漏洞

CoinVoice 最新获悉，加拿大税务局（CRA）表示，约 40% 使用加密平台的纳税人存在逃税或高风险不合规行为。CRA 在一封电邮声明中称，其加密资产审计团队共有 35 名审计员，正处理逾 230 个相关案件，过去三年已通过审计“追回超过 1 亿加元税款”。

CRA 承认，加拿大现行法律在识别加密资产用户方面存在明显局限，监管机构“无法可靠识别加密用户并评估其纳税合规性”。因此，CRA 多次试图要求平台披露用户数据，其中包括向 Dapper Labs 索取其排名前 1.8 万名用户的数据，但最终在律师与官员的协商下，仅获得 2500 名用户资料。

加拿大财政部已在今年 10 月宣布，将于 2026 年春季推出新立法，以弥补监管漏洞。财政部长 François-Philippe Champagne 表示，政府将成立专门的金融犯罪机构，以应对快速演变的欺诈与金融犯罪。与此同时，加拿大金融情报中心 FINTRAC 继续强化反洗钱执法，近期对 KuCoin 运营实体 Peken Global 处以逾 1950 万加元罚款，原因包括未按要求注册为外国资金服务企业。[原文链接]

CoinVoice 最新获悉，软件提供基础设施 Antithesis 宣布完成 1.05 亿美元 A 轮融资， Jane Street 领投，Amplify Venture Partners、Spark Capital、Tamarack Global、First In Ventures、Teamworthy Ventures 和 Hyperion Capital，以及 Patrick Collison、Dwarkesh Patel 和 Sholto Douglas 等参投。Antithesis 一直强调加密货币的可信度，称以太坊网络在合并之前利用其模拟来模拟极端情况，并在权益证明过渡之前发现漏洞。Antithesis 表示，将利用所得资金扩大工程规模、提高自动化程度、扩大全球市场推广规模，并通过包括 AWS Marketplace 在内的渠道推动分销。（CoinDesk）

CoinVoice 最新获悉，据 CoinDesk 报道，在 Balancer v2 金库因重大漏洞遭攻击，导致超 1.1 亿美元资金流失数周后，Balancer DAO 已开始讨论一项计划，拟将约 800 万美元的追回资产分配给受影响的 LP。该提议方案包括为白帽黑客提供结构化报酬，并依据漏洞利用时用户池资产快照数据对用户进行补偿，这与《安全港协议》相符。该协议规定，每起事件赏金上限 100 万美元，白帽黑客要完成全面的 KYC 及制裁筛查。Arbitrum 上有几位匿名救援者放弃赏金索赔。追回的代币涵盖以太坊、Polygon、Base 和 Arbitrum 等网络，流动性提供者会按最初提供的代币、按池按比例获得补偿。目前正在开发索赔机制，若提案通过，用户需接受更新后的使用条款。另外，1970 万美元的 osETH 和 osGNO 由 StakeWise 追回，将单独处理；内部与 Certora 协同追回的 410 万美元，因先前有协议，不符合赏金条件。此次漏洞利用是由智能合约缺陷引起的，标志着 Balancer 遭遇了第三次重大安全事件，并导致总锁定价值 (TVL) 从约 7.75 亿美元暴跌至 2.58 亿美元，而 BAL 代币价值也损失了约 30%。[原文链接]

CoinVoice 最新获悉，Virtuals Protocol 宣布暂停代币迁移功能。该项目团队表示，发现早些时候迁移的几个代币存在可铸造属性，这使得代币创建者能够额外铸造代币并在 Virtuals 平台上的流动性池中出售。

为加强用户保护，团队正在整合审计服务，以过滤潜在的诈骗代币。在完成相关整合之前，代币迁移功能将保持禁用状态。[原文链接]

