慢霧CISO：Telegram官方一個拼寫錯誤導致另一文件格式繞過執行漏洞

4月12日消息，慢霧首席信息安全官（CISO） 23pds 在 X 平臺發文表示，Telegram 官方一個拼寫錯誤，導致的另一個文件格式繞過執行漏洞。請用戶注意更新、注意安全。

其它快訊：

EOS挖礦項目DMD.finance已通過慢霧審計 代碼無已知漏洞:EOS上的質押類挖礦項目DMD.finance已經通過安全公司慢霧審計，綜合評估合約代碼無已知漏洞，目前3個代幣池的合約賬號權限為多簽管理，項目方無法單方面更新合約。目前DMD.finance支持EOS、USDT、OGX、BOX質押挖礦。[9/6/2020 12:00:00 AM]

分析 | 慢霧發布TronBank “假幣攻擊”手法技術分析:TRC10 是 TRON 區塊鏈本身支持的技術代幣標準，沒有 TRON 虛擬機（TVM）。TRC10 提供了 2 個新參數：tokenValue、tokenId，msg.tokenvalue 表示當前 msg 調用中的標記值，默認值為 0。 msg.tokenid 表示當前 msg 調用中的標記 id，默認值為 0。tokenId 也是 Odyssey_v3.2 中的新功能。它可以在帳戶中名為 assetV2 的新地圖字段中找到。 使用 GetAccount（Account）獲取 tokenId 及其值。 TokenId 由系統從數字 1_000_001 開始設置。 創建新的 TRC10 代幣時，數字加 1 并設置此代幣的 ID。

TronBank 合約在 invest 函數內沒有判斷 msg.tokenid 導致任意的代幣(假幣)轉入，合約都以為是真幣 BTT。然后攻擊者再調用 withdraw 從合約中提取真幣 BTT。[4/11/2019 12:00:00 AM]

慢霧安全團隊發布 BEC智能合約無限轉幣漏洞分析及預警:據了解，4月22日13時左右，BEC出現異常交易。慢霧安全團隊第一時間分析發現，BEC智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量轉賬函數存在漏洞，攻擊者可傳入很大的value數值，使cnt*value后超過unit256的最大值使其溢出導致amount變為0。

通過此次分析，慢霧安全團隊建議智能合約開發者在批量轉賬時嚴格校驗轉出總額amount是否大于0，及在for循環內執行balances[msg.sender].sub(value)操作。

這類漏洞屬于不可逆的破壞型漏洞，慢霧安全團隊建議其他智能合約發布方及時自查。[4/23/2018 12:00:00 AM]