链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

安全

安全新闻快讯文章, 安全深度文章, 安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

·

金融科技公司 Plaid 被指控收集 Cash App 等应用程序的数据信息

链闻消息,据 Cointelegraph 报道,金融科技公司 Plaid 面临一项集体诉讼。原告声称,Plaid 通过累积数百万用户的金融交易并将其货币化,侵犯了用户的隐私信息。原告指控 Plaid 通过「数据管道」(Data plumbing)积累 Venmo、Stripe、Square 的 Cash App 和 Robinhood 等服务的相关数据信息。链闻此前报道,今年 1 月份,Visa 宣布以 53 亿美元收购金融科技公司 Plaid。Plaid 可以通过软件接口(API)的形式为初创公司提供接入用户银行账户的服务,比如零佣金股票和加密货币交易工具 Robinhood 和加密货币交易所 Coinbase、Gemini 都是其客户。
·

TikTok 和其他部分应用疑似通过 iOS 剪贴板访问加密钱包地址等敏感信息,TikTok 表示将停止在 iOS 设备上访问剪贴板内容

链闻消息,据美国科技博客媒体 Ars Technica 报道,在今年 3 月份研究人员 Tommy Mysk 和 Talal Haj Bakry 发布报告表示字节跳动旗下短视频平台 TikTok 和其他一些应用会定期从 iOS 和 iPadOS 剪贴板中调出数据之后,尽管 TikTok 承诺要遏制这种做法,但其仍继续访问 Apple 用户的一些隐私数据,其中包括密码、加密货币钱包地址、帐户重置链接以及一些个人消息。许多其他应用程序也在继续访问 Apple 用户隐私信息。TikTok 代表在一份声明中写道,「自 6 月 22 日发布 iOS14 测试版以来,用户在使用许多应用程序时看到了这些通知。对 TikTok 而言,这是由旨在识别重复性垃圾邮件行为的功能触发的。我们已经向 App Store 提交了该应用程序的更新版本,其中删除了反垃圾邮件功能。TikTok 致力于保护用户的隐私。」

江西吉安中级人民法院点名多个虚拟货币骗局

链闻消息,江西吉安市中级人民法院撰文称,80% 以上的资金盘是来自美国的国际老。每推出一个新盘,在前期市场空白阶段,为提高假象的「暴增速度」来吸引投资者,他们就向市场抛售几个、十几个甚至几十个亿的报单虚拟币。同时,在前期最多回放 20% 给与参与者「兑现提款」,再由有收益的「提款成功」者传播,就能招募更多的「贪婪者」参与投资。其它 80% 资金通过各种渠道洗出境外。在吉安市中级人民法院归类虚拟货币和新概念外汇跟单为「最潮流骗局」,并点名了多个项目,包括张健五行币,下线多达 18 万人,传销头目宋密秋已被中国警方抓获;亚欧币,诈骗 40 亿元,7 万余人被骗一空;GCB 光彩币,注册会员数十万,涉案金额上亿元;EGD 网络黄金,注册会员 50 万人,涉案金额 109 亿;万福币,注册会员 13 万人,涉案金额 20 亿元;暗黑币,注册会员 3 万多人,涉案金额 15 亿;维卡币,注册会员 180 万人,涉案金额 6 亿余元;莱汇币,注册会员 20 万人,涉案金额 5 亿余元;Discovery 摸金派π、克拉币、DGC 共享币、百川币、麦格币、恒星币、Gem Coin 珍宝币、FC 赫尔币、开心理财网、蒂克币、BGB 贝格邦、BBT 金币、OFC 万维币、马克币、利阁币、雷达币、摩哈币、中国物联网数字货币中心。
·
·
·
·

OpenZeppelin 开源类似闪电贷的实验性项目 FlashWETH

链闻消息,OpenZeppelin 研究团队成员 Austin Williams 发布试验性项目「可闪电铸造的由资产支持的代币」(Flash-Mintable Asset-Backed Tokens)的以太坊合约代码,已部署至主网。该研究性项目类似于「闪电贷」,用户可以通过该合约铸造任意数量的代币,然后在同一笔交易中销毁相同数量的代币即可,否则该交易将无效。此次发布的实验项目「FlashWETH」还结合了类似 WETH 的(ERC-20 包裹版 ETH)机制,由 ETH 资产支持,所以可以用来进行套利交易。OpenZeppelin 表示该项目的合约虽然简单,但是尚未审计,谨慎使用。
·
·

