12月14日消息,Tether首席执行官Paolo Ardoino在X平台上表示,Tether刚刚冻结了Ledger漏洞利用者的地址。...
12月10日,Ordinals 拓展协议 Veda 在X发文宣布,该协议的启动由于不可抗力将无限期推迟,Veda-core和Veda-bvm将开源。Veda协议的目的是在不改变比特币核心共识的情况下解决比特币中缺乏 L1 层智能合约的问题。令人意外的是,在发布推迟消息的2小时前,Veda曾宣布即将启动,并已制定好其代币经济学及代币标准,已经在为其Ordina...
12月13日消息,安全公司MetaTrust Alert监测显示,OKX DEX漏洞利用造成的总损失现已达到 270 万美元。提醒用户尽快撤销对OKX DEX: TokenApprove合约(合约地址:0x40aa958dd87fc8305b97f2ba922cddca374bcd7f)的授权。今日早些时候,OKX表示,资产转移事件是由废弃的DEX做市商合...
12月13日消息,Paradigm研究员samczsun再次发推称,Twitter的一项关键漏洞已被修复。技术摘要: 此漏洞是Twitter子域中的反射型跨站脚本(XSS)漏洞,并伴随着对CORS(跨源资源共享)/CSP(内容安全策略)的绕过,使得可以作为本地认证用户向Twitter API发出任意请求。修复此漏洞后,Twitter用户的账户安全性得到了加...
12月13日消息,Paradigm研究员samczsun发文称,Twitter出现一个关键漏洞,该漏洞允许黑客通过仅点击一个链接就能获得用户账户的完全访问权限。这意味着黑客可以进行推文、转推、点赞、屏蔽等操作,但无法更改用户密码。在此问题得到解决之前,为了保护自己的账户安全,建议用户安装广告拦截器uBlock Origin,以减少遭受此类攻击的风险。uBl...
12月12日消息,比特币核心软件Bitcoin Core至26.0版本和Bitcoin Knots至25.1.knots20231115版本之前存在的一个漏洞CVE-2023-50428已被NVD(美国国家漏洞数据库)正式采纳。这个漏洞允许通过将数据作为代码伪装(例如,使用OP_FALSE OP_IF)来绕过数据载体大小限制,该漏洞在2022年和2023年...
12月9日消息,据Cointelegraph报道,区块链安全公司 Cyvers Alerts检测到价值 5000 万美元的 HXA 代币的变动,HXA 代币是 Herencia Artifex NFT 项目的原生实用代币,与 KyberSwap 漏洞利用者相关。 KyberSwap 漏洞利用者的地址使用“转账功能”从以太坊地址获取了这些代币。Cyvers...
12月10日消息,Bitcoin Core客户端开发人员Luke Dashjr推特发文称,铭文所利用的Bitcoin Core客户端漏洞已被分配标识符CVE-2023-50428。据此前消息,铭文正在利用Bitcoin Core客户端的一个漏洞向区块链发送垃圾信息。自2013年以来,Bitcoin Core允许用户设置在中继转发或挖矿交易时的额外数据大小限...
12月9日消息,慢雾创始人余弦在 X 平台表示:“铭文这个问题被分配了个 CVE 编号,这是釜底抽薪了,态度鲜明地定性漏洞了。CVE 编号不是什么新鲜事,许多安全团队/个人都可以申请,我们没太看重这玩意…但可能比特币生态相关角色会看重这个,毕竟 CVE 编号在安全行业是最知名的漏洞证明之一”。此前消息,Luke Dashjr表示铭文所利用的Bitcoin...
12月10日消息,据The Block报道,Compound DAO有关奖励匿名开发者“KP”的提案未能通过社区投票,该开发人员报告并帮助修复了一个漏洞。黑客可利用该漏洞直接窃取用户资金,但成本高到很难获利。在发现并验证漏洞后,KP将其报告给Compound及其安全合作伙伴OpenZeppelin,并提供了包含攻击概念验证模拟的代码存储库。这个漏洞很快被修...
自 12 月 6 日 Bitcoin Core 开发人员 Luke Dashjr(@LukeDashjr)在社交平台发文表示「铭文在利用 Bitcoin Core 中的漏洞向区块链发送垃圾邮件」「漏洞修复后铭文也将不复存在」后,加密社区内风波不断,在此后的两天内对这一言论的讨论热度也在不断攀升。而从昨日晚上起,舆论风向似乎有了一些细微的变化。「保卫铭文」热度...
12月8日消息,去中心化交易所Velodrome在X平台上表示,今日OpenZeppelin团队向该团队披露了Thirdweb相关漏洞的详细信息。Velodrome已经确定了Relay合约中的部分功能存在被破坏可能,因此将暂时停用Relay,直到进行必要的调整。需要明确的是,这些问题都不会让任何用户资金或veNFT面临风险,核心合约均未受到已识别漏洞的影响...
12月8日消息,Web3反诈骗平台Scam Sniffer发帖称,利用Thirdweb相关漏洞,攻击者可以调用转发器(Forwarder)来调用ERC20代币的任何功能,例如销毁或转移。此前今日早些时候消息,Thirdweb漏洞系两个独立的OpenZeppelin库集成问题导致;515种代币疑似受到Thirdweb相关漏洞影响,其中3种已被利用,攻击者获利...
