EDG:安全研究人員質疑DAO Maker官方回應被攻擊聲明，稱審計內容針對不相關合約

巴比特訊，9月4日，安全研究人員MuditGupta質疑DAOMaker官方回應被攻擊的內容，MuditGupta表示，DaoMaker聲稱他們接受了3家公司的審計，但其查看審計發現，2個審計是似乎是針對不相關的合約，第三個來自CertiK的審計指向死鏈接。MuditGupta希望得到DAOMaker和CertiK的澄清。此外，MuditGupta表示，希望智能合約在Etherscan上公開/驗證，漏洞應該一個審計就能發現，何況有三個審計，所有信息都表明攻擊者技術水平不高。但是，合約的源代碼并未公開。需要深厚的技術知識才能在沒有源代碼的情況下找到此漏洞。MuditGupta稱希望知道攻擊者是如何知道這個漏洞的。攻擊者地址由Tornado資助，MuditGupta詢問1inch和MetaMask是否有關于攻擊者的任何信息。

ForTube 披露兩周前由安全研究人員發現的漏洞，未造成實際損失:2月22日消息，獨立安全研究員 samczsun 披露了一個兩周前在去中心化借貸協議 ForTube 中發現的安全漏洞，在 Tina Zhen 的幫助下，他從 ForTube 的漏洞中拯救了超過 1300 萬美元的用戶資產，避免了被攻擊者盜取。ForTube 團隊稱對合約資產和審計數據進行全面檢查后，沒有用戶因漏洞而造成損失，后續將對智能合約代碼進行嚴格全面的檢查，防止此類漏洞再次發生。[2021/2/22 17:40:10]

此前消息，DAOMaker的Vesting合約遭到黑客攻擊，攻擊者最終獲利近400萬美金。DAOMaker官方表示，其申領門戶網站由三家公司審計。將停止所有涉及客戶和客戶資產托管的智能合約操作。將使用類似于Polkastarter和大多數其他launchpad的方式，只提供代幣發行，而不提供任何形式的質押、門戶或橋。此外，DAOMaker正在市場上獲取代幣，以確保SHO參與者在未來發布中獲得代幣，以及支持今天受影響的項目。受影響項目的代幣價格大多已恢復到黑客攻擊前的水平。

安全研究人員披露Ledger簽名安全漏洞 漏洞或導致用戶資金被盜:安全研究人員Monokh撰文披露加密貨幣錢包Ledger硬件錢包存在的安全漏洞。Monokh指出，該漏洞可能導致用戶資金被盜。Ledger會在除比特幣之外的應用程序上公開比特幣（主網）密鑰和簽名信息，會提供誤導性的交易確認請求。以比特幣和萊特幣應用程序為例，漏洞攻擊路徑為：1.打開萊特幣應用程序；2.獲取比特幣隔離見證地址；3.根據地址查看UTXOs；4.發起比特幣交易并發送給Ledger設備要求簽名；5.得到有效的已簽名比特幣交易信息。Ledger本應在上述第二、第四步驟中識別錯誤并對其進行阻止，但仍然提示用戶進行交易。所有固件版本和App版本均受到此漏洞影響。Monokh建議Ledger在實時應用程序目錄上禁用山寨幣（Altcoin）應用程序，直至發布修補程序。根據漏洞披露進程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露與隱私相關的安全漏洞，隨后，Ledger更新了固件但未對應用程序進行更新，并表示在更新應用程序后將立即公開漏洞。2019年4月份，Monokh再次聯系Ledger要求更新應用程序，但未得到反饋。今年5月份，Monokh將該漏洞的根本原因在簽名功能方面，這可能會導致用戶資金被盜。此后，Ledger稱正在調查該漏洞。之后Monokh多次聯系Ledger并要求披露漏洞并對其進行修復，但未得到回應，Ledger也沒有修復或披露相關漏洞。[2020/8/5]

聲音 | 網絡安全研究員：人們還不太習慣應對加密挖礦攻擊:據Pymnts消息，Awake Security的研究員Troy Kent 本月早些時候在紐約InfoSecurity北美會議上發表了他的研究結果。他表示，黑客通過加密挖礦工具進行網絡攻擊，盡管這是一種類似于僵尸網絡或特洛伊木馬那樣的合法威脅，但人們還是不習慣應對這種攻擊方式。另外， 他建議公司需要實現基于行為和分析的更先進的檢測方法。[2018/12/3]

Tags：LEDDGEEDGGERLEDU價格Energy LedgerHEDGNerv Ledger

火幣APP