漏洞

CoinVoice最新获悉：6 月 14 日，慢雾科技披露，MetaMask 近期公开了白帽黑客指出的严重的 Clickjacking 漏洞。慢雾提示，基于 MetaMask [原文链接]

CoinVoice最新获悉：6 月 14 日，以太坊开发平台 Tenderly 新增 4 个新功能以简化 Web3 开发流程，分别为 Web3 Actions（自动化的无服务器功能，允许团队执行自定义代码）、War Room Aid Kit（即时防御漏洞并检测漏洞）、Tenderly Sandbox（浏览器内置编辑器，使所有技能水平的开发人员能够共享代码片段并立即查看正在构建的结果）、调试 Chrome 扩展（可在 20 多个 Tenderly 支持的网络上的任何交易上运行此功能）。 此前报道，以太坊开发平台 Tenderly 完成 4000 万美元 B 轮融资，Spark Capital 领投。[原文链接]

CoinVoice最新获悉：6 月 9 日，Osmosis 验证节点 FireStake 在社交媒体发文表示，有两名成员想测试漏洞是否存在，但却意外用 226 美元资产兑换了 200 万美元资产。目前 FireStake 已与 Osmosis 合作，并表示将尽快归还资金。[原文链接]

CoinVoice最新获悉：6 月 9 日，Cosmos 生态 Osmosis 在个人社交媒体平台发文表示，Osmosis 的漏洞是在 Osmosis v9.0 版本更新中引入的，该漏洞为在添加和删除资金池流动性时对 LP 份额的计算错误。 Osmosis 表示将赔偿所有损失，并在未来提供有关赔偿的具体计划。此外，Osmosis 开发人员目前正在努力修复漏洞并进行测试，预计至少需要 2 天才能发布 v10 新版本，Osmosis 区块链网络将在测试完成之后重启。 此前报道，6 月 8 日，Cosmos 生态 Osmosis 区块链网络已于区块高度 #4713064 处停止出块，官方确认出现严重漏洞，但流动资金池并未「完全耗尽」，开发人员正在修复漏洞，损失规模约为 500 万美元左右。[原文链接]

CoinVoice最新获悉：6 月 8 日，据派盾官方监测数据显示，DeFi 平台 GYM Network 上 GymSinglePool 遭遇黑客攻击，损失约 7,500 枚 BNB，约合 210 万美元。该漏洞是由于缺乏 caller 验证，导致黑客可以增加余额而无需支付任何款项。目前被盗资金已被转入 Tornado.cash 进行混币。[原文链接]

CoinVoice最新获悉：6 月 8 日，据 Binance 官方公告，由于潜在的安全问题，Elrond (EGLD) 网络的充值和提现业务已于 2022 年 6 月 6 日 00:11 (UTC) 暂停。一旦 Binance 认为网络安全，将在 Elrond (EGLD) 网络上重新开放充值、提现业务。 此前报道，6 月 7 日，Elrond 网络近日遭黑客攻击，超 165 万美元 EGLD 被盗，部分并已通过去中心化交易平台 Maiar 出售，引发 Maiar 停机维护，部分发送至 Binance。截至目前，无法确定漏洞利用原因，或与交易平台或网络端有关。窃取资金后，黑客曾进行地址转移，暂未采用混币方案。

CoinVoice最新获悉：The Block 报道，6 月 7 日，推特用户 @adyingnobody 今日发推特声称使用 Telegram 软件中的漏洞下载了超过 100GB 的聊天信息，包括加密货币 KOL、市值前 200 名项目的创始人等的谈话记录，并称这些聊天中包含谋杀、恋童癖等违法行为。一位 Telegram 的发言人向 The Block 表示，这一言论「具有恶作剧的所有特征」，而文字的目的很可能使容易上当的人下载一些窃取你私钥的恶意软件。[原文链接]

CoinVoice最新获悉：The Block 报道，6 月 7 日，一位 Telegram 的发言人向 The Block 表示，当前在社交媒体上引起关注的「135G 加密行业犯罪聊天记录」具有「恶作剧的所有特征」，而文字的目的很可能使容易上当的人下载一些窃取你私钥的恶意软件。 此前，推特用户 @adyingnobody 今日发推特声称使用 Telegram 软件中的漏洞下载了超过 100GB 的聊天信息，并将于后续进行曝光，内容包括加密货币 KOL 丑闻、市值前 200 名项目的创始人内部谈话记录，以及若干涉及违法行为的相关信息。[原文链接]

