慢霧余弦：Tron錢包允許不改變地址做權限/多簽變更可能導致其被惡意利用

金色財經報道，慢霧創始人余弦在社交媒體上發文稱，被惡意多簽是Tron錢包地址較為特別的一點，只有助記詞/私鑰被盜才可能被惡意多簽，此時權限僅掌握在攻擊者手里。攻擊者往往不著急轉走其中資產，因為受害者不一定及時發現自己的錢包地址被惡意多簽了，可能后續還會持續入賬。為什么說Tron錢包地址較為特別，因為其允許不改變地址的前提下做權限/多簽變更。其他類似的還有EOS、以太坊合約多簽/AA等這類地址，都有這種被惡意利用的特性。助記詞/私鑰保管好才是這個問題的關鍵。

其它快訊：

慢霧余弦：Twitter漏洞需要警惕:金色財經報道，慢霧創始人余弦在社交媒體上表示，Twitter這個嚴重漏洞看起來很嚴重，需要警惕，你如果點擊了黑客準備的鏈接，黑客就能完全訪問你的Twitter賬戶，可以發推、轉發、點贊、屏蔽等等，但無法更改用戶密碼。

看上去類似CSRF這類問題，也許還結合了OAuth2認證授權。目前沒任何細節，等官方修復，等后續披露。[2023/12/13 19:06:44]

慢霧余弦：閃電網絡的替換循環攻擊類似MEV的三明治攻擊，需警惕被夾風險:10月22日消息，慢霧創始人余弦在社交媒體上發文表示，閃電網絡出現了替換循環攻擊，與 MEV 里的三明治攻擊有些相似，利用前后夾擊套出被夾目標的資金。

這一攻擊方式的實施并不容易，需要滿足以下條件：

· 在受害者身上打開兩個通道。

· 通過這兩個通道中的其中一個路由付款。

· 成功替換循環受害者的 HTLC-timeouts 在Δ blocks 內。

· 同時，需要確保受害者不會發現 HTLC 預映像交易。

這個風險在被修復之前，使用閃電網絡的項目方在對接上下游建立通道前可以警惕下，最好和有信譽的建立，降低被夾風險，具體情況還需要進一步的測試和驗證。[2023/10/22 17:09:48]

慢霧余弦：沒驗證過的安全機制不是靠譜的安全機制:金色財經報道，慢霧創始人余弦在X平臺（原推特）表示，Vitalik推特號還真是被SIM Swap攻擊了，幾個細節：手機SIM卡是T-Mobile的，這個在暗網可能5K美金就可以做一次SIM Swap攻擊；這個手機號雖然沒拿來做 2FA，但是被用于重置了推特權限，之前他沒意識到還能這樣；他忘記什么時候添加的手機號。

從這可以學習到：沒驗證過的安全機制不是靠譜的安全機制；任何人都有踩坑的時候；人會撒謊，更別提代表人的社交賬號，可能你看到的賬號動態已經不是這個人本身的意愿，一定要保持懷疑且持續驗證，尤其看到一個陌生鏈接。[2023/9/12 11:26:49]