCE Token 被大量增发。后参与攻击的黑客表示归还资金，并表示自己是白帽子。据慢雾安全团队分析发现，此漏洞发生的主要原因在于 FORCE Token 的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，导致惨剧发生。[原文链接]

CoinVoice最新获悉：3 月 4 日，TreasureDAO 团队在其 Discord 发布公告称，在漏洞事件中被盗的 153 枚 NFT 中已有 132 枚归还至多签钱包或原持有人钱包。针对代码安全，团队将建立同行评审小组并与安全公司建立长期合作关系。同时，未来几天还将公布一个代码漏洞赏金计划，以保证代码安全。 TreasureDAO 生态的项目将在确保安全的前提下尽快重新开放。

CoinVoice最新获悉：3 月 3 日，在 TreasureDAO 代码漏洞导致其市场 100 多个 NFT 被盗数小时后，开发人员证实黑客已开始归还被盗的 Smol Brains 和其他 NFT。据悉，被盗 NFT 的总价值超过 140 万美元。 此前报道，派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析，由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误，该错误将 ERC721 的价格计算为 ERC1155 的价格，且函数不能有效检验购买数量，导致了此次攻击成为可能。据派盾提供的交易地址显示，本次攻击导致了上百枚 NFT 被盗。[原文链接]

CoinVoice最新获悉：3 月 3 日，派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析，由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误，该错误将 ERC721 的价格计算为 ERC1155 的价格，且函数不能有效检验购买数量，导致了此次攻击成为可能。据派盾提供的交易地址显示，本次攻击导致了上百枚 NFT 被盗。[原文链接]

CoinVoice最新获悉：3 月 3 日，TreasureDAO 团队在其 Discord 发布公告称，Treasure NFT 交易市场现已冻结交易，团队现在正全面审查代码，并着手修复漏洞，待确定漏洞完全修复后，会重新部署交易市场上线。 针对受到损失的用户，团队正在研究补偿多种方案，将由社区投票决定最终方案。 此前报道，Treasure NFT 交易市场发现漏洞，攻击者可以以 0 MAGIC 价格购买上架的 NFT。

CoinVoice最新获悉：3 月 3 日，基于 Arbitrum 的 TreasureDAO NFT 交易市场被曝发现漏洞，目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。受此影响，TreasureDAO 生态 Token MAGIC 价格出现波动，24 小时跌幅 12.09%。

CoinVoice最新获悉：3 月 2 日，派盾在社交媒体上公布了一份漏洞攻击相关数据报告，数据显示，2021 年 2 月全网 Defi 漏洞利用被盗资金达 3.39 亿美元。其中，针对跨链桥的攻击有 2 起，共造成 3.24 亿美元的损失，针对 Token 的攻击有 4 起，共造成 1014 万美元的损失，总计 3.34 亿美元的损失由逻辑漏洞导致。 [原文链接]

CoinVoice最新获悉：2 月 23 日，DeFi 收益协议 Flurry Finance 官方发文称，Flurry Finance 出现漏洞，目前已知黑客仅利用了部署在 FinanceRabbit 策略上的资金，其他策略的资金仍然安全。目前已暂停了包括 BNB Chain（原 BSC）和 Polygon 上的所有 rhoTokens 智能合约、rebase 功能与 Flurry。[原文链接]

CoinVoice最新获悉：2 月 22 日，据 Forbes 报道，《Unchained》主理人 Laura Shin 在最新播客中表示，据其发现的相关证据显示，以太坊 2016 年 The DAO 事件中黑客的身份疑似为 TenX 联合创始人兼首席执行官、奥地利程序员 Toby Hoenisch。Laura Shin 表示，根据其对嫌疑人的数据追踪以及区块链分析公司 Chainalysis 的链上分析，她锁定了 TenX 位于新加坡的节点地址。 此前消息，2016 年 4 月 30 日，The DAO 项目在以太坊中进行 Token 众筹，截止 5 月 28 日，该项目已筹集 1150 万枚 ETH（以当时 ETH 的价格计算已超 1.5 亿美元），是当时最大金额的众筹。6 月 17 日，黑客利用漏洞向一个匿名的地址转移走了项目众筹来的 360 万枚 ETH，占众筹总数的三分之一，该事件也是导致以太坊硬分叉的直接原因。[原文链接]