CoinVoice最新获悉：6 月 7 日，据 U.today 报道，Elrond 网络近日遭黑客攻击，超 165 万美元 EGLD 被盗，部分并已通过去中心化交易平台 Maiar 出售，引发 Maiar 停机维护，部分发送至 Binance。截至目前，无法确定漏洞利用原因，或与交易平台或网络端有关。窃取资金后，黑客曾进行地址转移，暂未采用混币方案。[原文链接]

消息，6 月 6 日，Dogecoin 发布 v1.14.6 版本更新计划，本次升级将修复已知的比特币漏洞和其他潜在漏洞，并将升级 Dogecoin Core 钱包以降低用户使用成本。Dogecoin 核心开发者 Patrick Lodder 在 Reddit 上表示，该版本可能在 6 月底推出。[原文链接]

消息，据 InvestorPlace 报道，CertiK 安全团队表示，本周早些时候，美国网络安全与基础设施安全局（CISA）在微软的 Office 产品套件中发现了一个关键的零日漏洞「Follina」（编号 CVE-2022-30190），攻击者可使用微软的微软支持诊断工具（MSDT），从远程 URL 检索并执行恶意代码。 据悉，由于该漏洞允许攻击者绕过密码保护，黑客能够查看并获得受害者的系统和个人信息，并允许黑客提升在受害者系统里的权限，以获得对本地系统和运行进程的额外访问，包括目标用户的互联网浏览器和浏览器插件（如 Metamask）。CertiK 安全团队强调了离线存储私钥的重要性，建议使用像 Trezor 这样的硬件钱包。[原文链接]

消息，6 月 1 日，区块链安全公司 CertiK 在社交媒体发文表示，据其统计，2022 年初至今 Web3 领域由于漏洞利用、黑客攻击和诈骗造成的重大事件合计损失约 17.6 亿美元。[原文链接]

消息，5 月 31 日，Terra 研究论坛成员「FatMan」在社交媒体上发文表示，据一位接近 Terraform Labs（TFL）的内部人士确认，Do Kwon 正在制定一个新的去中心化 Stablecoin 的设计计划，该 Stablecoin 将建立在 Terra 2 网络上。 此前报道，5 月 28 日，FatMan 表示 Terraform Labs 旗下合成资产协议 Mirror 合约长期存在漏洞，7 个月内损失或超 3000 万美元。[原文链接]

消息，5 月 31 日，据 Crypto Briefing 报道，就在 Terra 生态合成资产协议 Mirror Protocol 被发现长期存在合约漏洞之后，目前有迹象表明该协议正在遭受因预言机配置错误引发的第二次攻击。根据加密社区用户透露，黑客利用价格预言机配置错误而实施攻击。Chainlink 社区成员 ChainLinkGod 证实了这一点，他表示预言机目前「报告新 Terra 2.0 LUNA Token 的价格（约 9.80 美元），而不是原来的 Terra Classic LUNC Token（约 0.0001 美元）」。 Twitter 用户 FatMan 估计该漏洞已经使 Mirror Protocol 损失了大约 200 万美元，目前 mBTC、mETH、mDOT 和 mGLXY 矿池的流动性已经耗尽，FatMan 已经恳求 Mirror 开发人员在其他 mAsset 池（例如 mAAPL 和 mAMZN）被耗尽之前采取行动。[原文链接]

CoinVoice最新获悉：5 月 30 日，据慢雾区情报反馈，Moonbirds 发布安全公告，Nesting 合约存在安全问题。当用户在 OpenSea 或者 LooksRare 等 NFT 交易平台进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止 NFT 售卖，而是要在交易平台中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在 nesting(筑巢) 时不能交易的限制。 据悉，慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢) 的 NFT 是否还在 NFT 市场中上架，如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[原文链接]

CoinVoice最新获悉：5 月 30 日，在 Terra 新链启动后，LUNC（Luna Classic）的预言机价格达到 5 美元，而实际价格远低于 5 美元，Anchor 平台一名用户注意到该漏洞，存入大约 2000 万个 Lido Bonded Luna Token，并成功借出 4000 万 UST，最终提取并获利约 80 万美元。 随后 Anchor 团队发现了漏洞并迅速修复，避免了进一步损失。（U.Today）[原文链接]

