安全公司Dedaub因披露Uniswap重入漏洞獲得4萬美元漏洞賞金

1月3日消息，安全公司 Dedaub 團隊宣布獲得 Uniswap Labs 的 4 萬枚 USDC 安全漏洞賞金，因為其披露 Uniswap 的一個嚴重漏洞，該漏洞有重入并耗盡用戶的資金的可能性。不過，Uniswap 團隊已解決該漏洞并在所有鏈上重新部署了 Universal Router 智能合約，資金是安全的。

Uniswap 在 2022 年 11 月份發布通用路由器Universal Router智能合約，可將 ERC20 和 NFT 兌換統一到一個交換路由器中，用戶可以執行異構操作，例如，在一筆交易中交換多個 Token 和 NFT。

Dedaub 表示，該路由器為各種 Token 操作嵌入了腳本語言，此類命令可能包括向第三方（可能不受信任的）接收人的傳輸。如果在傳輸過程中的任何時候調用第三方代碼，該代碼可以重新進入 UniversalRouter 并在合約中臨時認領任何 Token。Dedaub 建議 Uniswap 為新路由器的核心執行添加一個重入鎖，并重新部署。

OneKey已修復安全公司Unciphered披露的潛在漏洞:據官方消息，今年早些時候，OneKey在收到網絡安全初創公司Unciphered的披露后，迅速修復了一個潛在漏洞，沒有任何用戶受到到任何損失。這個潛在漏洞需要本地物理拆解、修改電路，并使用專業FPGA設備方可嘗試，無法遠程實施。OneKey安全團隊表示，雖然事小，依然會嚴肅對待，不放過任何潛在風險。

據悉，OneKey每年會定期發布若干安全固件，持續加固硬件錢包，并保持開源透明，與行業頂尖白帽工程師合作，為用戶提供最高水準的安全軟硬件服務。[2023/2/11 12:00:27]

聲音 | 安全公司PeckShield：Fomo3D游戲存在“薅羊毛”安全漏洞:近日，備受關注的Fomo3D游戲團隊核心成員聲稱，發現了一個足以毀滅以太坊的“核武器”級別漏洞。以太坊基金會開發團隊負責人之一Péter Szilágyi在Twitter回復這只是一種符合規范的實現，并非Fomo3D開發者所聲稱的EVM缺陷；是Fomo3D對該特性的誤用導致合約的空投機制出現一個可被“薅羊毛”的安全漏洞。

PeckShield安全研究人員已經確認了該漏洞的存在。具體而言：Fomo3D游戲存在一個隨機性的空投機制，用戶有較小概率獲得官方的空投獎勵。攻擊者可通過一定的技術手段提高事件的發生概率，進而通過操作獲得空投。目前，影響范圍已經從Fomo3D擴散至多個具有相似源代碼的同類游戲，提醒廣大用戶和開發者警惕此種攻擊行為。[2018/7/24]

金色獨家|CertiK聯合創始人:只爆漏洞不是安全公司核心價值 既要盈利也要踐行社會責任:金色財經現場報道，在6月27日在圣何塞會議中心舉行的Blockchain Connect會議上，CertiK聯合創始人顧榮輝接受金色財經專訪中談到區塊鏈安全問題，他說：安全公司應該考慮既能保持盈利，也能履行社會責任。當前區塊鏈安全問題不僅來自合約層，在公鏈、交易所也普遍存在。僅僅爆出漏洞不能真正解決不安全的現狀，而更多的是為了給安全公司帶來名氣。安全公司應該幫助公鏈、交易所、智能合約層把BUG排除掉，用技術驗證的形式，證明代碼真正處于安全狀態，以此增加區塊鏈項目價值，踐行安全公司的社會責任。顧榮輝進一步解釋了CertiK研發的“形式化驗證”技術：取代傳統測試、代碼審計的方法，用數學的方法證明代碼模型與設計模型相匹配，從而確保區塊鏈安全。[2018/6/28]