CoinVoice 最新获悉，据 Bitcoin.com 报道，根据 Cyvers 总结 2024 年关键安全趋势的报告，2024 年 Web3 网络威胁急剧增加，损失超过 23 亿美元，共发生 165 起安全事件。损失金额虽然比 2023 年（16.9 亿美元）高出 40%，但仍比 2022 年（37.8 亿美元）低 14.2 亿美元。值得一提的是，今年追回了 13 亿美元的被盗资金。

Cyvers 表示，与访问控制相关的事件（67 起）占了 23 亿美元损失的 81%，大约 98 起智能合约漏洞导致的损失总计为 4.563 亿美元，一起地址中毒事件导致了超过 6800 万美元的损失。

在过去三年按攻击向量分解损失时，数据显示与访问控制违规相关的损失从 2022 年的 7.69 亿美元逐渐增加到 2024 年底的 19 亿美元。相比之下，2023 年和 2024 年与代码漏洞利用相关的损失远低于 2022 年约 30 亿美元的损失。[原文链接]

CoinVoice 最新获悉，据 Bitcoin.com 报道，新加坡金管局（MAS）近日发布了《新加坡 2024 年洗钱风险评估报告》。该报告概述了新加坡根据不断变化的风险环境，不断加强其反洗钱（AML）框架的举措。

报告对新加坡的主要洗钱（ML）风险进行了广泛的分析，纳入了与威胁、漏洞和控制措施相关的各种定性和定量指标，强调了主要洗钱威胁，如欺诈，特别是网络欺诈、有组织犯罪、腐败、税务犯罪和基于交易的洗钱。

报告指出，由于银行业服务范围广泛、交易规模庞大，其洗钱风险最高。银行通常被用于各种洗钱类型，包括自我洗钱、第三方洗钱以及滥用公司和个人账户来分层和整合非法资金。

此外，该报告还指出了与数字资产和加密货币相关的重大风险。该评估强调，数字支付代币（DPT）已成为新兴的洗钱渠道。犯罪分子通过网络欺诈、勒索软件和暗网市场交易来利用这些代币。为了降低这些风险，MAS 根据《支付服务法》（PS 法）实施了严格的监管措施。数字支付代币服务提供商必须获得许可证，并遵守反洗钱和打击恐怖主义融资（CFT）的要求。MAS 定期进行专题检查和场外监督，并发布指导文件，以提高行业意识和控制措施。[原文链接]

CoinVoice 最新获悉，据 Beosin 监测，Fantom 上的 GNUS 遭遇黑客攻击，损失约127万美元。

GNUS 在 X 平台表示，由于最近的漏洞，黑客能够在Fantom上铸造虚假的GNUS代币，通过Axelar Bridge转移到以太坊和Polygon，并出售到现有的流动性池中。我们将在漏洞利用之前的区块上进行快照。 为了确保公平，请不要在利用后购买GNUS代币，因为我们将发行新代币。[原文链接]

CoinVoice 最新获悉，据 The Block 报道，安全基础设施公司 Firewall 完成 370 万美元 Pre-Seed 融资，本轮融资由 North Island Ventures、Breyer Capital 和 Hack VC 共同领投。筹集的资金将用于扩大目前由六名全职员工组成的团队、开发技术并支持社区建设和营销工作。

Firewall 正在为区块链网络开发防火墙解决方案，以防止智能合约漏洞。[原文链接]

CoinVoice 最新获悉，安全与分析公司 FuzzLand 完成 300 万美元种子轮融资，1kx 领投，HashKey Capital、SNZ、Panga Capital 参投。FuzzLand 表示，这笔资金将有助于加快使用动态分析和分布式计算软件进行智能合约分析的自动化解决方案的研发。FuzzLand 由 Shou、Jeff Liu 和 Koushik Sen 创立，旨在提供超越传统解决方案的尖端漏洞检测和分析功能。（CoinDesk）

