安全公司：YAM事件充分暴露了未經審計 DeFi 合約中隱藏的巨大風險_YAM

8月13日，知名以太坊DeFi項目YAM官方通過Twitter發文表明發現合約中存在漏洞，24小時內價格暴跌99%。慢霧安全團隊表示，官方在合約中發現負責調整供應量的函數發生了問題，這個問題導致多余的YAM代幣放進了YAM的reserves合約中，并且如果不修正這個問題，將會導致YAM的后續治理變為不可能。這次的事件充分暴露了未經審計DeFi合約中隱藏的巨大風險，雖然YAM開發者已經在Github中表明YAM合約的很多代碼是參考了經過充分審計的DeFi項目如Compound、Ampleforth、Synthetix及YEarn/YFI，但是仍無可避免地發生了意料之外的風險。建議：1.由于DeFi合約的高度復雜性，任何DeFi項目都需在經過專業的安全團隊充分審計后再進行上線，降低合約發生意外的風險。2.項目中去中心化治理應循序漸進，在項目開始階段，需要設置適當的權限以防發生黑天鵝事件。

安全公司：UTXO多簽機制可被用于發起對Blockbook的假充值攻擊，請注意排查風險:據官方消息，繼昨日慢霧安全團隊披露的 UTXO 多簽機制可被用于發起對交易所的假充值攻擊之后，慢霧區安全伙伴安全鷺(Safeheron)反饋了新的威脅情報，知名開源中間件 Blockbook (Trezor 開源產品) 也受此特性影響，安全鷺發現 Blockbook 獲取交易數據接口返回結果中對 MultiSig 類型交易展示不完善，如果 output 為 MultiSig 腳本，Blockbook 將會選擇腳本中最后一個地址展示，和普通地址交易無法區分 。如果交易所、錢包客戶端或者其它中心化服務僅根據 Blockbook 返回結果進行入賬判斷，將會造成誤判導致假充值。目前已知可能受此多簽特性影響的代幣有 BTC/LTC/DOGE/BCH/BSV/BHD/CPU/DFI/BTCV/BXC/ZCL，慢霧安全團隊建議相關運營方注意排查風險。[2022/4/8 14:12:53]

安全公司：警惕針對銀行APP和加密錢包的的新型安卓惡意軟件EventBot:總部位于美國的網絡安全公司Cybereason發現了一種針對銀行應用程序和加密貨幣錢包的新型安卓惡意軟件。據Techcrunch報道，這款名為EventBot的惡意軟件看似一個合法的安卓應用程序，但其實濫用了安卓內置的可訪問性功能，以獲取對設備操作系統的深度訪問權限。

一旦被不知情的用戶安裝，或被訪問受害者手機的惡意人士安裝，受感染的應用程序將會竊取200多個銀行和加密貨幣應用程序的密碼，包括貝寶（PayPal）、Coinbase、CapitalOne和匯豐（HSBC）等，并截獲雙因素身份驗證文本信息代碼。有了受害者的密碼和雙因素代碼，黑客可以侵入銀行賬戶、應用程序和錢包，竊取受害者的資金。（The Paypers）[2020/4/30]

聲音 | Imperva安全公司：惡意挖礦者正利用Docker服務器漏洞挖掘Monero:據ethnews消息，網絡安全公司Imperva研究人員發布了一份報告，詳細描述了應用軟件容器制造商Docker服務器中的漏洞，Imperva發現大多數惡意行為都在挖掘Monero。根據Imperva的數據，3822個Docker容器是脆弱的，因為它們的遠程API配置錯誤，其中400個是公開的，并且可以被公眾訪問，獲得訪問權限的大多數惡意挖礦者正在使用這些容器挖掘Monero。[2019/3/6]

Tags：YAMLOCBLOCBLOYAMXBlockiumbloc幣幣幣情AllianceBlock

火星幣