CoinVoice最新获悉：2 月 22 日，一位「无聊猿」BAYC 所有者对 NFT 市场 OpenSea 提起诉讼，原因是黑客通过 OpenSea「非活跃上架」（inactive listing）漏洞利用以 0.01 ETH 购买了他的 BAYC。据悉，这位居住在德克萨斯州的 BAYC 所有者称，黑客以 0.01 ETH 购买了 Ape 之后迅速以 99 ETH 转售，因此他要求赔偿的金额超过 100 万美元，或者要求 OpenSea 归还他的 BAYC #3475。此外，该用户还表示 OpenSea 知道平台存在漏洞，而且他根本没有挂出该 NFT 出售。[原文链接]

CoinVoice最新获悉：2 月 21 日，据官方消息，OpenSea 仍在持续调查此前网络钓鱼攻击的具体细节。虽然还没有确定确切的来源，但已发布一些 EOD 更新：已将受影响的个人名单缩小到 17 人，而不是之前提到的 32 人。最初的计数包括与攻击者有过「交互」的任何人，而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃，超过 15 小时没有恶意合约活动。 此前报道，2 月 20 日，OpenSea 联合创始人兼首席执行官 Devin Finzer 针对「OpenSea 漏洞」事件发布回应表示，本次攻击一种网络钓鱼攻击，工作团队相信攻击本身与 OpenSea 网站无关。到目前为止，共有 32 位用户签署了来自攻击者的恶意交易，导致他们的一些 NFT 被盗。目前该攻击似乎并未处于活动状态，2 小时内没有看到来自攻击者帐户的任何恶意活动，且部分 NFT 已退还。[原文链接]

CoinVoice最新获悉：2 月 20 日，派盾（PeckShield）在社交媒体发布相关交易记录表示，「OpenSea 漏洞」事件攻击者已将攻击所得部分 NFT 出售获利后，使用以太坊隐私交易平台 Tornado.cash 混币 1,100ETH。 此前报道，OpenSea 疑似遭到网络钓鱼攻击，大量 NFT 被窃取并卖出套利。本次攻击中共有 32 位用户签署了来自攻击者的恶意交易，导致用户部分 NFT 被盗。据 统计已经有包括 3 只 Bored Ape、25 个 NFT Worlds 、37 个 Azuki 等近百个 NFT 遭到被盗，按照主流资产的地板价计算，黑客至少获取了 416.6 万美元。[原文链接]

CoinVoice最新获悉：2 月 20 日，OpenSea 联合创始人兼首席执行官 Devin Finzer 针对「OpenSea 漏洞」事件发布回应表示，本次攻击一种网络钓鱼攻击，工作团队相信攻击本身与 OpenSea 网站无关。到目前为止，共有 32 位用户签署了来自攻击者的恶意交易，导致他们的一些 NFT 被盗。目前该攻击似乎并未处于活动状态，2 小时内没有看到来自攻击者帐户的任何恶意活动，且部分 NFT 已退还。 同时 Devin Finzer 提醒用户表示，目前尚不清楚是哪个网站诱使用户恶意签署邮件。当用户签署信息时，一定要仔细检查是否在浏览器中与 OpenSea 官网进行交互，请受影响的客户尽快联系 OpenSea 以协助调查。[原文链接]

CoinVoice最新获悉：2 月 20 日，据派盾官方消息，派盾称「OpenSea 漏洞事件」很可能是网络钓鱼，用户按照网络钓鱼邮件中的指示授权「迁移」，而这种授权将允许黑客窃取有价值的 NFT。 以太坊智能合约编程语言 Solidity 的开发者 foobar 表示，黑客使用 30 天前部署的一个助手合约，调用 4 年前部署的一个操作系统合约，使用有效的 atomicMatch() 数据。这可能是几个星期前的典型网络钓鱼攻击。而不是智能合约漏洞，代码是安全的。 此前报道，2 月 19 日，OpenSea 官方在社交媒体上发文表示，其智能合约升级已完成，新的智能合约已经上线，用户迁移智能合约需签署挂单迁移请求，签署此请求不需要 Gas 费，无需重新进行 NFT 审批或初始化钱包，此迁移期将持续 7 天。[原文链接]

CoinVoice最新获悉：2 月 20 日，据 The Block 新闻负责人 Frank Chaparro 转发 Cyphr.ETH 推文称，黑客使用了标准网络钓鱼电子邮件复制了几天前发生的「正版 OpenSea」电子邮件，然后让一些用户使用 WyvernExchange 签署权限。OpenSea 未出现漏洞，只是人们没有像往常一样阅读签名权限。 今日有消息称，多位用户发现 OpenSea 昨日推出的新迁移合约疑似出现 Bug，攻击者正利用该 Bug 窃取大量 NFT 并卖出套利，失窃 NFT 涵盖 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多种高价值系列。 OpenSea 官方随后作出回应，「我们正在积极调查与 OpenSea 智能合同有关的传闻。这看起来像是来自 OpenSea 网站外部的网络钓鱼攻击。不要点击 http://opensea.io 之外的任何链接。」[原文链接]

