安全公司CertiK提醒已確認NoaSwap由詐騙集團運營

官方消息，安全公司CertiK表示，已確認NoaSwap由負責SheepSwap的同一詐騙集團運行。CertiK提醒用戶保持警惕。

安全公司：惡意npm包試圖竊取Discord令牌:12月10日消息，DevOps安全公司JFrog在npm（Node.js包管理器）存儲庫中發現17個新的惡意軟件包，這些軟件包故意試圖攻擊和竊取用戶的Discord令牌。JFrog安全研究高級主管Shachar Menashe和Andrey Polkovnychenko解釋說，劫持用戶的Discord令牌（用戶憑據）使攻擊者能夠完全控制用戶的賬戶。

Menashe表示，“如果執行得當，這種類型的攻擊會產生嚴重的影響，在這種情況下，公共黑客工具使這種攻擊變得足夠容易，即使是新手黑客也可以執行。我們建議各組織采取預防措施并管理其使用npm進行軟件管理，以降低將惡意代碼引入其應用程序的風險。”

兩人解釋說，這些軟件包的有效負載各不相同，從信息竊取者到完全遠程訪問后門。他們補充說，這些軟件包有不同的感染策略，包括鍵入錯誤、依賴性混淆和特洛伊木馬功能。這些軟件包已經從npm存儲庫中刪除，JFrog安全研究團隊表示，它們“在獲得大量下載之前”就被刪除了。

JFrog指出，由于Discord平臺是一款流行的視頻/語音/文本聊天應用程序，目前已擁有超過3.5億注冊用戶，因此旨在竊取Discord令牌的惡意軟件有所增加。（ZDNet）[2021/12/10 7:31:29]

安全公司：Punk Protocol被黑因其CompoundModel的Initialize函數未做重復初始化檢查:據慢霧區消息，去中心化年金協議 Punk Protocol 在公平啟動的過程中遭遇攻擊，慢霧安全團隊以簡訊形式將攻擊原理分享如下：

1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作，將合約Forge角色設置為攻擊者指定的地址。

2.隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中，以取得抵押憑證cToken。

3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。

4.withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。總結：本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

總結：本次攻擊的根本原因在于其 CompoundModel 的 Initialize 函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換 Forge 角色，最終造成合約管理的資產被盜。[2021/8/12 1:51:06]

InvestDigital智能合約通過區塊鏈安全公司審計 獲贊合約模范:5月30日，InvestDigital正式通過頂級區塊鏈安全技術機構安全審計，其智能合約安全、代碼編寫質量獲得審計團隊高度贊賞，被評值得推薦！近日，一系列EOS高危安全漏洞事件，讓智能合約安全問題重回大眾視野。InvestDigital此次通過審計并獲評優秀，充分顯示了團隊的技術實力和項目潛力！未來，InvestDigital團隊在深耕技術安全的同時，將加快打造數字資產投資生態。[2018/5/30]