OIN:慢雾：警惕 Tampermonkey 扩展的恶意 JavaScript 插件劫持盗币攻击_AscendEX交易所app下载

链闻消息，据慢雾区情报反馈，有人在LocalBitcoins进行交易时，被诱使用了一段所谓增强的JavaScript插件导致被盗比特币，该JavaScript插件可以在浏览器知名扩展Tampermonkey上方便使用。一旦使用，该恶意JavaScript即可篡改用户在LocalBitcoins上的比特币地址，达到劫持盗币攻击的目的。这段恶意JavaScript代码进行了多层加密与加花处理，肉眼看不出恶意行为，通过xssor.io进行解密后可以清晰看到「劫持盗币」的核心代码：document("bitcoin-addressbitcoin-address-controls")="1Ak8db781gfM3QutGwFsKuZg7YeUEoCvPw。

Slope回应：未在集中式服务器上存储个人数据，仍在调查具体原因:8月4日消息，针对Solana生态钱包大规模攻击事件，Slope发布公告称，根据目前了解的情况，很多Slope钱包遭到入侵，Slope许多员工和创始人的钱包也被盗了。Slope关于攻击事件起因有一些假设，但尚未确定。Slope正在积极开展内部调查和审计，与顶级外部安全和审计团队合作；正与整个生态系统中的开发人员、安全专家和协议合作，努力识别和纠正这些问题。

Slope建议所有用户采取以下措施：创建一个新的、独立的种子短语钱包，并将所有资产转移到新钱包。同样，不建议在新钱包上使用与Slope上相同的种子短语。硬件钱包仍然是安全的。

此外，Slope的公告没有说明是否可能与私钥存储问题有关。一位Slope代表告诉CoinDesk，“我们不会在集中式服务器上存储任何个人数据。”

据此前报道，Solana?Labs首席执行官Anatoly Yakovenko最初在推特上表示，他怀疑该漏洞可能与Apple iOS供应链攻击有关，但后来将源头缩小到对Slope集中式服务器的黑客攻击，其中私钥似乎以纯文本形式存储。Twitter 上的其他开发人员也推测，Slope将私钥以明文形式存储在集中式服务器上，而攻击者已将其破坏。（CoinDesk）[2022/8/4 2:57:58]

联通数藏首发《铁流东进》主题数字藏品:金色财经消息，中国联通携手中国国家话剧院联合推出《铁流东进》话剧主题数字文化藏品。《铁流东进》数字藏品发行2款，每款发售各8000份，共计16000份。数字舞台收藏品发行时间为7月28日星期四18:00，限量版收藏短片为7月29日星期五18:00，发行价格为每份25元。[2022/7/26 2:37:37]

声音 | 慢雾：采用链上随机数方案的 DApp 需紧急暂停:根据近期针对EOS DApp遭遇“交易排挤攻击”的持续性威胁情报监测：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陆续被攻破，该攻击团伙（floatingsnow等）的攻击行为还在持续。在EOS主网从根本上解决这类缺陷之前，慢雾建议所有采用链上随机数方案的DAPP紧急暂停并做好风控机制升级。为了安全起见，强烈建议所有竞技类DAPP采用EOS官方很早就推荐的链下随机种子的随机数生成方案[2019/1/16]

标签：OINAVAASCCOINbitcoinClean$AVATAR币AscendEX交易所app下载coinbase官方下载

火币APP下载热门资讯