漏洞

CoinVoice最新获悉：7 月 22 日，Spartan Capital 联合创始人兼合伙人 Kelvin Koh 转发 MakerDAO 天使投资人 Hasu 关于 DAO 的推文，并配文称，「我已经停止对 DAO 的投资，因为越来越多的创始人利用 DAO 的结构来逃避法律问责。」MakerDAO 天使投资人 Hasu 在推文中表示，「正在缓慢但坚定地说服自己，在发生重大变化之前，DAO 是不可投资的，其中重大变化包括所有者/经理分离并对股东负责、明确要求最大化股东价值、监管清晰。」[原文链接]

CoinVoice最新获悉：7 月 20 日，据社区用户表示。用户地址内近 4000 枚 POAP 疑似遭到官方销毁。区块链浏览器记录显示，数千枚 POAP 已被打入 Burn 地址。 据 了解，目前有 9 名用户的 POAP 被销毁。POAP 官方 Discord 中文区 Mod 表示，POAP 对于此次事件的公告将于随后公布。 此外，POAP 首席运营官 isabl 曾于 3 月份在 POAP 官方论坛上表示，部分用户通过交付系统的漏洞自动化获取 POAP 违反了协议精神，因此销毁了其地址中的所有 POAP。[原文链接]

CoinVoice最新获悉：7 月 14 日，Web3 安全机构 Numen 监测到，BNB Chain 上项目 SpaceGodzilla 遭到黑客闪电贷攻击。黑客利用闪电贷借取大量资金，从而操纵 Pancake 上交易池中 SpaceGodzilla 的价格，并利用项目中漏洞进行了套利。目前黑客已经将此次攻击获利的 25,378.78BUSD 兑换为 BNB，并通过 Tornado.Cash 进行了转移。[原文链接]

CoinVoice最新获悉：7 月 12 日，Binance 首席执行官 CZ 在社交媒体上披露 Uniswap 受钓鱼攻击事件的最新进展，「已与 Uniswap 团队取得联系。Uniswap 协议一直是安全的。Uniswap 用户似乎受到了网络钓鱼攻击。用户切勿随意点击不明链接。」 Uniswap 创始人 Hayden Adams 回应 CZ 表示，「本次攻击为钓鱼攻击，用户点击钓鱼链接后可导致其 LP NFT 被窃取，Uniswap V3 协议本身没有安全问题。」 派盾 (peckshield) 发布分析指出，「并非由于 Uniswap V3 存在协议漏洞导致黑客攻击。而是拥有 UniswapV3 流动性头寸 (LP) 的用户受到网络钓鱼攻击，在向钓鱼链接批准其交易头寸后受损。」[原文链接]

CoinVoice最新获悉：7 月 11 日，金融稳定委员会 (FSB) 表示，加密货币市场的动荡显示出内在的波动和结构性漏洞。加密资产和市场必须受到与其构成的风险相称的有效监管。正在努力确保加密资产受到强有力的监管和监督。Stablecoin 如果要被广泛采用为一种支付手段，就应该受到强有力的监管。加密资产服务提供商必须遵守其运营辖区的现有法律。(金十）

CoinVoice最新获悉：7 月 8 日，美联储副主席布雷纳德表示，波动性暴露出严重的加密货币漏洞。现在需要建立加密金融系统的健全监管基础。不能等到加密货币生态系统变得如此庞大和相互关联，以至于可能带来金融稳定风险。加密货币活动需要按照类似风险、类似监管结果的原则进行监管。还必须解决与新技术有关的新风险。强有力的监管将使投资者和开发商能够建立一个有弹性的数字原生金融基础设施。重要的是监管机构在国内和国际上致力于维护金融系统的稳定和解决逃避监管的问题。加密平台极易受到去杠杆化、抛售和情绪传染的影响。现在是时候确定哪些加密活动以及在哪些约束条件下是被监管实体允许的。加密货币还没有大到足以构成系统性风险。美联储密切关注加密货币领域的近期事件。央行数字货币（CBDC）可能对金融稳定有好处。（金十）

