FX168财经网_全球视野外汇黄金加密货币NFT资讯网

【比特日报】出大事了！以太坊创始人遭遇黑客入侵多名用户资金、NFT系列藏品受害

坊的Vitalik，近期苹果设备也出现安全漏洞。公民实验室(Citizen Lab)在上周五发布消息称，在苹果设备上发现两大安全漏洞，警告其中ImageIO漏洞非同小可，主要与Pegasus木马工具所用的零日漏洞有极大关连，即使用户不点击或下载，仍可能在不知情下被入侵。官方紧急推出新版修正，呼吁用户尽快升级为iOS 16.6.1避免面对攻击。延伸阅读：突发！苹果设备发现“两大安全漏洞” 官方紧急推出新版修正：呼吁所有用户尽快更新安全隐患外，加密市场再次传出交易所炒作的利空消息。Bitcoin Magazine首席执行官David Bailey在推特曝光，加密货币投资公司DCG创始人Barry Silbert存在利用客户资金炒作灰度(Grayscale)旗下比特币信托基金GBTC的犯罪行为，并认为后者应该因此进监狱。 (来源:Twitter) 他提到，Barry从DCG已破产的子公司加密货币借贷机构Genesis借走5亿美元以维持GBTC的价格，其中3亿美元的借款发生于2022年5月Terra Luna崩盘期间。另外，Barry在知晓自己无力偿债的情况下，以人为抬高价格的GBTC作为抵押，从Genesis借走超过18000枚比特币，同时告知Genesis，DCG将在11月用GBTC偿还比特币借款。 (来源:Twitter) “在知晓自己无力偿债的情况下，借用客户存款来操纵GBTC的价格，并以此作为抵押品从Genesis借走比特币，这是犯罪行为，”Barry发出强烈的指控。 (来源:Twitter) 比特币技术分析 CoinTelegraph表示，过去几天，比特币交易价格一直在26000美元附近，这表明多头和空头之间存在斗争。向下倾斜的移动平均线表明空头有优势，但相对强弱指数的正背离表明抛售压力正在减轻，这些指标并没有给多头或空头带来明显的优势。因此，最好等待价格维持在26500美元以上，或是跌破24800美元后再进行大额押注。如果多头克服26500美元的障碍，比特币可能会飙升至上方阻力位28143美元。另一方面，跌破24800美元可能会为跌至20000美元扫清道路。 (比特币日线图，来源:CoinTelegraph) 比特币价格一直在4小时图表上的移动平均线附近交易，表明多头和空头都缺乏兴趣。这种窄幅交易不太可能持续很长时间，并可能在未来几天内导致区间扩大。从好的方面来看，反弹至26500美元上方将表明优势已向有利于买家的方向倾斜。这可能会开始上涨至27600美元，最终升至28143美元。或者，如果价格跌破25300美元，抛售可能会加剧，比特币可能会重新测试8月17日盘中低点25166美元。 (比特币4小时图，来源:CoinTelegraph)