原文链接

CoinVoice 最新获悉，据  报道，美国财政部长 Janet Yellen 呼吁国会制定专门针对加密货币的新法律，希望借此打击现有法律无法覆盖的系统性风险。Yellen 周二在众议院金融服务委员会（HFSC）听证会上表示："国会应通过立法，对稳定币以及非证券类加密资产的现货市场进行监管。

这位内阁成员承认当前的规则和法规也应该得到执行，并列举了数字资产可能影响国家金融稳定的各种方式，包括交易所或稳定币提供商的 "挤兑"，以及加密货币市场的波动。 Janet Yellen 认为，现有法律在加密货币方面存在漏洞，执法机构没有考虑到这一点。

Yellen 一直在呼吁建立新的稳定币监管框架，理由是担心稳定币作为支付手段的增长和被用于洗钱。关于稳定币，Yellen 说，联邦监管机构应该能够关闭不符合全国 "监管底线 "的稳定币发行商，而且为稳定币钱包持有者建立监管保护 "至关重要"。 [原文链接]

CoinVoice最新获悉：比特币核心开发人员 Luke Dashjr 在 X 的评论回复中确认，此前其披露的 Bitcoin Core 漏洞如果修复，意味着 Ordinals 和 BRC-20 将不复存在。

另一条评论表示“如果‘铭文’想要继续下去，一个更环保的方法就是创建一个‘铭文链’，类似于以太坊的 Layer 2，这个链只需要定期向比特币提交哈希值就可以运行了，对吗？”

Luke Dashjr 回复，“是的，那行得通。然后它甚至根本不需要有区块大小限制，每个节点都可以设置自己的限制（或没有）”。

(来源链接)

CoinVoice最新获悉：Unibot 官方 X 账号发文表示：“我们在新路由器中遇到了 Token 批准漏洞，并已暂停我们的路由器以遏制该问题。由于我们新路由器的错误而造成的任何资金损失都将得到补偿。您的密钥和钱包是安全的。我们将在调查结束后发布详细回应。”

(来源链接)

CoinVoice最新获悉：天眼查App显示，李笑来、Mixin创始人冯晓东均为费格曼（北京）科技有限公司的股东。目前冯晓东持股94%，李笑来持股5%。费格曼（北京）科技有限公司官方网站显示为Mixin。
此外，2016年2月罗永浩加入费格曼股东，持股4%；2023年2月罗永浩退出费格曼股东行列。罗永浩曾在2018年发微博表示：“曾经投入100多万炒币，此后再也没关心过，而这些币已经涨到了3000多万。”
此前消息，Mixin Network发布公告表示，香港时间9月23日凌晨，Mixin Network云服务提供商的数据库遭到黑客攻击，导致主网上部分资产损失。Mixin Network已联系谷歌和区块链安全公司慢雾协助调查。经初步核实，所涉资金约为2亿美元。Mixin Network充提服务已暂时停止。在所有节点讨论并达成共识后，一旦漏洞得到确认和修复，这些服务将重新开放。在此期间，转账不受影响。
关于如何处理损失的资产，Mixin团队将在之后公布解决方案。Mixin创始人冯晓东将于香港时间9月25日13:00在公开的普通话直播中解释此次事件。Mixin会在事后用英文总结内容，以方便大家参考。Mixin将尽最大努力减少损失，并对此深表歉意。

