Zapper、SushiSwap、Phantom、Balancer、Revoke.cashを含むいくつかのイーサリアムベースのアプリケーションは、木曜日初めにLedgerのセキュリティ上の欠陥により攻撃されました。この攻撃は、Ledger Connect Kit に対するサプライチェーン攻撃によって引き起こされました。どれだけの分散型アプリケーション (dapps) が影響を受けたのか、どれだけの損失が失われたのかは不明です。 Sushiの最高技術責任者（CTO）マシュー・リリー氏は、「追って通知があるまで、いかなるdAppsも操作しないでください」とTwitterに書いた。

ハッカーたちは木曜日、仮想通貨ウォレット会社レッジャーが管理する広く使用されているブロックチェーンソフトウェアであるConnect KitのGithubリポジトリに悪意のあるコードを挿入した後、48万4000ドルを盗んだ。このライブラリを使用するいくつかの主要な分散型金融 (DeFi) プロトコルが影響を受けるため、ユーザーはこれらのプロトコルが更新されるまで分散型アプリケーション (dApp) を使用しないよう警告されています。 Ledger’s Connect Kitは、DeFiプロトコルが暗号ハードウェアウォレットに接続できるようにするコードです。この脆弱性は、Sushi、Lido、Metamask、Coinbase など、Connect Kit を使用するすべてのプロトコルのフロントエンドに影響を与える可能性があります。 Ledger は独自のコードを更新しましたが、リスクを完全に軽減するには、Ledger の Connect Kit を使用するすべてのプロトコルでライブラリのバージョンを手動で更新する必要があります。

Safe (旧 Gnosis Safe) は、Ledger Connect の脆弱性が解決されたと X プラットフォームに投稿しました。セキュリティは侵害されていません。金庫はこの脆弱性の影響を受けません。セキュリティ アプリと WalletConnect の機能が復元され、セキュリティを強化するために攻撃者のアカウントにフラグが立てられ、UI にフラグが立てられました。

セキュリティ会社 MetaTrust Alert による監視によると、OKX DEX エクスプロイトによる被害総額は現在 270 万ドルに達しています。

Slow Mist Zone からのニュースによると、OKX DEX コントラクトに問題がある疑いがあり、Slow Mist を分析した結果、ユーザーが交換時に TokenApprove コントラクトを承認し、DEX コントラクトが TokenApprove を呼び出してユーザー トークンを転送していることが判明しました。契約。 DEX コントラクトには、信頼された DEX プロキシを呼び出すことを可能にするclaimTokens 関数があり、その機能は、TokenApprove コントラクトのclaimTokens 関数を呼び出して、承認されたユーザーのトークンを転送することです。 Trusted DEX プロキシはプロキシ管理者によって管理され、プロキシ管理者オーナーはプロキシ管理者を通じて DEX プロキシ契約をアップグレードできます。プロキシ管理者オーナーは、2023-12-12 22:23:47 にプロキシ管理者を通じて DEX プロキシ コントラクトを新しい実装コントラクトにアップグレードしました。新しい実装コントラクト機能は、DEX コントラクトのclaimTokens 関数を直接呼び出してトークンを転送することです。その後、攻撃者は DEX プロキシを呼び出してトークンを盗み始めました。プロキシ管理者オーナーは、2023-12-12 23:53:59 に、以前と同様の機能を備えたコントラクトを再度アップグレードし、アップグレード後もトークンを盗み続けました。ここまでの利益は約43万Uです。この攻撃は、プロキシ管理者所有者の秘密キーの漏洩が原因である可能性があり、現在、DEX プロキシは信頼できるリストから削除されています。

12 月 13 日のニュースによると、Paradigm の研究者 samczsun 氏は、ソーシャル メディア X (旧 Twitter) に重大な脆弱性が出現し、ハッカーがリンクをクリックするだけでユーザー アカウントへのフル アクセスを取得できると投稿しました。これは、ハッカーがツイート、リツイート、いいね、ブロックなどを行うことはできますが、ユーザーのパスワードを変更することはできないことを意味します。この問題が解決されるまで、アカウントのセキュリティを保護するために、ユーザーは広告ブロッカー uBlock Origin をインストールして、このような攻撃のリスクを軽減することをお勧めします。 uBlock Origin は、悪意のあるリンクや広告をブロックする効果的なブラウザ拡張機能であり、X などのソーシャル プラットフォームを使用する際のユーザーのオンライン セキュリティを向上させます。

SlowMistの創設者であるYu Xian氏はソーシャルメディア上で、ビットコインのシリアル番号の刻印からCVE番号が差し引かれていると述べ、当初はコミュニティで論争になっていたが、係争当事者が広範な脆弱性プラットフォームであるCVEにこの件を提出したと述べた。 、NVD (米国政府機関だと多くの人が言っています) やその他の脆弱性プラットフォームも CVE 番号を採用しており、セキュリティ業界全体、さらには IT 業界さえもこれらの標準を認識しています。しかし、客観的な事実があります: CVE の脆弱性、特に脆弱性スコアが低い脆弱性は、必ずしも修復される、または修復する必要があるというわけではありません。たとえば、ビットコインのシリアル番号の刻印のスコアは 5.3 (10 点中) です。 -リスク脆弱性 詳細を見ると、最終スコアに影響を与える指標がいくつかあり、その中には 0 ポイントのものもあり、「影響」指標はわずか 1.4 ポイントです。そうなった場合、修復されるかどうかは実際にはビットコインコアの態度次第であり、修復が実施されるかどうかはマイニングプールや影響力のある人々の態度にも依存します。

SlowMist は毎週 (2023 年 12 月 3 日から 12 月 9 日まで) セキュリティ レポートをソーシャル メディア上で公開しています。先週の損失総額は約 191 万米ドルでした。被害額のトップ 3 には以下が含まれます: 1.Xai フィッシング イベント: 374約84万5,800米ドル相当のETHが失われた。 2. Abattoir of Zir (DIABLO) クラッシュ: 235,705 ドルの損失。 3. 時間契約の抜け穴: 190,000 ドルの損失。

Web3 セキュリティ プラットフォーム Ancilia は、ERC2771 の脆弱性が Base、BSC などの複数のネットワーク上の攻撃者によって悪用されていると X プラットフォームに投稿しました。

CertiK アラートが公開されました