慢雾余弦：用Trust Wallet浏览器扩展并在去年11月14日至23日期间创建的钱包存在私钥被破解风险

慢雾创始人余弦发推表示，如果用了TrustWallet浏览器扩展且在2022年11月14日至23日期间创建了钱包，那么这个钱包就存在风险。本质原因是当时TrustWallet浏览器扩展使用的MT19937伪随机数生成器没有提供足够的随机性，导致私钥可以被破解。目前TrustWallet已披露该风险，所幸损失小。

慢雾：远程命令执行漏洞CVE-2023-37582在互联网上公开，已出现攻击案例:金色财经报道，据慢雾消息，7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）目前PoC在互联网上公开，已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。漏洞描述：当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]

TrustWallet称，事件发生后，TrustWallet迅速修补了漏洞，所有在这些日期之后创建的地址都是安全的。不过，TrustWallet仍然检测到两起攻击，攻击共造成了约17万美元的损失。对此，TrustWallet将补偿因漏洞导致的黑客攻击而造成的符合条件的损失，并为受影响的用户创建了补偿流程。目前受影响地址剩余的总余额约为8.8万美元。TrustWallet敦促受影响的用户尽快转移资金。避免使用他人提供的地址。

动态 | 慢雾：9 月共发生 12 起较典型的安全事件，供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件，包括：EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外，慢雾区块链威胁情报(BTI)系统监测发现，针对区块链生态的供应链攻击越来越多，形如：去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击，还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入，进行实施盗币攻击。[2019/10/1]

声音 | 慢雾区：目前已知5个LocalBitcoins账户被盗 损失约8个BTC:对于比特币OTC平台LocalBitcoins被黑事件，慢雾安全团队的分析：目前已知5个用户被盗（损失7.95205862 BTC），盗币攻击行为持续37分钟，被攻击的是LocalBitcoins的论坛(forums)，目前已下线，但主页还在持续提供服务。安全团队分析，初步怀疑是论坛出现XSS攻击，被盗币用户的页面触发了恶意JavaScript代码，由于论坛与主页在同一个域下，只要这类攻击触发，是可以比较容易盗走BTC的。LocalBitcoins的安全架构上犯了至少两个错误：第一个是：论坛这种高交互性的页面不应该和主页在同一个域下，应该分离出子域名形式；另一个是：主页相关重要功能模块加载了几个第三方JavaScript模块，只要任意一个第三方被黑或作恶，LocalBitcoins也能轻易被黑。[2019/1/27]

标签：WALLWALWALLETtrustwalletrwallyBlank Walletmathwallet钱包下载地址trustwallet官网最新版

TRX热门资讯