原文链接

CoinVoice最新获悉：虚拟资产交易平台JPEX涉嫌诈骗案，香港证监会行政总裁梁凤仪表示，此次事件让监管机构可以更全面地加强监管虚拟资产活动，反映监管对推动行业发展的重要性。她表示，现在已经有很多保障措施确保投资者，不会因为出现怀疑违法行为，就改变香港已经公布的虚拟资产发展政策。
梁凤仪强调，制订虚拟资产监管规定的初心，是为了提供一个受监管的渠道，让投资者的资产受到隔离保护。她说，其他金融产品亦无法完全排除诈骗，最重要是有机制让投资者安心，未来会加强讯息传播和投资者教育，期望推动行业向前发展。
梁凤仪重申，自从6月1日虚拟资产相关的监管法例生效，证监会取得更全面的权力调查违法宣传后，过去3个月已经不断对JPEX案搜证，但调查需时，亦要让调查目标回应，强调一直就怀疑欺诈的案件与警方沟通。
被问到证监会为虚拟资产交易平台提供1年过渡期，是否成为此类诈骗案的监管漏洞，金融科技组主管黄乐欣表示，无论有无过渡期，违法行为都会出现，有关安排是为已经在港营运的交易平台，有合理时间准备好申请牌照，改善监控和遵守监管规则，并且已经一早向业界表达，重申如果无意申领牌照，就应有序结业和停止积极推广业务。（香港电台网站）
此前消息，香港证监会因应近期公众对不受规管的虚拟交易平台的关注，将采取多项措施，加强信息传播及投资者教育。香港证监会行政总裁梁凤仪表示，证监会将在网上公布4份虚拟资产平台名单，包括持牌平台名单、结业平台名单、被当作获牌照平台名单，以及新增申请者名单。
此外，证监会将发布一份专门针对可疑虚拟资产交易平台名单，协助公众对本地无牌或可疑经营手法平台提高警觉。证监会网站将刊载有关名单，并考虑提供更多有关不受监管的虚拟资产平台资讯，让公众及早提高警觉。

原文链接

CoinVoice最新获悉：根据OpenSea向APl用户发送的邮件，其一位供应商遭遇安全事件，OpenSea APl密钥的相关信息可能被泄露。
该事件不会对开发者与平台的集成产生直接影响，但密钥可能会被外部相关方使用，建议开发者立即停止使用现有密钥，并用新生成的密钥替换。
昨日消息，Nansen在X平台发文表示，9月20日，因一个第三方供应商漏洞遭攻击，致使6.8%的Nansen用户数据泄露。

CoinVoice最新获悉：针对“LDO的Token合约存在潜在的‘假充值’风险”一事，Lido Finance表示，尽管黑客据称利用了LDO代币合约中已知的安全漏洞，但LDO和stETH代币仍然是安全的。Lido没有证实任何漏洞，但承认安全漏洞是已知的。（Cointelegraph）
昨日消息，据慢雾安全团队链上情报，LDO的Token合约存在潜在的“假充值”风险，恶意攻击者可能会尝试利用这一特性进行欺诈行为。

原文链接

CoinVoice最新获悉：2023年8月3日，全球知名安审独角兽CertiK于香港数码港（Cyberport）举办Web3.0线下沙龙，现场聚集了近百位大湾区Web3.0从业者，讨论气氛十分热烈。CertiK 联合创始人、新加坡金管局国际技术咨询委员会委员、香港Web3.0发展专责小组成员顾荣辉教授发从智能分析与审计实践的角度切入，谈Web3.0代码安全。他表示安全审计并不能从代码层面避免一切风险，CertiK推出了如Skynet for Community的系列产品，通过灵活运用智能分析技术帮助开发者和用户更高效地发现和修复漏洞，使Web3.0安全审计发挥真正的价值。

CertiK首席安全官李康教授则通过对多方计算(MPC)技术的安全揭秘，分析安审公司应如何应对和克服MPC钱包实施中的安全威胁，从而提高Web3.0生态系统中的信任度和透明度。随着Web3.0安全的刚性属性日益凸显，CertiK作为安全赛道的头部先行者，还将不断推动与蚂蚁集团等大厂的合作，力争打破普通用户或开发者踏入Web3.0世界的安全顾虑。

CoinVoice最新获悉：据慢雾消息，Grafana发布严重安全提醒称，其存在账户被接管和认证绕过漏洞（CVE-2023-3128），目前PoC在互联网上公开，已出现攻击案例。
Grafana是一个跨平台、开源的数据可视化网络应用程序平台，用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。
Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上，配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时，这可能会使Grafana账户被接管和认证绕过。其中，Grafana ＞= 6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况，请注意风险，并将Grafana升级到最新版本。