小萧2023-09-11

iPhone、iPad用户快更新系统！多大研究人员发现iOS重大安全漏洞！官方紧急修复

学的研究人员宣布发现了iOS系统的重大安全漏洞。苹果公司对此进行紧急修复，现在已经推出了软件更新。 iPhone和iPad的用户现已可以进行系统更新来修复这一安全漏洞。据了解，在加拿大研究人员发现了严重的安全漏洞后，苹果公司发布了新的iPad和iPhone安全软件更新。本周四，多伦多大学蒙克全球事务学院（University of Torontoʼs Munk School of Global Affairs）的公民实验室（Citizen Lab）公布了他们的研究结果。 “上周，在检查总部位于华盛顿特区的一家民间社会组织的国际办事处雇员的设备时，公民实验室发现了一个被主动利用的零点击漏洞，该漏洞被用来传播NSO集团的飞马（Pegasus）雇佣间谍软件。”研究人员表示。 NSO集团是一家以色列网络情报机构，该机构开发了飞马间谍软件，用于感染iphone和Android设备。无需操作就能入侵多伦多大学的公民实验室表示，这里使用的漏洞链是Blastpass，可以在“受害者没有任何互动的情况下”入侵运行iOs 16.6的iPhone。该实验室补充说：“该漏洞涉及从攻击者iMessage帐户发送给受害者的包含恶意图像的PassKit附件。” 苹果公司立即被告知这一发现，其团队迅速制定了修补解决方案。该公司也在更新发布中承认了公民实验室。 “处理恶意制作的图像可能会导致任意代码的执行。”该公司表示，“苹果已经获悉，有报告称，这个问题可能被主动利用了。” 数据全暴露，甚至能录音根据《华盛顿邮报》2021年的一项调查，飞马的工作分为三个步骤：锁定目标、感染、和跟踪。调查报告称：“有人会向智能手机发送所谓的陷阱链接，诱使受害者点击并激活，甚至无需任何输入就自动激活，就像最复杂的‘零点击’黑客一样。” 一旦被感染，间谍软件就会复制手机的功能，它可以通过摄像头和麦克风进行录音，还可以看到你的位置、通话数据和联系人等信息。而这些信息就可以用来追踪受害者并加以利用。系统更新已推出新的系统更新已经发布，解决了 iPhone 8 及后续型号、iPad Pro（所有型号）、iPad Air 第三代及后续型号、iPad 第五代及后续型号、和 iPad mini 第五代及后续型号上的 ImageIO 和 Apple Wallet 漏洞。苹果用户还请尽快更新所有的苹果设备，几分钟的时间就能确保你的数字安全。当然，这也要感谢多伦多大学的研究人员！ ref： https://dailyhive.com/canada/iphone-apple-security-update https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/ https://support.apple.com/en-us/HT213905 https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/ 作者：阿靖

超级生活2023-09-10

突发！苹果设备发现“两大安全漏洞” 官方紧急推出新版修正：呼吁所有用户尽快更新

8日)发布消息称，在苹果设备上发现两大安全漏洞，警告其中ImageIO漏洞非同小可，主要与Pegasus木马工具所用的零日漏洞有极大关连，即使用户不点击或下载，仍可能在不知情下被入侵。官方紧急推出新版修正，呼吁用户尽快升级为iOS 16.6.1避免面对攻击。据公民实验室在推特表示：“我们敦促大家尽快更新其苹果设备，因为发现了一个被积极利用的零点击漏洞和零日漏洞，该漏洞被用来传播以色列网络武器公司NSO Group的飞马间谍软件(Pegasus)。” (来源:Twitter) 根据其发布的报告，该漏洞链称为BLASTPASS，能够在没有受害者任何交互的情况下，入侵运行最新版本iOS 16.6的iPhone手机。该漏洞涉及含有恶意图像的PassKit附件，这些图像从攻击者的iMessage帐户发送给受害者。公民实验室已向苹果披露了其发现，并协助他们进行了调查。苹果针对此漏洞链发布了两个CVE，分别是CVE-2023-41064和CVE-2023-41061。他们呼吁用户立即更新苹果设备，并敦促那些由于自己的身份或工作而面临更大风险的人启用Lockdown模式。苹果的安全工程和架构团队已确认，Lockdown模式可以阻止这种特定攻击。据悉，飞马间谍软件是一款特洛伊木马软件，通过飞马能够监控受害设备所有活动，还能控制麦克风和摄像头的开关。飞马可以在受害者不知情的情况下，解密其加密通信，例如Whatsapp、脸书、Line、微信等应用程序，且不需要借助运营商的协助。 2022年， NSO Group的飞马间谍软件遭到苹果提告，更被谷歌资讯安全团队Project Zero誉为史上最复杂的漏洞之一，其中还使用GIF档案即可造成设备引发资安危机。受到飞马攻击设备，会导致骇客能透过远端监控镜头、麦克风、讯息和电子邮件等敏感信息，并能够获取和搜集用户个人资料。实际上，飞马是在政府和执法机构认可下所开发的软件，通常NSO Group不会将飞马工具出售给普通用户，对于购买飞马软件的实体，大多是进行监控，如2022年7月监控名单共达到5万多笔电话号码，内包含65名企业高层、85位维权人士、189名记者和600多名政治人物与外交官，就连同多国总统也都包含在内。苹果认为NSO Group所研发间谍软体已经滥用和损害使用者隐私，并且在2022年11月23日提告，并永久禁止使用任何苹果软件、装置和服务，还要赔偿逾7万美元，并且被美国当局列为出口管制黑名单。紧急修复问题后，苹果释出的iOS 16.6.1可视为iOS 16.6的安全性修正版本，尽管iOS 16.6.1更新说明并不是很详细，但从苹果安全内容说明页面得知，iOS 16.6.1修复两个主要安全漏洞。 (来源:Apple) iOS 16.6.1更新第一个主要漏洞与ImageIO有关联，这算是iOS系统的图像框架，此漏洞是由多伦多大学蒙克学院公民实验室发现，黑客能透过制作恶意图档进行攻击，当用户开启图片时，将引起系统安全漏洞导致能够执行任意代码，导致受害设备在不知情状态下安装NSO Group飞马间谍软件。第二个修补的漏洞为Wallet钱包应用程式，苹果发现有恶意制作的附件档案会导致Apple Wallet引发漏洞，造成系统能够执行任何代码。以上两个漏洞受影响设备包含iPhone 8或以上设备，更新机型、iPad Pro、iPad Air第3代及更新机型、iPad第5代及更新机型以及iPad mini第5代及更新机型，同时苹果也推送iPadOS 16.6.1、watchOS 9.6.2及macOS 13.5.2更新修正解决ImageIO与钱包漏洞。