12月8日消息,安全公司Dedaub在X平台上表示,Thirdweb漏洞的根本原因是,两个独立的OpenZeppelin库,即ERC2771和Multicall,在结合使用时发生了交互不良的问题。这样就可以欺骗_msgSender(),造成各种访问控制问题,包括资金损失。而OpenZeppelin也对此事进行了披露:“我们公开披露一个严重漏洞,该漏洞是由于...
12月7日消息,Web3开发工具平台Thirdweb在X平台上表示,在过去的48小时里,其工具已帮助43条链上的8000多份智能合约缓解漏洞风险。据其所知,有两例未及时缓解智能合约受到了该漏洞的影响。团队还没有透露有关此漏洞的更多细节,以便智能合约所有者有时间采取适当的行动。此前12月5日消息,Thirdweb表示,某常用开源库存在安全漏洞,11月23日前...
12月6日消息,慢雾创始人余弦在X平台发帖称:“比特币核心开发者的这个观点刺激了,如果一切如他所愿,比特币之后的版本会修复他认为的漏洞:序号/铭文是比特币的漏洞,是一种Spam攻击。最开始就争论过这些,现在可能是开刀整治了。我个人感觉没必要修补这个,由于Taproot的引入(好事)不小心打开的这个魔盒带来的影响不是只有一堆堆Spam,还有比特币生态的活跃,...
12月6日消息,此前比特币核心开发人员Luke Dashjr称铭文正利用Bitcoin Core漏洞向区块链发送垃圾信息,希望这会在明年的V27版本之前得到最终修复。而在回复网友针对此问题的回复时,Luke Dashjr表示,该漏洞修复后,意味着Ordinals和BRC-20将不复存在。此外,有网友问是否可以创建一个类似于以太坊的“铭文链”(需定期向比特币...
12月6日消息,Web3审计公司Zellic发文表示,今年11月Zellic安全研究人员发现Astar的一个漏洞,恶意行为者可以利用该漏洞窃取价值约400,000美元的代币。该漏洞允许任何攻击者从部署在Astar EVM上某些类型的智能合约中窃取大量资金。安全研究员Faith与vakzz一起确定了存在被盗风险的资金数额,并随后向Immunefi上的Asta...
12月6日消息,比特币核心开发人员Luke Dashjr在X平台发帖称:“铭文(Inscription)正在利用比特币核心客户端Bitcoin Core的一个漏洞向区块链发送垃圾信息。自2013年以来,Bitcoin Core允许用户设置在中继转发或挖矿交易时的额外数据大小限制。通过将其数据模糊为程序代码,铭文绕过了这个限制。这个漏洞最近在Bitcoin...
12月1日消息,Sei 基金会宣布与Web3安全服务平台Immunefi合作启动 Sei 漏洞赏金计划。该计划旨在激励白帽黑客报告潜在安全问题,以保持 Sei 平台的安全稳定,并奖励负责任的安全漏洞披露。赏金范围从 1000 美元到 200 万美元不等,取决于漏洞的严重程度,从低到高不等。...
11月28日消息,据路透社报道,全球监管机构金融稳定委员会(FSB)周二在一份报告中表示,可能需要采取更多措施,以阻止像FTX这样的复杂加密公司爆仓,从而破坏更广泛的金融体系的稳定;去年FTX倒闭时加密市场的动荡凸显了将交易和其他活动结合在一起的“多功能”加密公司如何加剧漏洞;这些漏洞与传统金融中发现的漏洞相似,包括杠杆、流动性错配、技术和操作漏洞;由于缺...
11月27日消息,PeckShield监测显示,一名 KyberSwap 漏洞利用者已在AVAX(Avalanche)链上退还了 361,876 枚 USDC.e。上周,Kyber Network称黑客攻击共造成约5470万美元损失。今日早些时候报道,KyberSwap团队已追回约467万美元用户资金。...
11月25日消息,链上数据平台 Arkham 在 X 平台上表示,在数据共享平台 Intel Exchange 上创建并资助了一项赏金计划,以帮助识别最近 Trader Joe 前端漏洞背后的个人或组织。对该赏金的提交将与 Trader Joe 团队共享,以支持他们的调查。赏金总额 5000 枚 ARKM,为期一个月。此前消息,Trader Joe前端被篡...
11月25日消息,为确保安全和稳定性,InfStones已启动Lido验证人密钥的主动轮换,以预防最近披露的安全隐患。此前,Lido已确认没有任何证据表明 InfStones所运营的以太坊节点遭受影响。InfStones明确表示,虽然并未遭受黑客攻击,但公司仍与Lido DAO密切合作,采取了一切必要的预防措施,确保客户资产的安全。同时,这次的验证人密钥轮...
11月25日消息,Blast在推特发文称,安全是多方面的,涉及智能合约、浏览器和物理安全维度。不可变的智能合约通常被认为更安全,但可能会带来更大的风险,尤其是在复杂的协议中。可升级合约重要,尽管存在潜在漏洞,但可升级合约提供了针对漏洞的解决方法。多重签名设置中的每个签名密钥都是独立安全的,在冷存储中,由独立方管理,并且在地理位置上分散。计划在一周内将多重签...
