慢霧余弦：Tron錢包允許不改變地址做權限/多簽變更可能導致其被惡意利用

金色財經報道，慢霧創始人余弦在社交媒體上發文稱，被惡意多簽是Tron錢包地址較為特別的一點，只有助記詞/私鑰被盜才可能被惡意多簽，此時權限僅掌握在攻擊者手里。攻擊者往往不著急轉走其中資產，因為受害者不一定及時發現自己的錢包地址被惡意多簽了，可能后續還會持續入賬。為什么說Tron錢包地址較為特別，因為其允許不改變地址的前提下做權限/多簽變更。其他類似的還有EOS、以太坊合約多簽/AA等這類地址，都有這種被惡意利用的特性。助記詞/私鑰保管好才是這個問題的關鍵。

其它快訊：

聲音 | 慢霧創始人：因相關細節被“不負責任”地公布，門羅幣緊急發布修復版本:區塊鏈安全公司慢霧創始人余弦在微博稱，由于Ledger硬件錢包門羅幣的一起“丟幣”事故，Ledger警告稱不要和門羅幣客戶端v0.14一起使用Monero Ledger HW應用程序（或Ledger Nano S），可能會引起“丟幣”事故，門羅幣官方轉發了這條消息。而這之前門羅幣官方緊急發布了最新的修復版本v0.14.0.1，解決了在Coinbase 交易中RingCT輸出的錯誤處理問題，正是這個導致了“丟幣”事故。之所以是緊急修復是因為漏洞相關細節已經被“不負責任”地公布了。余弦表示，有相關猜測稱，這是一個匿名貨幣小幣種嘲諷地披露了門羅幣“假充值”漏洞細節，解釋說是因為門羅幣對漏洞研究者一直很傲慢。這導致門羅幣提前發布了補丁。接入門羅幣的相關交易所和錢包盡快修復了漏洞。[3/7/2019 12:00:00 AM]

聲音 | 慢霧預警：Fastwin再次被攻破，攻擊者獲利2000多枚EOS:根據慢霧威脅情報系統捕獲，今日（1月31日）凌晨前后，知名競技類EOS DApp Fastwin再次被攻破，攻擊者獲利2000多枚EOS，攻擊者是此前攻擊 BETX 的同一批賬號。慢霧安全團隊提醒類似項目方全方面做好合約安全審計并加強風控策略，攻擊者們已經開啟了狩獵攻擊模式。[1/31/2019 12:00:00 AM]

動態 | 慢霧澄清：EOS 賬戶 crazycapital 并未攻擊DApp:今日慢霧發消息稱EOS 賬戶 crazycapital 疑似在同時攻擊數個游戲 DApp，賬戶 EOS 余額飛速增長，游戲勝率驚人的高。 隨后慢霧安全團隊更新了動態，表示 crazycapital 的行為不是攻擊而是大戶賬號瘋狂玩 dice ，可以解除攻擊預警。對此慢霧團隊表示感謝各位配合應急，雖然此事屬于烏龍事件但是這種突然的異常還是要保持警惕。[12/6/2018 12:00:00 AM]