慢霧余弦：技術人員需注意curl漏洞，可暫時不用socks5代理

10月11日消息，慢霧余弦在X平臺發文表示：“技術人員注意下curl這個雷點，可以升級的升級，不好升級或漏掉的，可以暫時不用socks5代理。”

據了解，curl的漏洞出在輸入的域名太長，從而導致內存溢出，前提條件是使用了socket5代理。

其它快訊：

慢霧余弦：閃電網絡的替換循環攻擊類似MEV的三明治攻擊，需警惕被夾風險:10月22日消息，慢霧創始人余弦在社交媒體上發文表示，閃電網絡出現了替換循環攻擊，與 MEV 里的三明治攻擊有些相似，利用前后夾擊套出被夾目標的資金。

這一攻擊方式的實施并不容易，需要滿足以下條件：

· 在受害者身上打開兩個通道。

· 通過這兩個通道中的其中一個路由付款。

· 成功替換循環受害者的 HTLC-timeouts 在Δ blocks 內。

· 同時，需要確保受害者不會發現 HTLC 預映像交易。

這個風險在被修復之前，使用閃電網絡的項目方在對接上下游建立通道前可以警惕下，最好和有信譽的建立，降低被夾風險，具體情況還需要進一步的測試和驗證。[2023/10/22 17:09:48]

慢霧余弦：沒驗證過的安全機制不是靠譜的安全機制:金色財經報道，慢霧創始人余弦在X平臺（原推特）表示，Vitalik推特號還真是被SIM Swap攻擊了，幾個細節：手機SIM卡是T-Mobile的，這個在暗網可能5K美金就可以做一次SIM Swap攻擊；這個手機號雖然沒拿來做 2FA，但是被用于重置了推特權限，之前他沒意識到還能這樣；他忘記什么時候添加的手機號。

從這可以學習到：沒驗證過的安全機制不是靠譜的安全機制；任何人都有踩坑的時候；人會撒謊，更別提代表人的社交賬號，可能你看到的賬號動態已經不是這個人本身的意愿，一定要保持懷疑且持續驗證，尤其看到一個陌生鏈接。[2023/9/12 11:26:49]

慢霧余弦：哪怕安全審計過的DeFi都可能存在權限過大風險:慢霧科技創始人今日發微博稱，哪怕安全審計過的DeFi都可能存在權限過大風險，“權限過大”一直以來是個爭議，就看這些權限是什么，比如常見的：鑄幣、銷毀、升級、關鍵數值調整、關鍵權限變更、關鍵風控等等，“權限過大”極端了就可能就成為某種“后門”，這個是需要警惕的。DeFi項目方有責任解釋“權限過大”的意圖，透明出來；安全審計公司也有義務。[2020/9/2]