CoinVoice最新获悉：2 月 20 日，OpenSea 官方针对此前「新迁移合约疑似出现 Bug」一事作出回应并表示：「我们正在积极调查与 OpenSea 智能合同有关的传闻。这看起来像是来自 OpenSea 网站外部的网络钓鱼攻击。不要点击 http://opensea.io 之外的任何链接。」[原文链接]

CoinVoice最新获悉：2 月 20 日，多位用户于推特发布警告称，OpenSea 昨日推出的新迁移合约（地址：0xa2c0946aD444DCCf990394C5cBe019a858A945bD）疑似出现 Bug，攻击者（地址：0x3e0defb880cd8e163bad68abe66437f99a7a8a74）正利用该 Bug 窃取大量 NFT 并卖出套利，失窃 NFT 涵盖 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多种高价值系列。 当前，漏洞原因尚未完全确认，但建议已授权用户通过 https://revoke.cash/或 https://zapper.fi/revoke 或 https://etherscan.io/tokenapprovalchecker 撤销对上述合约的授权。 此前报道，2 月 19 日，OpenSea 官方在社交媒体上发文表示，其智能合约升级已完成，新的智能合约已经上线，用户迁移智能合约需签署挂单迁移请求，签署此请求不需要 Gas 费，无需重新进行 NFT 审批或初始化钱包。在迁移期间，旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时，新合约生效后，可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间 2 月 26 日 3 时在迁移期结束时到期。

CoinVoice最新获悉：2 月 20 日，据官方消息，Coinbase 在 2022 年 2 月 11 日收到了第三方研究人员的报告，称他们发现了 Coinbase 交易界面的缺陷。Coinbase 及时调动安全事件响应团队对漏洞进行识别和修复，在不影响客户资金的情况下解决了系统底层问题。 Coinbase 表示，该错误的根本原因是零售经纪 API 端点中缺少逻辑验证检查，这允许用户使用不匹配的源账户将交易提交到特定订单簿。此 API 仅由零售高级交易平台使用，该平台目前处于有限测试版中。Coinbase 已在收到报告后几个小时内修复此错误，并最终确定它从未被恶意利用。为此，Coinbase 向漏洞披露者支付 25 万美元的漏洞赏金。[原文链接]

CoinVoice最新获悉：2 月 17 日，Cobo 安全研究团队近日盘点并解析了 1 月发生的典型区块链安全事件，对跨链桥、智能合约、钱包等多种类型的真实攻击案例和漏洞进行了技术解读，并为普通用户规避区块链中的安全风险提供了一些建议。 Cobo 区块链安全研究团队成员来自知名安全实验室，有多年网络安全与漏洞挖掘经验，曾协助谷歌 、微软处理高危漏洞，并获得谷歌、微软等厂商致谢，曾在微软 MSRC 最有价值安全研究员 Top 榜单中取得卓越的成绩。团队目前重点关注智能合约安全、DeFi 安全等方面，研究并分享前沿区块链安全技术。

CoinVoice最新获悉：2 月 16 日，据 Web3 通信平台 Metalink 官方推特披露，他们已经与 NFT 市场 OpenSea 达成合作并且将为 OpenSea 推出三个官方渠道，提供公告、支持和用户反馈服务。据悉，只有 Metalink 批准的 NFT 收藏品持有者才能访问 OpenSea 频道，目前 Metalink 仅支持九个 NFT 集合，包括 Bored Ape Yacht Club (BAYC)、Doodles、Cool Cats 和 World of Women 等。 此前 OpenSea 遭遇到一些信任危机，有用户发现该平台存在「非活跃上架」（inactive listing）漏洞，导致一些有价值的 NFT 在不知不觉中以远低于其实际价值的价格被出售。此外，在 OpenSea 官方 Discord 上也充斥着许多诈骗者，OpenSea 希望通过与 Metalink 合作解决这些问题。不过，尽管存在客户服务和公关问题，OpenSea 在今年一月仍然创下销售额最高纪录，NFT 交易量超过 50 亿美元。

CoinVoice最新获悉：2 月 15 日，Drift Protocol 宣布在 Web3 漏洞赏金平台 Immunefi 上发布漏洞赏金计划，本次漏洞赏金计划专注于检查智能合约，防止用户本金、收益资金或治理资金被盗窃或冻结。该计划将根据漏洞等级支付赏金，最高可获得 500,000 美元。[原文链接]