小萧2023-09-08

不履行数据安全保护义务，这些公司企业被罚！

在Elasticsearch未授权访问安全漏洞，且未建立健全全流程数据安全管理制度，未落实有效的数据安全防护措施，可致该系统中存储的24万余条业务数据泄露，涉嫌未履行数据安全保护义务。泰州公安机关依据《数据安全法》第45条规定，对该不动产登记中心予以行政警告并责令改正；对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。案例四：盐城某医药公司不履行数据安全保护义务案近期，江苏盐城公安网安部门在对当地某医药公司检查时发现，该公司医疗健康信息的会员管理系统存有大量公民个人信息，经现场检测发现该系统存在网络安全漏洞，且该公司未建立数据安全管理制度，未组织开展数据安全教育培训，也未采取相应技术措施保障数据安全，涉嫌未履行数据安全保护义务。盐城公安机关依据《数据安全法》第45条规定，对该公司予以行政警告并责令限期改正。案例五：南通某科技有限公司不履行数据安全保护义务案近期，江苏南通公安网安部门对当地某科技有限公司检查时发现，该公司对包含生产工艺流程、操作手册、员工个人信息等数据的MySQL数据库（数据量达百万条），未建立数据安全管理制度，也未采取相应技术措施保障数据安全，并且存在使用“弱口令”即可登录平台、访问数据的情况，涉嫌未履行数据安全保护义务。南通公安机关依据《数据安全法》第45条规定，对该公司予以行政警告并责令限期改正。网警提醒医疗、金融、不动产等行业领域重要数据一旦泄露，将会对公共利益、经济运行、个人权益造成重大危害，甚至会影响国家安全和社会稳定。《数据安全法》作为我国首部数据安全领域的基础性立法，以总体国家安全观为立法目标，聚焦数据安全领域的突出问题，建立了数据分级分类、重要数据保护、安全风险评估、监测预警、应急处置、交易管理等基本制度，并明确了相关责任主体的安全保护义务。公安机关将继续紧盯数据安全领域最新动态，加强风险监测、监督检查和行政执法，不断规范各类数据处理活动，完善数据防护技术措施，筑牢数据安全屏障体系，为数字经济发展保驾护航。来源：公安部网安局素材 | 江苏网警