原文链接

CoinVoice最新获悉：派盾监测数据显示，永续DEX El Dorado Exchange（EDE）攻击者已返还33.4万枚USDC。
据此前报道，Proximity Labs研究员Res发推称，永续DEX El Dorado Exchange（EDE）疑似遭受攻击，并损失约58万美元。0x80826开头地址一直在向Arbitrum的ELP-1 池发送小额资金，并在此后立即提取大额资金。此外，攻击者在链上发送消息称，“你好，我不是黑帽黑客。”
EDE攻击者表示，开发人员实施了一个后门，允许他们强制清算任何他们想要的头寸，这种恶意活动涉及故意签署不正确的价格以操纵用户的头寸并窃取他们的资金，为阻止对用户的攻击，（本人）启动了白帽行动来揭露该问题。所有执行的交易都是使用开发人员签署/生成的价格进行的，任何人都可以利用这些价格轻松地通过几笔交易清空整个ELP池。
攻击者表示，如果开发人员承认操纵价格，攻击者将退还资金，并收取当时池子价值10%的资金作为白帽费用。为了最大程度地减少对流动性提供者造成直接影响，攻击者在达到20%的池子价值后停止了白帽操作，但整个池子始终处于风险之中。攻击者也想借此机会揭露其他存在的漏洞，前提是开发人员同意上述条款。

原文链接

CoinVoice最新获悉：据snapshot页面显示，Aave社区发起“Aave V3 GHO Genesis Parameters”相关提案的链上投票，旨在巩固社区对V3以太坊促进者的GHO起始参数的偏好，并将于5月3日截止。据悉，该提案提供以下两个方案供选择，方案A是由ACI与Chaos Labs联合提出的，方案B是由Aave公司最初提出的：方案A借款利率设置为1.5%，Bucket Capacity设置为1亿美元，stkAAVE Discount Rate为30%；方案B借款利率设置为2%，Bucket Capacity设置为5000万美元，stkAAVE Discount Rate为25%.当前，方案A支持率为83.63%，方案B支持率为15.33%，1.05%弃权。
此前报道，Aave关于发行超额抵押稳定币GHO的提案已获得投票通过，Aave创始人兼CEO Stani Kulechov发布稳定币GHO进展更新：代码已公开、已完成审计；已完成形式验证；已在Goerli发布；正在进行的漏洞赏金。

原文链接
 

CoinVoice最新获：MakerDAO发推称，鉴于最近关于Maker Vault 30100和Oasis前端的交易，有必要解释MakerDAO、Maker协议和第三方前端提供商之间的区别，以进行澄清。
MakerDAO无法控制任何使最终用户能够访问Maker Vaults的前端提供商或产品。此外，连接到Maker协议的可用前端都不是由MakerDAO开发或维护。
Maker协议是公开部署在以太坊上的去中心化智能合约系统，允许任何提供商以去中心化、无需许可的方式连接其用户界面解决方案。然而，这些用户界面提供商可以控制他们部署的智能合约，使最终用户能够与Maker协议进行交互。
最近更改Maker Vault 30100所有权的交易不涉及任何MakerDAO的官方智能合约或MakerDAO指令。MakerDAO的智能合约不受Oasis前端智能合约的控制。
据此前报道，跨链桥Wormhole去年因黑客攻击被盗的12万枚ETH已在三天前被Jump Crypto收回。Jump Crypto和Oasis合作，逆向攻击了一个可升级的Oasis合约，从最初Wormhole攻击者的金库中获得被盗资金。Oasis称在2月21日收到英格兰和威尔士高等法院的命令，追回与2022年2月2日Wormhole漏洞相关钱包地址的资产。这是根据法院命令使用Oasis Multisig和法院授权的第三方进行的。按照法院的要求，这些资产立即被转移到由授权第三方控制的钱包上。