CoinVoice最新获悉：5 月 29 日，跨链桥 Hop Protocol 在 Discord 中表示，由于提交地址表单的漏洞，去中心化应用平台 Authereum 的用户需在 6 月 2 日前重新提交空投领取地址的表单，如果错过，也可以在 Token 上线后的 6 个月内通过治理提案申领 Token。 此外，Hop Protocol 还表示将于下周公布空投申领日期。

CoinVoice最新获悉：5 月 28 日，Terra 研究论坛成员「FatMan」在社交媒体上发文表示，由 Terraform Labs 开发的合成资产协议 Mirror 合约长期存在漏洞。自 2021 年 10 月起，攻击者在 7 个月的时间内利用该漏洞多次进行攻击，最高单笔获利超 400 万美元（使用 1 万美元获利 430 万美元），均未被 Terraform Labs 或 Mirror 团队发现。截止漏洞修复时，攻击者利用该漏洞的总获利可能已超 3000 万美元。 FatMan 表示，该漏洞于 11 天前被 Mirror 论坛成员发现并提出质疑，此后该漏洞被修复，但 Mirror 团队并未对此事进行任何声明。[原文链接]

CoinVoice最新获悉：5 月 23 日，英国金融行为监管局（FCA）表示，英国希望加强对货币市场基金的韧性，担心货币市场基金内部的潜在漏洞和对金融稳定的威胁仍然存在，将与与英国央行联合，并在财政部的支持下，发布一份关于货币市场基金改革的讨论文件。（金十）

CoinVoice最新获悉：5 月 21 日，据 Immunefi 官方消息，白帽黑客 satya0x 通过该平台为跨链桥 Wormhole 检举出一高危漏洞，并因此获得 1000 万美元奖励金，创下 Immunefi 平台获奖金额最高记录。该漏洞很快得到修复，没有用户资金受到影响。[原文链接]

CoinVoice最新获悉：5 月 19 日，以太坊智能合约编程语言 Solidity 发布 v0.8.14 版本。本次更新修复了两个重要漏洞。第一个漏洞与直接来自 calldata 的 ABI 编码嵌套数组有关。第二个漏洞是在某些继承结构中触发的，可能导致存储器指标被解释为 calldata 指标。此外，该版本还包括几个小漏洞修复和改进。[原文链接]

CoinVoice最新获悉：5 月 19 日，Discord 机器人应用 Mee6 在其社交网站表示，系统没有技术漏洞，Mee6 被用来发布虚假信息是因为一名员工的帐户遭到入侵。该问题现已解决，我们已采取措施确保它不再发生。 此前报道，5 月 18 日，包括 Axie、CyberConnect、Moonbirds、PROOF、Memeland、RTFKT 在内的多个项目官方 Discord 遭遇黑客攻击，其中许多攻击是通过 Mee6 机器人散发钓鱼网站信息。[原文链接]

CoinVoice最新获悉：5 月 19 日，美国商品期货交易委员会（CFTC）主席 Rostin Behnam 于本周三表示，美国商品期货交易委员会 (CFTC) 将增加资源并加大力度处理与加密货币相关的欺诈与操纵案件。在 Chainalysis Links 会议的视频评论中，Rostin Behnam 表示，CFTC 正面临着数量激增的此类案件，由于协议漏洞、网络钓鱼攻击、掠夺易受伤害的人以及其他欺诈和操纵计划而导致数千万美元数字资产损失的头条新闻已经变得非常普遍。去年，CFTC 提起了 23 起与加密货币相关案件的诉讼，占自 2015 年以来涉及数字资产的执法行动总数的近一半。[原文链接]

CoinVoice最新获悉：5 月 18 日，据派盾监测，美国演员 SethGreen 遭遇钓鱼攻击致 4 个 NFT 被盗，漏洞利用者地址（0xC8a090785350BBb043402aE1B324A744c9805f8c）已经售出了其中的 3 个（包括 1 个 BAYC、1 个 MAYC 和 1 个 Doodle），获利 145.5 枚 ETH（约 30.2 万美元）。[原文链接]

CoinVoice最新获悉：5 月 8 日，派盾官方在社交媒体发文表示，DeFi 项目 Pickle Finance 被盗资金中的 1800 枚 ETH 在过去 10 小时内通过 Tornado Cash 完成混币。 此前报道，去年 11 月，DeFi 项目 Pickle Finance 存在的漏洞被攻击者利用，损失近 2000 万美元存款。据分析，攻击者利用了涉及 Pickle Finance 的 DAI pJar 策略（该策略利用 Compound 协议通过 DAI 存款来获得收益）。[原文链接]