金融界2023-09-06

充满信心地发布您的代币：我们专业的 IDO 代币启动板开发服务

员会预测并解决可能阻碍发布的网络拥塞、安全漏洞和可扩展性问题等挑战。经验丰富的团队能够应对复杂的监管，确保遵守不断变化的标准。他们设计用户友好的界面，鼓励更广泛的参与并指导项目设定现实的目标和策略。专业知识可促进无缝的用户体验，最大限度地降低风险，并最大限度地提高代币成功发行的机会， IDO 后支持和长期承诺 IDO 后支持和长期承诺是全面代币启动板服务的重要方面。除了成功启动之外，项目还需要持续的帮助来驾驭动态的加密货币环境。可靠的启动板提供持续的技术支持，确保智能合约保持安全和功能。解决用户询问、解决问题并适应不断变化的市场趋势对于持续成功至关重要。此外，启动板的承诺还包括通过定期更新、信息丰富的内容和促进参与者之间的互动来促进社区参与。通过为启动后活动提供强大的生态系统，启动板巩固了其对项目增长和长寿的奉献精神，确保代币从开始到成熟的旅程得到良好的支持、动态、 IDO 后保持透明度以及与社区沟通的重要性在 IDO 后保持与社区的透明度和沟通对于建立信任和维持项目成功具有重要意义。透明的沟通使项目开发、里程碑和挑战变得清晰，从而培养包容性和责任感。它展示了该项目对开放性的承诺，这对于保留社区支持至关重要。定期更新技术进步、合作伙伴关系和市场洞察，让参与者了解情况并参与其中，鼓励长期参与。有效的沟通渠道可以及时解决问题、消除谣言并建立一个有弹性的社区。这种对话培养了一批忠诚的追随者，他们为项目的发展投入了精力。通过重视社区的意见、想法和反馈，项目可以适应不断变化的动态，确保其发展符合社区的愿望。在动态的加密货币领域，透明度和沟通是将项目与其支持者联系起来的桥梁，培育建立在相互信任和共同目标基础上的繁荣生态系统。结论在快节奏和竞争激烈的去中心化金融世界中，从概念化代币到看到它在市场上蓬勃发展的过程充满了挑战和机遇。我们对帮助项目进行代币发行之旅的承诺源于对区块链技术变革潜力的深刻信念。借助我们专业的IDO 代币启动板开发服务，您获得的不仅仅是一个服务提供商，您还获得了一个致力于实现您愿景的合作伙伴。当您即将推出代币时，请记住，您今天建立的基础将塑造代币未来的轨迹。我们的技术实力、战略指导和行业洞察力相结合，让您充满信心地应对代币发行的复杂性，并推动您的项目走向成功。拥抱可能性，利用我们专业知识的力量，自信地步入去中心化可能性的世界。您的代币发行之旅从这里开始，与我们一起。来源：金色财经

金色财经2023-09-05

低廉浏览器用户钱包币被盗如何保护账号安全？

件的更新，并及时进行升级，以修复已知的安全漏洞。 4.避免点击不明链接：谨慎访问来自不明来源的链接，尤其是通过电子邮件或社交媒体接收到的链接，以防止钓鱼攻击。 5.使用防病毒软件：为了保护计算机系统的安全，安装并定期更新可信的防病毒软件。 6.学习网络安全知识：加强自身的网络安全意识，了解常见的网络攻击手段和防御措施，以更好地保护自己的数据和钱包。四、其他可选的安全防关联浏览器除了低廉指纹浏览器，还有一些备受关注的防关联浏览器，如MuLogin防关联浏览器，它提供更高级的安全性和隐私保护。 MuLogin防关联浏览器提供真实的浏览器指纹保护。常规浏览器指纹保护通过防止网站读取指纹来保护您的浏览器指纹。MuLogin防关联浏览器与常规浏览器指纹保护不一样。通过MuLogin您可创建一个不同的计算机指纹来替换原始指纹。网站不会被阻止读取您的指纹，当他们读取您的设备指纹时，不会读取您真实详细的信息。 MuLogin在安全性方面，也有多重防护，每个账号都绑定的有独立的IP账号，且数据加密上传，不会导致账号之间产生关联性。可以伪装电脑名称，MAC地址，canvas保护等，从而让店铺和账号数据更安全。新用户可免费领取三天试用。来源：金色财经

