据 Foresight News 报道,杠杆收益协议 Shezmu 发布通知称,其一个金库已被利用,用户请勿与其 DApp 交互,直至另行通知。Shezmu 宣布已向黑客提供所利用资金 10% 的赏金,限 24 小时内归还。Shezmu 更新称已从白帽赏金猎人处追回 282.18 枚 ETH。
另据 Ancilia 监测,Shezmu(ShezETH)被攻击,可能由密钥泄漏导致,已额外铸造了 9900 枚 ShezETH 代币,并兑换为 332 枚 ETH(价值 88 万美元),铸币者已于 17 天前被授予合约。此外,ShezmuUSD 也被黑客入侵,无法判断这是否与 Deployer 密钥泄漏有关。抵押合约没有 mint() 保护,它允许任何人铸造抵押代币。
据 Foresight News 报道,Web3 安全机构 CertiK 宣布,CertiK 的工程师因发现 Apple Vision Pro MR 头显设备中的关键漏洞而获得 Apple 公司认可。这是 Apple 公司第六次公开发布对 CertiK 的致谢,CertiK 依旧是苹果公开感谢次数最多的 Web3 安全机构。该问题由 CertiK 的工程师与其他 5 位计算机科学家共同发现,揭示了 Apple Vision Pro 的眼动追踪数据如何被利用破解如密码、PIN 码和消息在内的敏感信息。
据Odaily星球日报报道,慢雾余弦在X平台发文称,某用户在Blast上的WETH被钓鱼事件有几个关键信息需要注意:
1. Blast上的WETH是Blast发行的Blast's wrapped ETH token,合约可升级,支持permit离线授权签名。
2. 以太坊主网上的WETH代码非常简洁靠谱,发行多少WETH,就有多少ETH在合约里存着,没有permit功能。
3. 用户被钓鱼是因为Inferno Drainer支持了Blast WETH permit离线授权签名,钓鱼团伙研究细节决定收益。
此前消息,9月18日,一名用户因签署了一个“permit”钓鱼签名,损失了150枚WETH(价值约34.92万美元)。
据 ChainCatcher 报道,Bitcoin Core 开发人员发布高危警告,称每六个比特币节点中就有一个存在软件漏洞。运行在网络 17% 节点上的软件存在重大安全问题,所有低于 Bitcoin Core 版本 24.0.1 的软件均存在风险。
根据 Bitnodes 的监控估算,这个拒绝服务漏洞影响了可访问的比特币完整节点的 19,200 个自称用户代理中的大约 3,330 个。恶意行为者可以使用低难度的 header 链向节点发送垃圾邮件,导致节点崩溃。
开发人员在 Bitcoin Core 拉取请求编号 25717 中修复了这个漏洞,并在 2022 年 12 月 12 日随着 v24.0.1 版本的发布将其合并到生产中。当前的 Bitcoin Core 节点软件版本为 27.1,包含此漏洞和其他漏洞的修复。
虽然这个漏洞相当严重,但公开记录中已知的利用该漏洞的攻击案例很少。由于生成和广播区块 header 链以执行拒绝服务攻击的成本相当高,因此该漏洞对攻击者来说几乎没有经济利益。
据 ChainCatcher 报道,CertiK Ventures 宣布 4500 万美元投资计划,以支持具有潜力、蓬勃发展的 Web3 项目。CertiK Ventures 将帮助推动高潜力项目的发展,加速 Web3 生态系统中创新与安全的融合。
此外,CertiK 推出了一系列免费安全工具,包括 Token Scan 和 Wallet Scan,以帮助用户保护资产。
据 Foresight News 报道,Sonic Labs(原 Fantom)宣布推出去中心化跨链桥 Sonic Gateway,旨在连接以太坊与 Sonic。
Sonic Gateway 使用 Sonic 的验证者网络进行安全的 ERC-20 代币转账,从以太坊到 Sonic 的转账最长需要 10 分钟,从 Sonic 到以太坊的转账最长需要 1 小时。
据Odaily星球日报报道,Scam Sniffer监测显示,5小时前,一名用户因批准更改其DSProxy所有权的“setOwner”网络钓鱼签名而损失了36316美元。
币安博客发文关注加密安全,币安指出,目前发现了一个全球性的恶意软件问题,该问题通过在交易过程中更改提款地址,严重影响了加密货币交易。这种恶意软件通常被称为“Clipper malware(剪切恶意软件)”,会拦截存储在剪贴板中的数据,主要针对加密货币钱包地址。币安安全团队正在通过多种措施积极解决此问题:-将可疑地址列入黑名单:已将攻击者地址列入黑名单,以防止进一步的欺诈交易。此举已成功阻止了潜在受害者的多次提款尝试。-用户通知:已将有关恶意软件的信息告知受影响的用户,并建议他们检查其设备是否有任何可疑软件或插件。-事件报告:要求受影响的用户分享有关其事件的详细信息,以帮助我们识别和分析所涉及的恶意软件和插件。-持续监控:币安团队持续监控新的威胁并相应地更新安全协议。
据 Cointelegraph 报道,随着人工智能技术的进步,其被滥用的情况也在增加,一些人利用该技术欺诈加密货币用户。为应对这一威胁,美国议员提出了新的法案保护公民免受AI生成的深度伪造的侵害。
9月12日,众议员Madeleine Dean和María Elvira Salazar提出了Nurture Originals, Foster Art, and Keep Entertainment Safe (NO FAKES)法案,旨在保护美国人免受AI滥用并应对未经授权的AI生成深度伪造的传播。
美国议员在新闻发布会上表示,NO FAKES法案将赋予个人对抗恶意行为者的权力,并保护媒体平台在删除违规内容时免于承担责任。
然而,并非所有人都相信该法案会带来积极效果。电子前沿基金会的法律总监Corynne McSherry认为,NO FAKES法案可能导致私人审查。
McSherry指出,该法案对合法言论的保护比数字千年版权法案(DMCA)更少,后者允许简单的反通知程序,而NO FAKES要求在14天内上法院捍卫权利。
McSherry补充说,尽管AI伪造确实造成了实际伤害,但这些缺陷使该法案注定失败。
2024年第二季度,软件公司Gen Digital报告称,使用AI深度伪造的诈骗者已盗取至少500万美元的加密货币。安全公司CertiK认为,AI驱动的攻击可能会扩展到视频和音频之外,甚至可能针对使用面部识别的钱包。