原文链接

CoinVoice最新获悉：SBF表示，他无法解释FTX客户向Alameda Research的银行账户发送的数十亿美元发生了什么。
据悉，一些FTX客户通过将钱电汇到Alameda控制的银行账户进行存款，目的是将这笔钱用于为他们的FTX账户提供资金。SBF称，这是该交易所早期遗留的问题，当时FTX没有自己的银行账户。
SBF表示，随着时间的推移，FTX客户在这些Alameda账户中存入了超过50亿美元。现在这些资金都没有了。他不能排除FTX客户存入的钱实际上是借给Alameda的可能性。SBF解释称，美元可以相互替代。所以这不像这里有这张1美元的钞票，你可以从头到尾追踪。你得到的只是综合性的，各种形式的资产。
华尔街日报分析表示，SBF言论表明，流入Alameda银行账户的FTX客户资金可能记录在两个地方——既作为FTX客户资金，也作为Alameda交易头寸的一部分。这种重复计算会在FTX和Alameda的资产负债表中造成巨大漏洞，因为资产实际上并不存在。SBF否认重复计算影响了FTX的财务状况，但承认Alameda的负债可能没有完整记录。
此外，SBF表示，由于内部系统存在缺陷，他没有意识到Alameda在FTX的交易规模。SBF也并未排除FTX违反其服务条款的可能性。（华尔街日报）

原文链接

CoinVoice最新获悉：据派盾社区贡献者监测，0x9bae开头地址通过Ankr漏洞获利约350万美元，且已将获利资金约187万枚BUSD与163万枚USDC转入Binance。

原文链接

CoinVoice最新获悉：据 CNBC 报道，美国白宫发布加密货币监管框架，包括金融服务行业应该如何发展以使无国界交易更容易，以及如何打击数字资产中的欺诈行为等。文件显示，拜登总统将评估是否呼吁国会修改《银行保密法》、反举报法规以及禁止无牌照机构进行交易的法律，以明确适用于数字资产服务提供商，包括数字资产交易所和 NFT 平台。拜登总统还在研究是否推动国会提高对无牌照交易的处罚，以及可能修改某些联邦法规，以允许司法部在发现这些罪行的受害者的任何司法管辖区起诉数字资产犯罪。

数字美元方面，框架中指出 CBDC 可以使支付系统更高效，为进一步的技术创新提供基础，促进更快的跨境交易，并且具有环境可持续性，并且可以通过为广大消费者提供服务来促进金融包容性和公平。因此，美国政府敦促美联储继续对 CBDC 进行持续的研究、试验和评估。稳定币方面，框架认为如果不与适当的监管配合，稳定币可能会造成破坏。为了使得稳定币更加安全，财政部将与金融机构合作，通过共享信息和推广广泛的数据集和分析工具，以及与其他机构合作，增强其识别和修复网络漏洞的能力，以及识别、跟踪和分析与数字资产市场相关的新兴战略风险。

来源链接

CoinVoice最新获悉：据 Blockworks 援引消息人士报道，8 月下旬，因 Coinbase 平台上以格鲁吉亚拉里 (GEL) 计价的加密货币交易对的汇率错误，约 900 名美国佐治亚州交易员利用该漏洞获得百倍利润，而 Coinbase 正寻求从银行账户追回这些资金。交易员从 Coinbase 提取相关资金后不久，收到了金融机构的通知，告知他们的银行账户和相关的 Visa 借记卡已被冻结。一位知情人士称，据说至少有两家国内银行参与了冻结资金的行动，该行动并非按照 Coinbase 的指示。

Coinbase 发言人称，小数点错位问题是由于第三方技术所致。有报道称，Coinbase 的损失在 1400 万美元到 1.4 亿美元之间，Coinbase 驳斥了这一说法。

来源链接