报告:钓鱼攻击瞄准 Web3 DeFi 应用程序,受骗资金超 10 万美元

链闻消息,以太坊网页钱包 MyCrypto 与安全公司 PhishFort 联合发布的一份调查报告显示,在此前的研究中发现针对 Ledger、Trezor、MEW、Metamask 等用户的虚假浏览器扩展程序。最近的研究中发现了恶意的 Web3 应用程序「网络钓鱼 dapp」,它们伪装成合法的应用程序或服务来窃取加密货币。比如,自 MakerDAO 正式关闭单抵押 Sai 系统以来,这类钓鱼工具开始出现,他们会伪装成需要一个新工具来帮助用户从 SAI 迁移到 DAI。比如某一域名提供了一个简单的界面,以 1:1 的比例开始从 SAI 迁移到新的 DAI,似乎就像官方通道一样。然而,实际上要签署的交易只是将 SAI 发送到攻击者拥有的一个地址。已经追踪到了超过 10 万美元的 SAI 被转移到了攻击者账户。这些攻击通过直接在 Web 界面输入私钥来进行钓鱼攻击,从样本来看,这次 Web3 钓鱼攻击的迭代版本似乎是由一群恶意参与者运行的。它们的一个集群与其他加密货币骗局位于同一基础设施架构上(198.54.120.244)。这似乎是 Namecheap 提供的一个共享的 Web 托管服务器,但由于攻击内容和方法的重叠,可以假设这些活动是由相同的参与者运行的。在 DeFi 强势增长的背景下,攻击目标与 DeFi 的关系越来越密切。
·

去中心化跨链借贷平台 Atomic Loans 公开合约漏洞,现已暂停新贷款请求

链闻消息,去中心化跨链借贷平台 Atomic Loans 公开由安全研究员 samczsun 披露的关于当前部署的合约和贷方代理中的两个漏洞。这两个漏洞都允许恶意借款人解锁其部分或全部比特币抵押资产,而无需在特定情况下偿还其贷款。不过,截至目前,这两个漏洞均未被任何用户利用,并且 Atomic Loans 平台上没有资金受到影响。Atomic Loans 指出,在启动 v2 之前,将继续禁止新的贷款请求,并将组织一次白帽黑客事件以及进行多次审核和实施 Bug 赏金计划。链闻此前报道,今年 4 月中旬,Atomic Loans 宣布完成 245 万美元的种子轮融资,此轮融资由 Initialized Capital 领投,参投方包括 ConsenSys、Morgan Creek Digital 和 Bison Trails 的 Joe Lallouz 和 Aaron Henshaw。链闻注,Atomic Loans 是一个对接矿工和散户的无需信任和支持跨链的债务协议,使用原子互换技术和原生区块链的功能,可以实现比特币和以太坊的贷款功能,而且用户无需将信任委托给第三方中心化的托管商。

DeFi Saver 发现自有交易平台安全漏洞并使用白帽攻击提取资金

链闻消息,抵押债仓(CDP)自动化管理系统 DeFi Saver 在推特中表示,该团队发现 DeFi Saver 应用系列中自有交易平台的一个漏洞,并尝试使用一次「白帽攻击」将受影响的 3 万美元资金转移至只有原始攻击者才能进入的智能合约中,同时该平台表示为了防止类似事件发生,已经将该自有交易平台从 DeFi Saver 应用中删除。

以太坊智能钱包 Argent 发现可接管钱包权限的安全漏洞,目前已修复

链闻消息,加密网络安全公司 OpenZeppelin 的研究人员发布博文表示,在以太坊智能钱包 Argent 上发现严重安全漏洞,此漏洞可使潜在的攻击者接管 Argent 用户的钱包,特别针对未激活「Guardian」功能的用户。目前 Argent 团队已经修复该漏洞,并与受影响的用户联系,采取一些措施来保护用户的钱包安全。Argent 钱包的「Guardian」功能可使 Argent 用户授予选定的账户执行操作的权限,包括锁定或批准钱包恢复等。同时,Argent 钱包在今年 3 月 30 日之前,允许用户创建未设置「Guardian」功能的钱包,而此次发现的 Argent 代码中的漏洞使攻击者可以在没有「Guardian」功能情况下锁定钱包,并触发重新恢复功能以窃取资金。OpenZeppelin 确定大约 329 个钱包,持有将近 162 ETH (约合 37,000 美元)有即时被攻击的风险,并确定另外 5,513 个钱包可能受到潜在攻击。

Bancor:正联系攻击者偿还 13 万美元漏洞损失,事件不会影响 V2 版本上线

链闻消息,去中心化交易协议 Bancor 官方披露了昨日安全漏洞的细节,并表示这不会影响 V2 协议的上线。Bancor 表示,其智能合约 0.6 版本在 6 月 16 日部署后,原本应该设置为私有的函数 safeTransferFrom 被定义为公开函数,所以导致了任何人可以转移代币。幸好没有造成较大损失,Bancor 表示绝大多数的资金(455,349 美元)被他们自己发起的白帽攻击转移至安全的地址,但还有 135,229 美元的资金被两个未知套利机器人抢先交易了,团队目前正在联系他们,希望他们可以将资产还给用户,Bancor 团队将会提供漏洞赏金作为交换。另外 Bancor 还表示,接下去的 V2 版本的升级将进行多次的安全审计,包括由 Consensys Due Diligence 提供的审计,所以他们认为本次事件并不会导致 V2 版本延期。
·
·
返回页面顶部
返回链闻首页