CoinVoice最新获悉：7 月 7 日，以太坊质押基础设施 ssv.network 的去中心化组织 SSV DAO 将向以太坊共识层的开发团队分配价值 1000 万美元的赠款。SSV DAO 通过与 Coinbase、DCG 和 OKX 的战略合作伙伴关系积累了 1000 万美元的资产，将为开发人员构建应用、质押池和网络所需的工具提供超过 300 万美元的公开和预定义赠款，300 万美元用于漏洞赏金，400 万美元用于早期采用者和测试人员的激励计划。赠款将以 USDC、ETH 和 SSV Token 的形式分发。[原文链接]

CoinVoice最新获悉：7 月 6 日，元宇宙平台 Decentraland 在 Web3 漏洞赏金平台 Immunefi 上推出漏洞赏金计划，主要针对智能合约以及网站和应用方面的漏洞，其中危险等级最高的智能合约漏洞赏金为可能导致的经济损失的 0.1%，赏金上限为 500,000 美元，其他智能合约漏洞按照威胁等级奖金分别为 20,000 美元和 1000 美元。 网站和应用方面的漏洞赏金按照威胁级别分别为 18,000 美元、6000 美元、3000 美元和 1000 美元。[原文链接]

CoinVoice最新获悉：7 月 5 日，英格兰银行金融政策委员会在发布的金融稳定报告中表示，虽然加密货币构成的直接风险较小，但加强仍然很重要。该报告称，加密市场的漏洞包括流动性错配，杠杆头寸被平仓导致价格下跌以及投资者对某些 Stablecoin 维持其挂钩能力的信心显着减弱等问题。虽然这些风险并未对更广泛的金融市场的稳定性构成威胁，但它确实要求随着行业的发展提高监管透明度。[原文链接]

CoinVoice最新获悉：7 月 4 日，据派盾（PeckShield）监测显示，Optimism 生态 NFT 平台 Quixotic 的攻击者已将 857 枚 BNB 转入 Tornado.cash。 此前报道，Optimism 最大 NFT 平台 Quixotic 官方表示，该平台的市场合约出现漏洞，黑客可以窃取用户的 ERC-20 Token，但 NFT 资产保持安全。交易市场保持暂停，并承诺向受损失的用户退还所有被盗 Token。[原文链接]

CoinVoice最新获悉：7 月 1 日，据慢雾安全团队情报，Optimism 生态最大 NFT 平台 Quixotic 出现严重漏洞，大量用户资产被盗，提示在该市场上进行过交易的用户尽快取消授权。 慢雾表示，在市场合约的「fillSellOrder 函数」中仅对卖单进行了检查，并未对「buyer」的买单做检查。故攻击者首先创建了任意的 NFT 合约，调用「fillSellOrder 函数」生成卖单，将「buyer 参数」传为受害者地址、paymentERC20 参数传为需要盗取的 Token 地址，即可将对该市场合约有授权的用户的 Token 转走获利。[原文链接]

CoinVoice最新获悉：7 月 1 日，BitMEX 创始人 Arthur Hayes 在最新博文中分析了三箭资本的崩溃与这轮市场下跌的可能原因，Arthur 提到自己与 Zhu Su 都曾在以香港和新加坡为核心的亚洲资本市场从事交易工作，而 Zhu Su 在进入加密行业前曾活跃在 NDF（一种远期货币合约）市场，套利交易的模式思维因此也延续到了三箭资本的策略中，所以三箭以最大杠杆押注 Anchor 利息也就不足为奇。 但另一方面，文中并不认为 Terra 存在正当性问题，Arthur 认为 UST 的结果作为机制漏洞的必然是合理的，而加密行业诸多的中心化机构非公开的高风险借贷才是导致市场崩塌的根源，而市场本身对非公开账目的恐慌又进一步加强了踩踏，「有些人认为大的金融机构会救助它们，但很遗憾，这些加密机构不是大而不倒俱乐部的一员」。[原文链接]

