据 Foresight News 报道,杠杆收益协议 Shezmu 发布通知称,其一个金库已被利用,用户请勿与其 DApp 交互,直至另行通知。Shezmu 宣布已向黑客提供所利用资金 10% 的赏金,限 24 小时内归还。Shezmu 更新称已从白帽赏金猎人处追回 282.18 枚 ETH。
另据 Ancilia 监测,Shezmu(ShezETH)被攻击,可能由密钥泄漏导致,已额外铸造了 9900 枚 ShezETH 代币,并兑换为 332 枚 ETH(价值 88 万美元),铸币者已于 17 天前被授予合约。此外,ShezmuUSD 也被黑客入侵,无法判断这是否与 Deployer 密钥泄漏有关。抵押合约没有 mint() 保护,它允许任何人铸造抵押代币。
据 Foresight News 报道,Web3 安全机构 CertiK 宣布,CertiK 的工程师因发现 Apple Vision Pro MR 头显设备中的关键漏洞而获得 Apple 公司认可。这是 Apple 公司第六次公开发布对 CertiK 的致谢,CertiK 依旧是苹果公开感谢次数最多的 Web3 安全机构。该问题由 CertiK 的工程师与其他 5 位计算机科学家共同发现,揭示了 Apple Vision Pro 的眼动追踪数据如何被利用破解如密码、PIN 码和消息在内的敏感信息。
据 ChainCatcher 报道,Bitcoin Core 开发人员发布高危警告,称每六个比特币节点中就有一个存在软件漏洞。运行在网络 17% 节点上的软件存在重大安全问题,所有低于 Bitcoin Core 版本 24.0.1 的软件均存在风险。
根据 Bitnodes 的监控估算,这个拒绝服务漏洞影响了可访问的比特币完整节点的 19,200 个自称用户代理中的大约 3,330 个。恶意行为者可以使用低难度的 header 链向节点发送垃圾邮件,导致节点崩溃。
开发人员在 Bitcoin Core 拉取请求编号 25717 中修复了这个漏洞,并在 2022 年 12 月 12 日随着 v24.0.1 版本的发布将其合并到生产中。当前的 Bitcoin Core 节点软件版本为 27.1,包含此漏洞和其他漏洞的修复。
虽然这个漏洞相当严重,但公开记录中已知的利用该漏洞的攻击案例很少。由于生成和广播区块 header 链以执行拒绝服务攻击的成本相当高,因此该漏洞对攻击者来说几乎没有经济利益。