为您找到相关结果约 105 个:
CoinVoice 最新获悉,慢雾创始人余弦表示,“昨日钓鱼团伙 Inferno Drainer 通过 permit 离线授权签名盗走一位用户近 700 万美元的 ETH 再质押资产。今日 Inferno Drainer 居然退款了,这实属罕见。”
据悉,似乎该受害者通过支付 20%(362 ETH)的赏金追回了 80%(1445 ETH)的被盗资金。Inferno Drainer 运营团伙选择了退款拿赏金模式。[原文链接]
CoinVoice 最新获悉,慢雾首席信息安全官 23pds 在 X 表示,Mac 用户请警惕名为 Cuckoo 的新恶意软件。该恶意软件针对 Intel 和基于 ARM 芯片的 Mac 。它会窃取加密钱包和最新获悉应用中的数据,通过音乐流媒体途径传播。[原文链接]
CoinVoice最新获悉:慢雾首席信息安全官23pds于X平台发文表示:“知名开源密码管理器KeePass在Google搜索出现广告钓鱼官网。用户一旦进入'虚假官网'后,下载到的将是木马软件。请加密货币用户随时注意安全风险,目前Google收到投诉后开始处理此问题。”
CoinVoice最新获悉:慢雾余弦在X平台发文表示,对于friend.tech上线的2FA密码功能,用户仍需要注意自己friend.tech运行环境的安全,一旦存在木马等威胁,2FA仍无法保证账户安全。包括不要在friend.tech运行浏览器控制台里执行来历不明的JavaScript代码。
此前消息,friend.tech在X平台发文表示,现用户可以向friend.tech帐户添加2FA密码,以便在手机运营商或电子邮件服务受到威胁时提供额外保护。
CoinVoice最新获悉:Mixin发布被盗事件更新:事件发生第一时间,Mixin联系了谷歌和区块链安全公司慢雾协助调查。
经过几天的时间,Mixin已经完成了大部分的资产统计工作,情况比预想的要乐观得多。损失并不像估计的那么严重。再次提醒大家,暂时避免在Mixin Network上进行交易、做市等操作,以免造成不必要的损失。
对于资产损失,除了表示歉意之外,Mixin只能通过行动来承担责任。同时,负责也是Mixin一直以来的态度。具体的还款规则还需要一些时间。
CoinVoice最新获悉:天眼查App显示,李笑来、Mixin创始人冯晓东均为费格曼(北京)科技有限公司的股东。目前冯晓东持股94%,李笑来持股5%。费格曼(北京)科技有限公司官方网站显示为Mixin。
此外,2016年2月罗永浩加入费格曼股东,持股4%;2023年2月罗永浩退出费格曼股东行列。罗永浩曾在2018年发微博表示:“曾经投入100多万炒币,此后再也没关心过,而这些币已经涨到了3000多万。”
此前消息,Mixin Network发布公告表示,香港时间9月23日凌晨,Mixin Network云服务提供商的数据库遭到黑客攻击,导致主网上部分资产损失。Mixin Network已联系谷歌和区块链安全公司慢雾协助调查。经初步核实,所涉资金约为2亿美元。Mixin Network充提服务已暂时停止。在所有节点讨论并达成共识后,一旦漏洞得到确认和修复,这些服务将重新开放。在此期间,转账不受影响。
关于如何处理损失的资产,Mixin团队将在之后公布解决方案。Mixin创始人冯晓东将于香港时间9月25日13:00在公开的普通话直播中解释此次事件。Mixin会在事后用英文总结内容,以方便大家参考。Mixin将尽最大努力减少损失,并对此深表歉意。
CoinVoice最新获悉:针对“LDO的Token合约存在潜在的‘假充值’风险”一事,Lido Finance表示,尽管黑客据称利用了LDO代币合约中已知的安全漏洞,但LDO和stETH代币仍然是安全的。Lido没有证实任何漏洞,但承认安全漏洞是已知的。(Cointelegraph)
昨日消息,据慢雾安全团队链上情报,LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为。
CoinVoice最新获悉:据慢雾消息,Grafana发布严重安全提醒称,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。
Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上,配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时,这可能会使Grafana账户被接管和认证绕过。其中,Grafana >= 6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将Grafana升级到最新版本。
CoinVoice最新获悉:慢雾首席信息安全官23pds发推称,近期已出现新的加密货币盗窃软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包。Mystic Stealer是目前最流行的恶意软件,请用户注意风险。
CoinVoice最新获悉:Streamlined Ventures宣布旗下的第5支种子基金、第3支机会基金已获得1.4亿美元投资。
第5支种子基金将投资数据科学、API 和 Web 2.5领域里的初创公司。其中机构投资者、家族办公室和高净值人士向其第五支种子基金注资1.02亿美元。第3支机会基金将获得约3600万美元资金。