CoinVoice最新获悉：6 月 30 日，The Block 报道，据知情人士透露，加密货币交易平台 FTX 曾考虑与加密借贷商 Celsius 就提供财务支持或进行收购展开谈判，但在查看其财务状况后决定放弃。知情人士还提到，Celsius 的资产负债表存在 20 亿美元的漏洞，而 FTX 认为该漏洞难以解决。[原文链接]

CoinVoice最新获悉：6 月 28 日，Harmony 官方在社交媒体上发文表示，注意到黑客已经开始通过 Tornado Cash 转移资金。团队目前正与两个顶级区块链追踪和分析团队合作，追踪资金去向。同时还与 FBI 合作，调查被盗事件。 此前报道，6 月 26 日，Harmony 官方表示若攻击者返还盗窃资金并共享漏洞信息，将为其提供 100 万美元赏金。27 日，黑客已开始将 ETH 转入 Tornado Cash。[原文链接]

CoinVoice最新获悉：6 月 28 日，MetaMask 发布公告称，因没有达到应有的安全性，已弃用 eth_decrypt 和 eth_getEncryption PublicKey 这两种 API 中可用的方法，并将重新推出一个更安全的方式生成密钥。 据悉，目前尚未有基于上述两种方法的已知漏洞或漏洞利用案例，这些方法仍将存在于 API 中并运行，但 MetaMask 建议不再使用它们。[原文链接]

CoinVoice最新获悉：6 月 27 日，据 Peck Shield 公开分析，XCarnival 于 6 月 26 日被黑客利用合约漏洞，通过创建多个质押订单将 BAYC 重复抵押借出 ETH。本着对用户资产负责的态度，官方在第一时间关闭合约以及存款、借款功能，并立即分析出攻击者的 ETH 地址，与攻击者就赎回资产进行多轮谈判。截止北京时间 6 月 27 日 13:45 分，攻击者先期退还了 1467 个 ETH。据了解，多家安全机构、警方已开展深度合作，初步判定攻击者的地理区域位置。 此次事件中，XCarnival 被质押的 NFT 及其他链上资产未受影响，目前其产品研发和市场运营继续正常推进。后续，XCarnival 将会继续邀请更多的安全审计机构和白帽社区，对合约代码进行全部复查——据悉 XCarnival 此前合约均已通过 Certik 审计。

CoinVoice最新获悉：6 月 26 日，Harmony 官方在社交媒体上发文表示，若攻击者返还盗窃资金并共享漏洞信息，将为其提供 100 万美元赏金。攻击者可以通过 whitehat@harmony.one 或以太坊地址 0xd6ddd996b2d5b7db22306654fd548ba2a58693ac 与 Harmony 进行联系，归还资金将不会对攻击者提起刑事指控。[原文链接]

CoinVoice最新获悉：6 月 26 日，Harmony 创始人 stephen tse 更新「Harmony 与 ETH 间跨链桥 Horizon 遭到攻击」事件表示，Horizon 平台上没有发现任何漏洞的证据，Harmony 区块链共识层安全。此外，团队发现了私钥被泄露的证据，这是导致 Horizon 被攻击的原因。资金从跨链桥的以太坊一侧被盗。攻击者成功访问和解密其中一些密钥，其中一些用于签署未经授权的交易。被盗资产包括 BUSD、USDC、ETH 和 WBTC。自事件发生以来，Harmony 已将 Horizon 桥的以太坊一侧迁移到 4/5 多重签名，将继续采取措施进一步加强运营和基础设施安全。[原文链接]

CoinVoice最新获悉：6 月 24 日，据英国金融时报报道，美国证交会主席根斯勒敦促制定一份加密规则手册，以避免监管漏洞。根斯勒寻求与衍生品机构共享信息以更好地监管数字资产，他正在与商品期货交易委员会的同行讨论一项正式协议，以确保数字 Token 交易有足够的保障和透明度。[原文链接]

CoinVoice最新获悉：6 月 22 日，BAYC 仿盘 RR/BAYC 已被 NFT 市场 OpenSea 下架。据悉，RR/BAYC 由 Ryder Ripps 创建。Ryder Ripps 从 2021 年 12 月以来一直调查 BAYC 及其创建者 Yuga Labs，Ryder Ripps 认为 BAYC 与互联网纳粹巨魔文化之间存在广泛的联系。Ryder Ripps 利用此前利用了 BAYC 的版权漏洞创建了 RR/BAYC 系列 NFT，该系列 NFT 于 6 月 21 日的 24h 交易量曾登顶 Opensea 24h 交易额榜首。

