安全公司：ElasticSwap項目被攻擊，攻擊者共獲利約85.4萬美元

12月13日消息，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，ElasticSwap被攻擊，由于合約中的添加流動性與移除流動性的計算方式不一致，在添加流動性功能中使用常規的恒定K值算法，但在移除流動性功能中直接獲取了當前池子中兩種代幣的余額進行計算,攻擊者首先添加流動性，之后再將一定數量的USDC.E轉入TIC-USDC交易池中，此時計算出應轉給攻擊者的USDC.E數量已經在基礎上乘以了LP代幣數量即數倍，之后攻擊者再調用移除流動性方法獲利22454枚AVAX（約合290,328美元）。同時，以太坊鏈上ElasticSwap下的AMPL-USDC池子也被同樣的手法攻擊，攻擊者獲利約445枚ETH（約合564,000美元），截止目前兩筆獲利資金均存放在攻擊者賬戶。

第一筆攻擊tx：https://snowtrace.io/tx/0x782b2410fcc9449ead554a81f78184b6f9cca89f07ea346bc50cf11887cd9b18；

第一筆攻擊者賬戶：0x25fDe76A52D01c83E31d2d3D5e1d2011ff103c56。

第二筆攻擊tx：https://etherscan.io/tx/0xb36486f032a450782d5d2fac118ea90a6d3b08cac3409d949c59b43bcd6dbb8f；

第二筆攻擊者賬戶：0xbeadedbabed6a353c9caa4894aa7e5f883e32967。

安全公司：超過280個區塊鏈面臨“零日”漏洞的風險，至少價值250億美元:3月14日消息，據網絡安全公司Halborn表示，估計有280個或更多區塊鏈網絡面臨“零日”漏洞利用的風險，這些漏洞可能會使至少價值250億美元的加密貨幣面臨風險。

Halborn概述了三個漏洞，其中“最關鍵”的漏洞允許攻擊者“向各個節點發送精心設計的惡意共識消息，導致每個節點關閉”。它隨著時間的推移添加了這些消息，可能會使區塊鏈暴露于51%的攻擊中，攻擊者控制網絡的大部分挖礦哈希率或質押代幣以制作新版本的區塊鏈或使其離線。其他“零日漏洞”將允許潛在的攻擊者通過發送遠程過程調用 (RPC) 請求來破壞區塊鏈節點。[2023/3/14 13:03:06]

安全公司Unciphered破解OneKey制造的加密硬件錢包:金色財經報道，根據官方公告，安全公司 Unciphered 成功破解了 OneKey 制造的加密硬件錢包，OneKey 是一家總部位于香港的公司，去年籌集了 2000 萬美元。在硬件錢包中，授予對加密資產訪問權限的私鑰離線存儲并受物理設備保護，這使得它們更不容易受到黑客攻擊或盜竊，但是 Unciphered 能夠繞過 OneKey Mini 中的硬件安全機制，該公司成功實施了“中間人”錢包黑客攻擊，它能夠通過利用漏洞從 OneKey Mini 硬件錢包中提取助記種子短語（即私鑰）。

OneKey 承認了該漏洞，表示其硬件團隊已經更新了安全補丁，沒有任何人受到影響，團隊還向 Unciphered 支付了漏洞賞金，以感謝他們對 OneKey 安全性的貢獻。[2023/2/11 12:00:19]

動態 | 捷克安全公司AVAST公布惡意挖礦程序檢測標準:據crypto.watch消息，捷克安全公司AVAST今日發布了“加密貨幣挖礦準則”，該準則將成為AVAST全系列殺軟件判斷網站或軟件中的內置挖礦程序是否存在惡意的標準。若挖礦程序的運行不符合該項準則，便會被視為惡意程序檢出。據此前報道，Avast今年8月曾表示，如果加密貨幣挖礦程序在運行之前得到了用戶許可，那么它應被視作是合法的。[2018/11/2]