该公司目前管理资金规模已达到3.25亿美元,其合伙人认为,Streamlined Ventures在Web3领域目前处于“推测阶段”,虽然已进行数次投资,但只关注一些有真正价值转移的Web3公司,比如游戏和DeFi初创企业。且认为当前Web3门槛偏高,该风投部署资金的速度要慢得多。
CoinVoice最新获悉:7 月 18 日,慢雾监测数据显示,攻击 PREMINT 的两个黑客地址一共窃取了大约 300 枚 NFT,卖出后总计获利约 280 枚 ETH。 此前报道,7 月 17 日,黑客在 PREMINT 网站植入恶意 JS 文件实施钓鱼攻击,从而盗取用户的 NFT 等资产。[原文链接]
CoinVoice最新获悉:7 月 1 日,据慢雾安全团队情报,Optimism 生态最大 NFT 平台 Quixotic 出现严重漏洞,大量用户资产被盗,提示在该市场上进行过交易的用户尽快取消授权。 慢雾表示,在市场合约的「fillSellOrder 函数」中仅对卖单进行了检查,并未对「buyer」的买单做检查。故攻击者首先创建了任意的 NFT 合约,调用「fillSellOrder 函数」生成卖单,将「buyer 参数」传为受害者地址、paymentERC20 参数传为需要盗取的 Token 地址,即可将对该市场合约有授权的用户的 Token 转走获利。[原文链接]
CoinVoice最新获悉:6 月 14 日,慢雾科技披露,MetaMask 近期公开了白帽黑客指出的严重的 Clickjacking 漏洞。慢雾提示,基于 MetaMask
消息,6 月 6 日,慢雾在社交媒体上表示,旨在将比特币带入 DeFi 的协议 BadgerDAO 的攻击者正在转移盗走的比特币,已将比特币转至多个新的钱包地址。 此前报道,BadgerDAO 于 2021 年 12 月遭到攻击,损失包括 2101 枚比特币及 151 枚以太坊,被盗时资产总价值超 1.2 亿美元。[原文链接]
CoinVoice最新获悉:5 月 30 日,据慢雾区情报反馈,Moonbirds 发布安全公告,Nesting 合约存在安全问题。当用户在 OpenSea 或者 LooksRare 等 NFT 交易平台进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止 NFT 售卖,而是要在交易平台中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在 nesting(筑巢) 时不能交易的限制。 据悉,慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢) 的 NFT 是否还在 NFT 市场中上架,如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[原文链接]
CoinVoice最新获悉:4 月 28 日,据慢雾区情报,多链衍生品协议 DEUS Finance DAO 在 4 月 28 日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下: 1. 攻击者在攻击之前先往 DeiLenderSolidex 抵押了 Solidex sAMM-USDC/DEI 的 LP。 2. 在几个小时后攻击者先从多个池子闪电贷借出 143200000 USDC。 3. 随后攻击者使用借来的 USDC 在 BaseV1Pair 进行了 swap 操作,兑换出了 9547716.9 个的 DEI,由于 DeiLenderSolidex 中的 getOnChainPrice 函数是直接获取 DEI-USDC 交易对的 Token 余额进行 LP 价格计算。因此在此次 Swap 操作中将拉高 getOnChainPrice 函数获取的 LP 价格。 4. 在进行 Swap 操作后,攻击者在 DeiLenderSolidex 合约中通过 borrow 函数进行借贷,由于 borrow 函数中用 isSolvent 进行借贷检查,而在 isSolvent 是使用了 getOnChainPrice 函数参与检查。但在步骤 3 中 getOnChainPrice 的结果已经被拉高了。导致攻击者超额借出更多的 DEI。 5. 最后着攻击者在把用借贷出来 DEI 兑换成 USDC 归还从几个池子借出来的 USDC,获利离场。[原文链接]
CoinVoice最新获悉:4 月 21 日,据慢雾区情报,近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,当前总损失约 431 万美金。 经过慢雾安全追踪分析确认,此次攻击为批量谷歌关键词广告投放钓鱼,用户在谷歌搜索如:astroport,nexus protocol,anchor protocol 等 Terra 项目,谷歌结果页第一条看似正常的广告链接(显示的域名甚至是一样的)实为钓鱼网站。一旦用户不注意访问此钓鱼网站,点击连接钱包时,钓鱼网站会提醒直接输入助记词,一旦用户输入并点击提交,资产将会被攻击者盗取。 慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接,减少使用常用钱包进行非必要的操作,避免不必要的资损。[原文链接]