CoinVoice最新获悉：6 月 16 日，据 Cointelegraph 报道，韩国游戏巨头 Wemade 旗下链游平台 Wemix 将推出其新主网 Wemix 3.0，以及全额抵押 Stablecoin USDW。其中针对主网 3.0 版本将首先在 7 月 1 日推出测试网，测试网将专注于去中心化、安全和可扩展性，测试网将持续到纠正所有漏洞为止。 Wemix 发行的美元 Stablecoin USDW 将 100% 由链上及链下资产抵押，Wemix Stablecoin 将作为生态系统中的价值存储、账户单元和交换媒介，包含了 Wemix 3.0 生态系统的所有资产。[原文链接]

CoinVoice最新获悉：6 月 16 日，据 CoinDesk 报道，包括 MetaMask 和 Phantom 在内的至少 10 款浏览器插件钱包由于 Javascript 语言中的某个问题导致可能存在暴露登录信息的可能性，该漏洞会使得助记词在内存中存储一段时间从而被攻击者利用。目前 MetaMask 及 Phantom 已修复了该漏洞。 MetaMask 表示，只有全部满足硬盘未加密、助记词被导入至不信任的设备或电脑被黑以及在导入时使用了「显示助记词」功能这三个条件才有被黑的可能性。 区块链安全公司 Halborn 因披露该漏洞而获得了 5 万美元的奖金。Halborn 的联合创始人 Steve Walbroehl 表示，该漏洞已存在了很长时间，出于谨慎考虑最好更换钱包地址或使用硬件钱包。[原文链接]

CoinVoice最新获悉：6 月 16 日，据官方消息，开放世界奇幻链游 llluvium 宣布在 Web3 漏洞赏金平台发布漏洞赏金计划，此项漏洞赏金计划将专注于 llluvium 智能合约、网站和应用程序等，赏金最高达 15 万美元。[原文链接]

CoinVoice最新获悉：6 月 15 日，推特用户 @adyingnobody 通过以太坊链上交易备注表示，此前爆料的「135G 加密行业犯罪聊天记录」系骗局，接下来将不再发布相关信息。「没有 KOL 从用户那里偷窃，也没有人使用代理人来支持项目，这些都是为了吸引眼球而编造出来的。」此外，他提醒如果未来有来自此地址的任何消息，则可认定该地址私钥已被泄露，并且是其他人发出的虚假消息。 此前报道，6 月 7 日，推特用户 @adyingnobody 今日发推特声称使用 Telegram 软件中的漏洞下载了超过 100GB 的聊天信息，并将于后续进行曝光，内容包括加密货币 KOL 丑闻、市值前 200 名项目的创始人内部谈话记录，以及若干涉及违法行为的相关信息。[原文链接]

CoinVoice最新获悉：6 月 14 日，Terra 研究论坛成员 FatMan 在社交媒体上发文表示，其个人在 Uppsala Security 的相关研究报告中发现了重大漏洞，该报告中证明「UST 崩盘或为内部所为」的证据「钱包 A」只是 KuCoin 热钱包，并不能根据 Terra 的 Binance 账户和「钱包 A」都曾与 LUNC DAO 地址交易就将其关联在一起，这只能意味着他们都是 KuCoin 用户。没有阴谋论，也没有可信的证据。 此前报道，区块链安全公司 Uppsala Security 和 CoinDesk Korea 对 TerraUSD 攻击者钱包（0x8d47f08ebc5554504742f547eb721a43d4947d0a）「钱包 A」的交易历史进行了深入分析。推断出给算法 Stablecoin TerraUSD（UST）造成致命打击的攻击者钱包是 Terraform Labs 管理的钱包。该研究表明造成数十万亿韩元投资者损失的 Terra 崩盘事件不是外部攻击，而是内部所为。[原文链接]