Yu Xian, người sáng lập Slow Mist, đã đăng trên mạng xã hội về lỗ hổng Ledger: 1. Vấn đề mô-đun Ledger ledgerhq/connect-kit bị nhiễm độc về cơ bản đã được giảm bớt, nhưng mã độc có thể vẫn được lưu vào bộ nhớ đệm trong trình duyệt. không chắc chắn, Đảm bảo xóa bộ nhớ đệm của trình duyệt (bao gồm bộ nhớ đệm trình duyệt tích hợp của ứng dụng ví bạn đang sử dụng); 2. Người dùng phải kiểm tra kỹ mọi giao dịch trong ví sẽ được ký; 3. Ví Ledger bản thân nó không bị ảnh hưởng 4. Cuộc tấn công chuỗi cung ứng này Các chi tiết rất hấp dẫn và những thợ săn như vậy không phải là hiếm trong khu rừng tối tăm này 5. Tether đã hành động kịp thời và đóng băng lợi nhuận USDT từ việc đánh bắt cá. Trong khi đó, USDC vẫn bị bỏ qua mãi mãi.

Một số ứng dụng dựa trên Ethereum, bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash, đã bị tấn công trước đó vào thứ Năm do lỗi bảo mật trong Ledger. Cuộc tấn công này là do cuộc tấn công chuỗi cung ứng vào Ledger Connect Kit. Không rõ có bao nhiêu ứng dụng phi tập trung (dapps) bị ảnh hưởng hoặc mất bao nhiêu tiền. “Vui lòng không tương tác với bất kỳ dApp nào cho đến khi có thông báo mới,” CTO Matthew Lilley của Sushi viết trên Twitter.

Tin tặc đã đánh cắp 484.000 USD vào thứ Năm sau khi chèn mã độc vào kho lưu trữ Github của Connect Kit, một phần mềm blockchain được sử dụng rộng rãi được duy trì bởi công ty ví tiền điện tử Ledger. Một số giao thức tài chính phi tập trung (DeFi) lớn sử dụng thư viện bị ảnh hưởng và người dùng được cảnh báo không sử dụng các ứng dụng phi tập trung (dApp) cho đến khi các giao thức này được cập nhật. Bộ công cụ kết nối của Ledger là một đoạn mã cho phép các giao thức DeFi kết nối với ví phần cứng tiền điện tử. Lỗ hổng này có khả năng ảnh hưởng đến giao diện người dùng của tất cả các giao thức sử dụng Connect Kit, bao gồm Sushi, Lido, Metamask và Coinbase, cùng nhiều giao thức khác. Mặc dù Ledger đã cập nhật mã riêng nhưng mọi giao thức sử dụng Bộ công cụ kết nối của Ledger đều phải cập nhật thủ công phiên bản thư viện để giảm thiểu rủi ro.

Safe (trước đây là Gnosis Safe) đăng trên nền tảng X rằng lỗ hổng Ledger Connect đã được giải quyết. An ninh đã không bị xâm phạm. Safe không bị ảnh hưởng bởi lỗ hổng này. Ứng dụng bảo mật và chức năng WalletConnect đã được khôi phục và tài khoản của kẻ tấn công đã được gắn cờ và gắn cờ trong giao diện người dùng để tăng cường bảo mật.

Giám sát của công ty bảo mật MetaTrust Alert cho thấy tổng thiệt hại do việc khai thác OKX DEX gây ra hiện đã lên tới 2,7 triệu USD.

Theo tin tức từ Slow Mist Zone, hợp đồng OKX DEX có vấn đề đáng nghi ngờ. Sau khi phân tích Slow Mist, người ta phát hiện ra rằng người dùng sẽ ủy quyền cho hợp đồng TokenApprove khi trao đổi và hợp đồng DEX chuyển mã thông báo của người dùng bằng cách gọi TokenApprove hợp đồng. Hợp đồng DEX có chức năng ClaimTokens cho phép gọi DEX Proxy đáng tin cậy. Chức năng của nó là gọi chức năng ClaimTokens của hợp đồng TokenApprove để chuyển mã thông báo của người dùng được ủy quyền. Proxy DEX đáng tin cậy được quản lý bởi Quản trị viên proxy và Chủ sở hữu quản trị proxy có thể nâng cấp hợp đồng Proxy DEX thông qua Quản trị viên proxy. Chủ sở hữu quản trị proxy đã nâng cấp hợp đồng Proxy DEX lên hợp đồng triển khai mới thông qua Quản trị viên proxy vào lúc 22:23:47 ngày 12 tháng 12 năm 2023. Chức năng hợp đồng triển khai mới là gọi trực tiếp hàm ClaimTokens của hợp đồng DEX để chuyển mã thông báo. Kẻ tấn công sau đó bắt đầu gọi DEX Proxy để đánh cắp token. Chủ quản trị proxy lại nâng cấp hợp đồng vào lúc 2023-12-12 23:53:59, với chức năng tương tự như hợp đồng trước, sau khi nâng cấp xong lại tiếp tục trộm token. Lợi nhuận cho đến nay là khoảng 430.000 U. Cuộc tấn công có thể do rò rỉ khóa riêng của Chủ sở hữu quản trị proxy. Hiện tại, DEX Proxy đã bị xóa khỏi danh sách tin cậy.