CoinVoice最新获悉:4 月 8 日,以太坊二层网络 Metis 上的收益聚合器 Starstream 今日凌晨受其 distributor treasury 合约漏洞影响,被盗超 5 亿枚 STARS,随后攻击者将 STARS 抵押至借贷协议 Agora DeFi 中并借出大量资产,共造成 Agora DeFi 损失约 820 万美元。 据慢雾分析,在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 4 月 7 日晚,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约 (0x6f...25),该合约存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 5.3 亿个 STARS。[原文链接]
CoinVoice最新获悉:4 月 7 日,据慢雾区情报,近期有黑客团伙利用 m-of-n 多重签名机制对交易平台进行假充值攻击。慢雾安全团队分析发现,攻击者通常使用 2-of-3 多签地址,发起一笔以 3 个地址构成的多签做为交易输出 (vout) 的交易,此时攻击者在交易平台的 1 个充值地址虽然显示收到资金,但是由于花费这笔资金至少需要 2 个地址的签名,攻击者可利用自己控制的其余 2 个地址将充值资金转出。 慢雾安全团队建议交易平台,及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的 Token 充值流程进行审查,确保已对交易类型进行正确的判别,谨防多重签名假充值。[原文链接]
CoinVoice最新获悉:3 月 30 日,慢雾更新,攻击 Axie Infinity 侧链 Ronin Network 的黑客地址向交易平台 Huobi 转入 3750 枚 ETH。[原文链接]
CoinVoice最新获悉:3 月 26 日,Mirror 创始人 Denis Nazarov 发文提出新的 Layer 2 桥接方案 Bridge Pass。Denis Nazarov 表示,现有的 Layer 2 桥接方案存在慢、手续费贵、操作麻烦等弊端,这些弊端无疑提高了 Layer 2 的采用门槛,而 Bridge Pass 旨在让桥接变得更加有趣而易于使用。 据悉,Bridge Pass 以礼品卡为灵感,使用 NFT 技术,需要桥接资产的用户可在 Layer 1 网络上购买相应价格的 NFT,NFT 将在铸造时自动将资产跨链至 Layer 2 网络。 [原文链接]
CoinVoice最新获悉:据慢雾区情报,2022 年 3 月 10 日,BSC 链上 DOD 项目中锁定的 BUSD 被非预期的取出。分析如下: 1. DOD 项目使用了一种特定的锁仓机制,当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁,若不满足以上条件,DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下,用户向 DOD 合约中转入指定数量的 DOD Token 后将获取该数量 1/10 的 BUSD,即转入的 DOD Token 数量越多获得的 BUSD 也越多。 2. 但由于 DOD Token 价格较低,恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。 3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中,以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。 4. 之后只需要调用 DOD 合约中的 swap 函数,将持有的 DOD Token 转入 DOD 合约中,既可取出 1/10 转入数量的 BUSD。 5. 因此 DOD 合约中的 BUSD 被非预期的取出。 本次 DOD 合约中的 BUSD 被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[原文链接]
CoinVoice最新获悉:3 月 6 日,据官方消息,DeFi 量化对冲基金 Force DAO 宣布解散并清盘,同时表示,「ForceDAO 在被黑客利用漏洞攻击后从未真正恢复过,因此正式结束 ForceDAO 的运营。官方建议任何仍在投资资金库的用户,请提取任何剩余资金。」 此前报道,2021 年 4 月,Force DAO 项目遭到黑客攻击,其 FORCE Token 被大量增发。后参与攻击的黑客表示归还资金,并表示自己是白帽子。据慢雾安全团队分析发现,此漏洞发生的主要原因在于 FORCE Token 的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,导致惨剧发生。[原文链接]
CoinVoice最新获悉:1 月 5 日,EOS 网络基金会领导者 Yves La Rose 宣布成立第六个核心工作组,该工作组命名为 Recover+,由 EOS 生态 DeFi 项目 Pizza 领导,旨在建立危机处理框架,通过制定紧急联络、反应机制、DAO 保险和白帽奖励等措施,帮助 EOS 项目方在遭遇黑客攻击后以更合理有效的方式应对危机及追回丢失资产。 此前,12 月 8 日,黑客利用溢出漏洞攻击 Pizza,并在短时间内创建了一百三十余万个账户分散资金。Pizza 联合慢雾、各大节点、交易所共同进行追查,于 12 月 12 日与黑客达成和解。 此外,EOS 网络基金会已资助成立 API+、Wallet+、Core+、Audit+和 EVM+五个核心工作组。五个工作组将于 2022 年第一季度各自提交一份黄皮书,帮助完善 EOS 网络基础设施和规划未来发展蓝图,助力 EOS 网络成为开发者首选开发平台。[原文链接]