金色财经2023-08-30

团队成员监守自盗？PEPE 丢币始末

施的。这些前团队成员趁着多重签名钱包的安全漏洞，秘密地潜回项目，盗取了大量代币。目前来看，被窃取的大部分代币似乎已经在OKX和币安等交易所出售。官方表示，剩余的10万亿代币将被转移到新的钱包中，以确保其安全。有链上分析师追踪到被发送到中心化交易所的资金流向，其中650万美元被发送到币安，820万美元被发送到OKX，43.4万美元被发送到Bybit，另一个地址收到了38.9万美元。这些代币的总量约占PEPE流通供应量的3.8%。然而，并不是所有人都对PEPE团队的指控持相同看法。有人认为，团队开发人员可能使用了多个账户来实施这一盗窃计划。值得注意的是，就在本月25日，PEPE项目多重签名钱包的阈值被突然从5/8更改为2/8。这意味着只需要两个私钥持有者的签名就可以转移团队资产。官方公告解释称，这一变更是由前团队成员完成的，而这些成员早已卷入了盗窃事件。官方进一步解释称，PEPE项目在成立以来一直受到内部纷争的困扰。部分团队成员因自负和贪婪而做出不良行为。此前，这些人曾阻碍团队使用多重签名钱包进行捐赠或代币购买，甚至无法达成一致意见，这影响了项目的进展。 PEPE团队指出，三名前团队成员在8月25日秘密回归，并修改了多重签名阈值，盗取了60%的代币，即16万亿枚PEPE，并将其出售到交易平台上。官方声称，剩余的10万亿代币是安全的，前团队成员无法再访问。团队表示，解决了内部纷争后，未来的前景依然充满希望。团队计划用剩余的代币购买PEPE域名，同时将其他代币销毁。虽然官方已经解释了代币抛售的原因，暂时稳住了一些投资者的情绪，但仍有人对此持怀疑态度。一些投资者继续抛售持有的PEPE代币，表明他们对官方解释仍然持怀疑态度。在此事件之后，PEPE投资者陷入了恐慌。根据CoinMarketCap的数据，PEPE的价格在过去24小时内持续下跌，目前交易价格为0.0000008377美元，总市值为3.28亿美元。团队的抛售行为引发了社区的不满，动摇了投资者对PEPE项目的信心。作为一个meme代币，PEPE因其独特的IP和社区支持而备受关注。然而，此次事件让人们开始质疑草根meme项目的可持续性，尤其是在管理和治理方面的不足。投资者在经历了这一事件后，应更加警惕，谨慎参与。在加密领域，风险和机会并存，选择明智至关重要。来源：金色财经

