慢霧發布iCloud用戶的MetaMask錢包遭遇釣魚攻擊簡析。稱首先用戶遭遇了釣魚攻擊,是由于自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMaskiOSApp端本身就存在有安全缺陷。
慢霧:警惕ETH新型假充值,已發現在野ETH假充值攻擊:經慢霧安全團隊監測,已發現存在ETH假充值對交易所攻擊的在野利用,慢霧安全團隊決定公開修復方案,請交易所或錢包及時排查ETH入賬邏輯,必要時聯系慢霧安全團隊進行檢測,防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作:1、針對合約ETH充值時,需要判斷內聯交易中是否有revert的交易,如果存在revert的交易,則拒絕入賬。2、采用人工入賬的方式處理合約入賬,確認充值地址到賬后才進行人工入賬。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]
MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。
聲音 | 慢霧余弦:未來加密貨幣是絕對的剛需存在:慢霧余弦今日在微博上表示,未來虛擬世界是絕對的獨立智慧體,加密世界是絕對的大勢,加密貨幣是絕對的剛需存在,雖然這個未來還有不少距離。[2020/1/4]
https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17
聲音 | 慢霧余弦:以太坊Mist瀏覽器當時選型Electron做瀏覽器是很悲催的決定:慢霧余弦發微博表示,以太坊Mist瀏覽器決定關停的一個重要原因確實是“安全考慮”,他們當時選型Electron(基于Chromium和Node.js的)來做瀏覽器確實是個很悲催的決定,Electron本身對許多0day的修復速度就很慢,JavaScript世界的安全問題又很多,而Mist定位的核心部分是錢包+DApp瀏覽,這導致許多安全風險容易放大甚至失控,導致Mist不得不費很多不必要的精力在Electron本身的安全問題上,還不如放棄、重建。[2019/3/25]
MetaMaskiOS端代碼中沒有發現存在這類禁止錢包數據(如KeyStore文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限信息被惡意攻擊者獲取,攻擊者可以從目標iCloud里恢復MetaMaskiOSApp錢包的相關數據。
慢霧安全團隊經過實測通過iCloud恢復數據后再打開MetaMask錢包,還需要輸入驗證錢包的密碼,如果密碼的復雜度較低就會存在被破解的可能。
iOSApp端在代碼上如何避免iCloud自動備份錢包App中的數據可以參考:
https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup
據官方推特,LayerZero旗下跨鏈橋協議StargateFinance宣布將于北京時間3月31日00:00開啟第二輪社區代幣拍賣,此次拍賣為上次拍賣之前預先批準的用戶開放.
1900/1/1 0:00:00加密貨幣交易平臺Crypto.com周二宣布推出其美國交易平臺“TheCrypto.comExchange”,該平臺仍處于初始啟動階段,目前僅向特定機構投資者開放,可供候補用戶使用.
1900/1/1 0:00:00全鏈NFT預言機Quoth正式上線NFT搜索功能,參與者有機會獲得NFT,該NFT擁有交易、獲得所有訪問功能、未來所有版本永久訪問權限及免費橫幅廣告等權益.
1900/1/1 0:00:00繼昨日慢霧安全團隊披露的UTXO多簽機制可被用于發起對交易所的假充值攻擊之后,慢霧區安全伙伴安全鷺(Safeheron)反饋了新的威脅情報.
1900/1/1 0:00:00據CoinDeskKorea報道,韓國國會議員金炳旭在“新政府數字資產政策的問題和前景”會議開幕致辭中表示,我將加快虛擬資產法的立法,為虛擬資產提供法律依據.
1900/1/1 0:00:00Avalanche基金會周二宣布了價值高達數億美元的激勵計劃“AvalancheMultiverse”,以刺激Avalanche區塊鏈的新型開發.
1900/1/1 0:00:00