PeckShield点评:PlusToken等各类以高回报投资为噱头的资金盘项目,吸引了大量用户参与投资,但随着该类项目相继暴雷跑路,也给广大投资者带来了巨大的损失和伤害。鉴于区块链的链上可追踪特性,如何帮助用户追踪还原资产转移路径,协同各方力量帮用户追踪和挽回数字资产损失,是CoinHolmes正在努力做的事。钓鱼攻击等其他类安全事件
安全团队:发现Circom验证库漏洞CVE-2023-33252:金色财经报道,Beosin 发现Circom 验证库漏洞CVE-2023-33252,提醒zk项目方注意相关风险。Circom是基于Rust开发的零知识证明电路编译器,该团队同时开发了SnarkJS库用于实现证明系统,包括:可信设置、零知识证明的生成和验证等,支持Groth16、PLONK、FFLONK算法。
此前,Beosin 安全研究人员在?SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,当该库在验证证明时未对参数进行完整的合法性检查,使得攻击者可以伪造出多个证明通过校验,实现双花攻击。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞已修复完成。Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到 0.7.0版本!以确保安全性。
同时针对此漏洞,Beosin安全团队提醒zk项目方,在进行proof验证时,应充分考虑算法设计在实际实现时,由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台(Common Vulnerabilities and Exposures)并获取认可。[2023/5/25 10:39:47]
除上述之外,9月份还有一些安全事件同样值得警惕:1)比特币钱包Electrum钱包遭受黑客钓鱼攻击,损失了1,450个BTC;2)Coinhouse交易所遭黑客钓鱼攻击;3)Fusion钱包被盗,其项目代币FSN大量被盗,损失557万美元。PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、冒充客服等各类事件就是典型。在此提醒,参与数字资产投资的用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
安全机构:近20%(3700万美元)的被盗资金已返还至Nomad:8月15日消息,区块链安全机构PeckShield发推称,近20%(3700万美元)的被盗资金已返还至Nomad资金回收地址。PeckShield还检测到Maker: Dai Stablecoin(0x6B1754)和Frax Finance: FRAX代币(0x853d955)在该漏洞利用中获得了约5万枚IAG代币。
此前消息,Nomad称将为归还至少90%所盗资金的攻击者提供最高10%的奖励。[2022/8/15 12:26:53]
加密钱包MetaMask发布安全工具LavaMoat:据官方消息,加密钱包MetaMask发布安全工具LavaMoat,可以避免此前Hardhat类型的攻击。MetaMask介绍表示,LavaMoat是一组工具,用于保护项目免受软件供应链中恶意代码的侵害。 此前消息,以太坊开发环境工具Hardhat表示,美东时间周五上午,其发现有人试图通过一个恶意的NPM包攻击Hardhat社区。[2021/3/1 18:03:26]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。