APP:预警：使用他人Apple ID的苹果用户需注意加密钱包安全，某作案团伙已盗取超1000万美金_Phoswap

安全社区DilationEffect发推文称：“近期一些人反馈自己钱包莫名其妙被盗，共同特点是使用iPhone，且没有乱点链接，也没有将助记词保存在手机相册或云服务上，只抄写在了纸上。这些用户百思不得其解。为此经过大量调研和分析，发现了一种很少被人察觉的攻击场景，并且在部分钱包App上复现成功。从AppStore上下载App存在国家或地区的限制，比如账号无法下载一些App，很多用户会购买或使用网上共享的美国AppleID。因为iPhone的备份机制会将手机App数据备份到云端，攻击者使用与你同样的AppleID就可以在他手机上恢复你钱包App数据。加上钱包的本地访问密码并不会设置得很复杂，攻击者轻易进行破解后将你的资产转走。我们在链上追踪被盗资金后发现其背后有成熟的作案团伙，受害用户被盗资金已累计超过1000万美金。”

PeckShield 预警: BinanceGoat 存在高风险:PeckShield“派盾”预警显示，BSC 链上的BinanceGoat 项目存在高风险，请用户谨慎投资其代币 RCZgoat，不要与该项目的任何智能合约进行交互。RCZgoat 合约地址为:0x580ed41be3ad4097BcfB495136Aa48b4322DAF2C。[2021/5/18 22:16:25]

DilationEffect提醒道，1.使用iPhone手机且安装了钱包App的用户，如果你的购买或使用过他人提供的AppleID，请立即停止使用，并马上转移钱包资产。2.此攻击场景已经在部分市面上流行的钱包App上成功复现，呼吁各大钱包厂商重视和排查此问题，积极进行优化，并给用户发布提醒。

动态 | 预警: 警惕EOS主网“交易阻塞攻击”继续蔓延:昨天，区块链安全公司PeckShield发出EOS主网存在致命交易阻塞攻击漏洞高危预警。PeckShield安全人员已经于第一时间（前天）就紧急联系了block.one团队，并同时辅助展开紧急修复(CVE-2019-6199)。不过，由于该攻击原理目前已被攻击者知晓，且我们已经监测有多起EOS竞猜类游戏遭攻击事件发生。PeckShield再次发出预警：1、不同于以往随机数和交易回滚合约层的问题，交易阻塞攻击属于公链底层的漏洞，在问题修复前，必然会进一步蔓延威胁到更多EOS DApps的安全；2、目前EOS竞猜类游戏随机数算法中只要包含账号余额或时间因素就存在被攻击可能，建议广大EOS竞猜游戏务必紧急自查并做相应布控防御措施。3、DAppShield安全盾已经根据攻击特征做全网布控预警，建议广大DApp开发者应及时梳理现有DApp逻辑，随时联系我们或自行去除可控变量如账号余额或时间因素等参与随机数生成，尽可能避免因阻塞攻击造成资产损失。[2019/1/13]

慢雾首席信息安全官对此表示：“其实这个问题的核心点是‘应用没有和设备密码绑定’，这是目前99%的钱包、交易App等都存在的问题，我很长之之前提过，但可能是为了应用设计之初就没有考虑这个问题，导向目标市场上的应用依旧未修复。”

动态 | 慢雾区预警: ETH 存在恶意消耗 Gas 攻击:根据慢雾区情报，慢雾安全团队在 Twitter 上关注到以太坊漏洞问题，通过深入分析发现：如果用户在交易所提币或者通过钱包转账的时候，若没有设置 GasLimit 上限，当接收地址为合约地址的话将会导致恶意 Gas 消耗，慢雾安全团队第一时间通知了服务的交易所和钱包用户并提供了情报和解决方案：

（1）用户提币的时候判断是否是合约地址，如果是合约地址则不允许提币。

（2）转账的时候设置 GasLimit 上限，此处上限需要根据交易所实际业务场景设置如：6 万? - 10 万（推荐值 ETH: 90000 token: 150000）

投资有风险，入市须谨慎。

本资讯不作为投资理财建议。[2018/11/14]

标签：APPPHOPLEHONkucoin交易所app官网下载Phoswapripple币是什么意思Phonon DAO

Uniswap热门资讯