CertiK：移動設備可信執行環境（TEE）存在重大漏洞

金色財經報道，近日，CertiK對配備了基于TEE的專用錢包的設備進行了測試，揭示出移動設備可信執行環境（TEE）的重大漏洞。TEE一直被認為是設備安全的終極防線，它通過在設備內提供錢包設置時的“安全模式”，要求用戶通過PIN碼才能訪問TEE錢包。

然而，CertiK的測試結果顯示，攻擊者能夠輕松提取存儲在TEE中的PIN碼，進而訪問錢包并獲取私鑰，從而成功盜取資產。該測試設備的廠商迅速與CertiK取得聯系，并在最新版本中修復了TEE種子庫的問題。CertiK強調，Web3用戶必須保持高度警惕，謹防安全措施的實施缺陷。在必要時，應該尋求專業的第三方安全審計和技術來保護自己的資產。

其它快訊：

Tracer DAO聯創發起社區提案，擬將協議Token置換為開發平臺Mycelium Token:8月8日消息，Tracer DAO聯合創始人Patrick McNab發起社區提案，擬將協議Token TCR 1：1置換為協議開發平臺Mycelium Token MYC，提案通過后，Mycelium團隊將把所有商業、產品和開發資源投入到Mycelium品牌下的Tracer產品擴展。

Mycelium是Tracer DAO的開發團隊，其業務還包括ChainLink節點運營和開發可編程聲譽服務平臺Reputation DAO等。[8/8/2022 5:13:04 PM]

基于BSC的Arbix Finance協議被CertiK標記為Rug Pull:區塊鏈安全公司CertiK已將基于Binance Smart Chain的流動性挖礦協議Arbix Finance標記為“Rug Pull”（拉地毯）項目。根據CertiK的事件分析，Arbix Finance項目顯示了太多的危險信號。CertiK稱：“ARBX合約只有所有者功能的mint()，1000萬個ARBX代幣被鑄造到了8個地址”。CertiK還確認有450萬個ARBX被鑄造到一個地址，之后“450萬個鑄造的代幣被丟棄。”另一個危險信號是1000萬美元的用戶資金。這筆資金在存入后被定向到未經驗證的池中，黑客最終獲得了所有訪問權限，耗盡了全部1000萬美元的資產。（Coingape）[1/6/2022 11:43:40 PM]

Balancer回應閃電貸攻擊：計劃將通縮代幣添至黑名單:Balancer兩個流動性礦池今晨被爆出遭到閃電貸攻擊，被轉移資產價值約為50萬美元。Balancer官方隨即對此事發布博客進行回應。此次攻擊讓攻擊者從STA和STONK兩個代幣池中獲取資金，遭遇攻擊的兩個代幣均為帶有轉賬費的代幣，也稱通縮代幣。Balancer還還原了此次攻擊的流程，黑客將通過閃電貸從dYdX借出ETH并轉換為WETH，不斷交易WETH和STA，在每筆交易中，STA都需要支付一筆轉賬費，該資金池將會在不收取費用的情況下獲得余額。調用足夠次數后，攻擊者調用gulp()，該操作會將代幣余額的內部池記帳同步到代幣追蹤合約中存儲的實際余額。最后由于STA的余額接近于零，因此其相對于其他代幣的價格非常高，此時攻擊者可使用STA以極低價交換代幣池中的其他資產。由于此類攻擊只限于通縮代幣，Balancer稱下一步會將通縮代幣添加到UI黑名單中。目前Balancer已經通過兩次全面審核，即將開始第三次協議審核。[6/29/2020 12:00:00 AM]