慢霧余弦：Ledger代碼庫攻擊團伙在 ledgerhq/connect-kit 1.1.5版本就已開始篡改

金色財經報道，慢霧創始人余弦在社交媒體上發文表示，從代碼編輯頁面來看，本次 Ledger 代碼庫攻擊團伙在 ledgerhq/connect-kit 1.1.5 版本就開始篡改了，但沒有植入惡意代碼，僅寫入一些嘲諷信息。1.1.6 版本開始植入惡意代碼，但可能有點問題，隨后發布了 1.1.7 帶惡意代碼的版本。最終，黑客留言感謝了前段時間宣布停止服務的網絡釣魚工具包 Inferno Drainer。

其它快訊：

歐易Web3錢包通過慢霧及OKLink安全審計，未將任何私鑰或助記詞上傳服務器:8月18日，OKLink安全審計團隊發布推文稱經過審計，歐易Web3錢包未將用戶的私鑰或助記詞上傳外部服務器。此前，慢霧安全審計也已經發布同樣安全審計結果。據歐易相關負責人介紹，其Web3錢包私鑰或助記詞完全本地加密存儲，只有用戶可以解密，不觸網，無泄漏風險。

據介紹，歐易Web3錢包是最全面的異構多鏈錢包，包含數字貨幣錢包、鏈上交易、NFT 市場、DApp 探索4大板塊。支持30+公鏈、1000+Defi協議。[8/19/2022 8:00:58 PM]

慢霧安全預警：Solana出現惡意合約授權釣魚事件 可轉走用戶全部原生資產:3月5日消息，Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投 NFT (圖 1) ，用戶通過空投 NFT 描述內容里的鏈接 (www_officialsolanarares_net) 進入目標網站，連接錢包(圖 2)，點擊頁面上的“Mint”，出現批準提示框(圖 3)。注意，此時的批準提示框并沒有什么特別提示，當批準后，該錢包里的所有 SOL 都會被轉走。當點擊“批準”時，用戶會和攻擊者部署的惡意合約交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

該惡意合約的功能最終就是發起“SOL Transfer”，將用戶的 SOL 幾乎全部轉走。從鏈上信息來看，該釣魚行為已經持續了幾天，中招者在不斷增加。

提醒：1. 惡意合約在用戶批準(Approve)后，可以轉走用戶的原生資產(這里是 SOL)，這點在以太坊上是不可能的，以太坊的授權釣魚釣不走以太坊的原生資產(ETH)，但可以釣走其上的 Token。于是這里就存在“常識違背”現象，導致用戶容易掉以輕心。

2. Solana 最知名的錢包 Phantom 在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試)，沒有給用戶完備的風險提醒。這非常容易造成安全盲區，導致用戶丟幣。（慢霧區）[3/5/2022 12:21:43 AM]

慢霧安全工程師：安全審計是目前保護DeFi項目安全最高性價比的方式:12月30日，在慢霧科技主辦的Hacking Time區塊鏈安全攻防峰會上，慢霧科技高級安全工程師yudan和Kong根據bZx最早期的兩次閃電貸攻擊案例，介紹了閃電貸基本的攻擊形式——代幣價格操縱，詳細講述了基于價格操縱的閃電貸的防御方案以及在其價格無法被操縱的情況下，如何利用閃電貸另辟蹊徑，通過操縱 LP Token的單價來進行獲利。并通過慢霧被黑檔案庫與大家一起回顧了2020 DeFi被黑事件。

yudan和Kong認為，DeFi安全形勢嚴峻，安全審計是目前保護項目安全最高性價比的方式。在當下DeFi黑暗森林里我們在臨淵而行，需如履薄冰。[12/30/2020 4:04:29 PM]