Theo tin tức ngày 13 tháng 12, nhà nghiên cứu Samczsun của Paradigm đã đăng tải rằng một lỗ hổng nghiêm trọng đã xuất hiện trên mạng xã hội X (trước đây là Twitter), cho phép tin tặc có toàn quyền truy cập vào tài khoản người dùng chỉ bằng cách nhấp vào một liên kết. Điều này có nghĩa là tin tặc có thể tweet, retweet, like, block, v.v. nhưng không thể thay đổi mật khẩu người dùng. Cho đến khi vấn đề này được giải quyết, để bảo vệ tính bảo mật cho tài khoản của mình, người dùng nên cài đặt trình chặn quảng cáo uBlock Origin để giảm nguy cơ xảy ra các cuộc tấn công như vậy. uBlock Origin là một tiện ích mở rộng trình duyệt hiệu quả giúp chặn các liên kết và quảng cáo độc hại, từ đó cải thiện tính bảo mật trực tuyến của người dùng khi sử dụng các nền tảng xã hội như X.

Yu Xian, người sáng lập SlowMist, cho biết trên mạng xã hội rằng số CVE đã bị trừ khỏi dòng chữ số sê-ri Bitcoin, ban đầu đây là vấn đề gây tranh cãi trong cộng đồng, nhưng bên tranh chấp đã gửi vấn đề lên CVE, một nền tảng dễ bị tổn thương sâu rộng. , NVD (nhiều người cho rằng các cơ quan chính phủ Hoa Kỳ) và các nền tảng dễ bị tổn thương khác cũng áp dụng số CVE, và toàn bộ ngành bảo mật và thậm chí cả ngành CNTT đều công nhận các tiêu chuẩn này. Nhưng có một thực tế khách quan: lỗ hổng CVE không nhất thiết có nghĩa là chúng sẽ hoặc cần phải được sửa chữa, đặc biệt là những lỗ hổng có điểm lỗ hổng thấp, ví dụ dòng chữ số serial Bitcoin đạt 5,3 (trên 10 điểm), nó là mức trung bình. -rủi ro dễ bị tổn thương Nếu chúng ta xem xét chi tiết, có một số chỉ số ảnh hưởng đến điểm cuối cùng, một số trong đó là 0 điểm và chỉ số "tác động" chỉ là 1,4 điểm. Nếu đúng như vậy, việc nó có được sửa chữa hay không sẽ thực sự phụ thuộc vào thái độ của Bitcoin Core. Việc sửa chữa có được thực hiện hay không cũng sẽ phụ thuộc vào thái độ của các nhóm khai thác và những người có ảnh hưởng.

SlowMist công bố báo cáo bảo mật hàng tuần (từ ngày 3 tháng 12 đến ngày 9 tháng 12 năm 2023) trên mạng xã hội. Tổng thiệt hại trong tuần trước là khoảng 1,91 triệu USD. Top 3 về số tiền bị thiệt hại bao gồm: 1.Xai sự kiện lừa đảo: 374 ETH đã bị mất, trị giá khoảng 845.800 USD. 2. Sự cố của lò mổ Zir (DIABLO): thiệt hại 235.705 USD. 3. Lỗ hổng hợp đồng thời gian: thiệt hại 190.000 USD.

Nền tảng bảo mật Web3 Ancilia đăng trên nền tảng X rằng lỗ hổng ERC2771 đang bị kẻ tấn công khai thác trên nhiều mạng, bao gồm Base, BSC, v.v.