慢霧：區塊鏈安全 永無止境的戰爭_WEB3

10月29日，Web3大會在上海外灘茂悅隆重舉行！本次大會持續兩天，至30日結束。除了數十位來自全球學術界、互聯網、開源社區、風險投資、數字藝術和媒體社區的嘉賓，大會還集結了數百名開發者、研究人員和創業者，齊聚上海外灘茂悅，分享新思潮，為大家帶來一場數字資產行業的"饕鬄盛宴”。

這是一場真正的Web3.0盛會

這是Web3大會首次來到中國上海舉辦，旨在為去中心化項目團隊搭建協作與交流的橋梁。Web3大會圍繞著一句號召組織而成：促進運轉良好的、用戶友好的Web3.0網絡。這也是Web3.0的愿景——?創造新一代互聯網，讓每個用戶掌握自己的數據、身份和命運。

慢霧：Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道，據慢霧消息，Grafana發布嚴重安全提醒，其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128)，目前PoC在互聯網上公開，已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺，用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上，配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時，這可能會使Grafana賬戶被接管和認證繞過。其中，Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況，請注意風險，并將Grafana升級到最新版本。[2023/6/25 21:58:31]

Web3大會由Web3基金會主辦，Web3基金會旨在促進加密和去中心化軟件、協議、創新技術和應用，開發第三代互聯網Web3.0。核心是研究、開發、部署、資助和維護Web3技術。

慢霧：BXH 第一次被盜資金再次轉移，BTC 網絡余額超 2700 BTC:金色財經報道，10月8日凌晨（UTC+8），慢霧監控到 BXH 第一次被盜資金再次出現異動，經慢霧 MistTrack 分析，異動詳情如下：

黑客地址 0x48c9...7d79 將部分資金（213.77 BTCB，5 BNB 和 1 ETH）轉移至新地址 0xc01f...2aef，接著將資金兌換為 renBTC 跨鏈到 BTC 網絡，跨鏈后地址為 1JwQ...u9oU。1JwQ...u9oU 在此次轉移中接收到的總資金為 204.12 BTC。截止目前，BXH 第一次被盜事件在 BTC 網絡共有 4 個黑客地址，總計余額為 2701.3 BTC，暫未進一步轉移。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/10/8 12:49:28]

本次大會嘉賓的邀請沿襲了“Web3大會”價值觀：歡迎所有協議項目、所有開發者、所有來自不同背景和持有各色觀點的人參與其中。本次大會主題講座主要圍繞區塊鏈技術與Web3相關倡導計劃。

慢霧：警惕 Terra 鏈上項目被惡意廣告投放釣魚風險:據慢霧區情報，近期 Terra 鏈上部分用戶的資產被惡意轉出。慢霧安全團隊發現從 4 月 12 日開始至 4 月 21 日約有 52 個地址中的資金被惡意轉出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，當前總損失約 431 萬美金。

經過慢霧安全追蹤分析確認，此次攻擊為批量谷歌關鍵詞廣告投放釣魚，用戶在谷歌搜索如：astroport，nexus protocol，anchor protocol 等這些知名的 Terra 項目，谷歌結果頁第一條看似正常的廣告鏈接（顯示的域名甚至是一樣的）實為釣魚網站。 一旦用戶不注意訪問此釣魚網站，點擊連接錢包時，釣魚網站會提醒直接輸入助記詞，一旦用戶輸入并點擊提交，資產將會被攻擊者盜取。

慢霧安全團隊建議 Terra 鏈上用戶保持警惕不要隨便點擊谷歌搜索出來的鏈接或點擊來歷不明的鏈接，減少使用常用錢包進行非必要的操作，避免不必要的資損。[2022/4/21 14:37:55]

余弦：區塊鏈安全，永無止境的戰爭

作為區塊鏈安全技術領域的資深專家，中國計算機學會計算機安全專委會委員，知名黑客，網絡空間搜索引擎“ZoomEye(鐘馗之眼)”創建者，Joinsec創始人、前知道創宇技術副總裁、404團隊Leader，慢霧科技創始人余弦受邀于10月30日進行《區塊鏈安全，永無止境的戰爭》的主題演講，與現場的各位業界先鋒共同圍繞『區塊鏈安全』這一話題，開展了一場深度的探討。

余弦指出，DeFi安全不僅僅是指智能合約安全，還包括區塊鏈基礎安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合規安全。他還表示，在區塊鏈的世界里，作惡成本低到令人發指。目前已披露的被盜數字資產價值已超135.67億美元，未披露的數量可能比已披露的多一倍。

具體可參考慢霧Hacked檔案庫：https://hacked.slowmist.io/

值得一提的是，余弦認為?“代碼即法律”是一句不切實際且不負責任的話。他認為區塊鏈安全遠不止發生在區塊鏈上，礦池、交易所、錢包等都存在被攻擊的風險。他最后強調，信息邊界在哪，戰爭就在哪。

以下為余弦關于《區塊鏈安全，永無止境的戰爭》演講內容：

參考來源：

https://forum.web3.foundation/

https://mp.weixin.qq.com/s/wMHpocjXaV1DPME329nwyw

Tags：WEB3WEB區塊鏈BTCweb3游戲有哪些web3域名交易wpc幣區塊鏈FCBTC價格

幣贏交易所