慢霧CISO：請加密貨幣用戶盡快升級iOS系統、Chrome瀏覽器、Android等系統

金色財經報道，慢霧首席信息安全官23pds發文表示，請加密貨幣用戶盡快升級 iOS系統、Chrome瀏覽器、Android等系統，以應對最新的漏洞挑戰。

近日谷歌威脅分析小組公開iPhone在野漏洞攻擊鏈，涉及中間人（MITM）利用攻擊、Safari瀏覽器遠程代碼執行漏洞、安卓MITM注入和直接發送攻擊利用到目標一次性鏈接獲得Chrome初始渲染器遠程代碼執行漏洞。非常巧妙和有殺傷力的漏洞，建議盡快升級。

其它快訊：

慢霧：Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道，Uwerx遭到攻擊，損失約174.78枚ETH，據慢霧分析，根本原因是當接收地址為 uniswapPoolAddress（0x01）時，將會多burn掉from地址的轉賬金額1%的代幣，因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣，然后調用sync函數惡意抬高代幣價格，最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析，黑客初始資金來自Tornadocash轉入的10 BNB，接著將10 BNB換成1.3 ETH，并通過Socket跨鏈到以太坊。目前，被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]

分析 | 慢霧發布TronBank “假幣攻擊”手法技術分析:TRC10 是 TRON 區塊鏈本身支持的技術代幣標準，沒有 TRON 虛擬機（TVM）。TRC10 提供了 2 個新參數：tokenValue、tokenId，msg.tokenvalue 表示當前 msg 調用中的標記值，默認值為 0。 msg.tokenid 表示當前 msg 調用中的標記 id，默認值為 0。tokenId 也是 Odyssey_v3.2 中的新功能。它可以在帳戶中名為 assetV2 的新地圖字段中找到。 使用 GetAccount（Account）獲取 tokenId 及其值。 TokenId 由系統從數字 1_000_001 開始設置。 創建新的 TRC10 代幣時，數字加 1 并設置此代幣的 ID。

TronBank 合約在 invest 函數內沒有判斷 msg.tokenid 導致任意的代幣(假幣)轉入，合約都以為是真幣 BTT。然后攻擊者再調用 withdraw 從合約中提取真幣 BTT。[2019/4/11]

金色財經獨家采訪 慢霧科技：此次EOS漏洞是真實存在的并且可信度非常高:今日，360表示EOS網絡存在漏洞，對此，金色財經獨家采訪了慢霧科技，慢霧科技表示：這個漏洞本身是存在的并且可信度非常高，而且是可以直接拿到EOS超級節點服務器的權限，360所描述的史詩級漏洞，這種表述不過分。360沒有披露漏洞細節是可以理解的，此次漏洞是在EOS網絡上發布的惡意智能合約，該智能合約可以同步到區塊鏈網絡上，每個超級節點都會同步。這個惡意的智能合約會導致合約的虛擬機被穿透，打穿虛擬機到服務器，從而控制服務器。EOS 超級節點攻擊有幾個入口P2P 端口、RPC 端口、惡意智能合約、服務器與集群等其他缺陷、人員安全缺陷。此次漏洞是第三點從智能合約對區塊鏈網絡進行的攻擊。[2018/5/29]