預警：谷歌Chrome瀏覽器緊急發布安全補丁，修復可盜取比特幣私鑰等信息的漏洞_ROM

據IT之家報道，近日，谷歌發現Chrome瀏覽器存在一個嚴重的安全漏洞，該漏洞已經被黑客利用，可能導致用戶的數據和電腦受到損害。為了解決這個問題，谷歌緊急推出了一個安全更新112.0.5615.121版本，并建議所有的Chrome用戶盡快安裝。

分析 | Beosin預警：某游戲合約正遭受薅羊毛攻擊:Beosin（成都鏈安）預警：今天下午3：04分開始，根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，黑客正對poker****合約進行薅羊毛攻擊。經過成都鏈安技術團隊分析，黑客賬戶部署攻擊合約，通過大量的onerror通知，在onerror內預計算開獎結果的方式，持續使大量子賬號中獎，每個賬號都會獲得0.05EOS并將獎勵轉給攻擊者主賬號。成都鏈安提醒各項目方提高警惕，加強安全防范措施，必要時聯系安全公司進行安全服務，避免不必要的資產損失。[2019/5/23]

這個漏洞被命名為CVE-2023-2033，是一個類型混淆漏洞，出現在Chrome瀏覽器使用的V8JavaScript引擎中。簡單來說，類型混淆漏洞是一種允許使用錯誤的類型訪問內存的Bug，從而導致越界讀寫內存。這個漏洞的危險之處在于，黑客可以制作一個惡意的HTML頁面，利用堆內存的損壞來執行任意代碼。有用戶指出，所造成的危害包括但不限于盜取比特幣私鑰、盜取通訊錄、相冊等敏感文件等。

聲音 | 慢霧預警：攻擊者開啟狩獵攻擊模式:針對近期 EOSABC 連續三次被成功攻擊的細節剖析來看，前兩次是我們多次預警的交易排擠攻擊，但今天凌晨的第三次并非交易排擠攻擊，交易排擠只是障眼法，而真正達到攻擊目的的是交易回滾攻擊（開獎>被攻擊者拒絕>繼續開獎，直到滿足獲勝條件，攻擊者不再拒絕）。通過我們的分析及和項目方的對稱，攻擊者是同一撥人，攻擊手法也在根據項目的更新情況變化。通過對過往的情報關聯分析，攻擊者已經開啟了狩獵攻擊模式，從攻擊前的踩點分析到攻擊中的具體方法再到攻擊后的洗錢操作，且攻擊者對我們的情報披露及相關防御策略的關注也很及時。

我們呼吁 EOS DApp 項目方在 DApp 上線前做好足夠的安全審計及風控策略，并及時關注來自安全公司的威脅情報同步。同時，我們呼吁攻擊者停止繼續攻擊并歸還攻擊所得，我們將聯合相關交易平臺及執法部門采取進一步措施。攻擊者在 EOS 上的相關賬號如下：loveforlover、wangshaoyong、zhangyanjing、floatingsnow、dolastattack、doespaperock、sunshinesnow、norealrandom、welcomerobin、whateverbeen、winsonknight、nodispromise 等數十個關聯賬號。[2019/1/30]

一般來說，Chrome瀏覽器會自動更新，但用戶也可以手動檢查是否已經安裝了最新版本。用戶可以點擊Chrome瀏覽器右上角的三個點菜單，選擇“幫助”，然后選擇“關于Chrome”來查看自己的版本號。此外，如果用戶在MicrosoftEdge、獵豹、360等瀏覽器中使用了Chrome內核的瀏覽器，也需升級最近版本以避免被攻擊。

聲音 | 慢霧預警：ETC可能發生51%攻擊:據慢霧區消息，Ethereum Classic（ETC） 疑似發生51%攻擊，有不少區塊發生回滾；但是Ethereum Classic官方說沒什么問題。出于謹慎的態度，請相關交易所和個人注意關注，及時避險。[2019/1/7]

Tags：ROMEOSCHRCHROPROMISEEOSJacksChroniclechromia

XLM