据Cointelegraph报道,区块链安全公司Redefine在3月19日的一篇帖子中表示,它发现了一个冒充官方Arbitrum空投网站的网站。屏幕截图显示网站要求用户允许访问他们的资金,这可能会导致者耗尽钱包。另一家区块链安全公司CertiK指出了一个用户名为“@arbitrum_launch”的虚假Arbitrum推特帐户,该帐户正在宣传代币空投。CertiK警告用户不要与之互动。
预警:Uniswap上现存在虚假ARB代币相关流动性池,用户需谨慎识别:3月23日消息,有人在Uniswap上添加了虚假ARB代币组成的虚假ETH/ARB Pool。用户需谨慎识别。[2023/3/23 13:21:50]
上周,Web3反工具ScamSniffer表示,自代币空投宣布以来,它已经检测到超过273个与Arbitrum相关的钓鱼网站,预计在3月23日正式空投之前,这个数字还会上升。
慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产:3月5日消息,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ,用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站,连接钱包(图 2),点击页面上的“Mint”,出现批准提示框(图 3)。注意,此时的批准提示框并没有什么特别提示,当批准后,该钱包里的所有 SOL 都会被转走。当点击“批准”时,用户会和攻击者部署的恶意合约交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
该恶意合约的功能最终就是发起“SOL Transfer”,将用户的 SOL 几乎全部转走。从链上信息来看,该钓鱼行为已经持续了几天,中招者在不断增加。
提醒:1. 恶意合约在用户批准(Approve)后,可以转走用户的原生资产(这里是 SOL),这点在以太坊上是不可能的,以太坊的授权钓鱼钓不走以太坊的原生资产(ETH),但可以钓走其上的 Token。于是这里就存在“常识违背”现象,导致用户容易掉以轻心。
2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试),没有给用户完备的风险提醒。这非常容易造成安全盲区,导致用户丢币。(慢雾区)[2022/3/5 13:39:42]
此前消息,Arbitrum将于3月23日向其社区成员空投代码为ARB的治理代币。
声音 | 慢雾预警:Fastwin再次被攻破,攻击者获利2000多枚EOS:根据慢雾威胁情报系统捕获,今日(1月31日)凌晨前后,知名竞技类EOS DApp Fastwin再次被攻破,攻击者获利2000多枚EOS,攻击者是此前攻击 BETX 的同一批账号。慢雾安全团队提醒类似项目方全方面做好合约安全审计并加强风控策略,攻击者们已经开启了狩猎攻击模式。[2019/1/31]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。