金色财经2023-08-30

NFTGo 对话 Web3 Builder 第二期——对话慢雾安全团队

独立发现并公布数多起通用高风险的区块链安全漏洞，得到业界的广泛关注与认可。当今区块链安全问题频发，Web3er 也都长期受此困扰。因此第二期对话，我们很高兴的请到慢雾安全团队来给大家分享关于区块链安全的干货，助力大家更有保障的探索链上世界。下面就让我们正式开始吧~ 1、先请给大家介绍一下慢雾吧。答：大家好，慢雾是一家专注于区块链生态安全的公司，我们的区块链生态安全能力是三个环：最内层的是合规安全、第二层是技术安全、第三层是生态安全。技术安全主要包括两块业务主线，安全审计和反洗钱。安全审计内容包括 DeFi 项目的智能合约代码、中心化交易所、钱包 App、浏览器插件钱包，底层公链，并且我们还有红队测试服务，这个是我们优势之一。我们从 2018 年至今 5 年多的时间里，累计服务了行业里众多的知名、头部的客户，已有商业客户上千家，好评率很高。反洗钱这块我们有链上追踪平台 MistTrack。除此之外，还很关注合规安全，合规是这个行业长远发展的重要基石之一，我们针对安全审计或反洗钱合作的目标项目有严格的法务流程。我们深知安全是一个整体，安全保障需要构建完备的安全体系，所以我们从威胁发现到威胁防御上提供了一体化因地制宜的安全解决方案。简单来讲其实是一个类军事上的环形防御体系，分层防御。最外层的威胁发现，即通过慢雾区伙伴和慢雾自有威胁情报系统（这也是我们的生态安全），发现威胁、识别威胁，然后通过媒体渠道发布到整个生态进行预警；威胁防御是指我们的防御体系，从 BTI (区块链威胁情报系统) 到部署因地制宜且体系化的防御方案、实施冷温热钱包安全加固等，为客户精选网络安全、风控安全、钱包安全等领域内的优质安全解决方案提供商，让客户灵活选择、轻松应对业务发展过程中遇到的各种难题，我们希望联合行业优质伙伴及社区一起共同建设安全联防工作。 2、Web3 安全问题总是防不胜防。除去一些如：手抄助记词、注意网站真假的基本法则之外，慢雾对经常交互的 Web3er 有什么安全上建议吗？答：既然问到的是交互上的安全，那我们首先梳理下一般攻击是怎样去盗取用户的资产的。攻击者一般是通过两种方式来盗取用户资产：第一，骗取用户对盗取资产的恶意交易数据进行签名，比如欺骗用户将资产授权或转移给攻击者。第二，骗取用户在恶意网站或者 App 上输入钱包的助记词。我们知道了攻击者是如何盗取钱包资产后就要对可能的风险进行防范：在签名之前要识别签名的数据，知道自己签的交易是做什么的，仔细核查签名的对象是否正确，以及授权的额度是否过大；尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛；各种钓鱼手法和事件层出不穷，用户要学会自行识别各种钓鱼手法，提高安全意识，进行自我教育避免被骗，掌握自救能力，例如关注慢雾等安全公司的媒体动态，实时了解最新的骗局或钓鱼手法。当然，非常推荐大家阅读慢雾出品的《区块链黑暗森林自救手册》，干货满满；建议用户为各类场景维护不同的钱包，让资产的风险处于可控。比如：大额资产一般不会频繁动用，建议放在冷钱包中且使用的时候要确保网络环境，物理环境是安全的。参与空投等活动的钱包由于使用频率较高，建议存放小额资产。通过对不同资产以及使用频率的情况可以对钱包进行分层级管理，从而保证风险是可控的。 3、8.16 那天余弦大佬发了一个很有意思的推特——你们的“Mac 比 Win 电脑更安全”的错觉是从哪里来的？对于 Web3 用户来说，慢雾认为 Mac 和 Win 电脑的优势和劣势分别是什么？答：是的，这条推特也引起了不小的讨论，相反地，我们反过来问 “Win 比 Mac 电脑更安全的错觉是从哪里来的？” 也是类似的角度和答案。单系统防入侵层面，Mac 的封闭性、权限的严格控制确实会比 Windows 好，而且全球 PC 市场份额 Mac 很低，Win 占比很高所以更多攻击发生在 Win，Win 诞生到现在基本各种攻击面都太成熟了。说夸张点，目前做渗透、入侵、APT 的安全人员 99% 都不会针对 Mac 相反，100% 的人都会针对 Win。抛开上面说的，如果拿免杀过的木马来攻击 Mac 和 Win，基本结果一样，都会中招。总的来说，一半是设备，一半是个人，如果用户安全意识不够，就很容易中招导致电脑被植入恶意程序，进而可能导致电脑上的敏感数据（例如助记词）被窃取。恶意软件的行为有许多不同的方式，它可能隐藏在电子邮件附件中，也可能使用设备的摄像头监视。建议大家提升安全意识，例如不要轻易下载并运行网友提供的程序，只从受信任的站点下载应用程序、软件或媒体文件；不要轻易打开来自陌生邮件里的附件；定期更新操作系统，及时获取最新的安全保护；在设备上安装反病毒软件，如卡巴斯基。 4、很多项目出现过“资金库”被盗的情况。慢雾认为导致安全问题的常见原因主要有哪些？监守自盗的可能性大吗？答：根据慢雾区块链被黑事件档案库(SlowMist Hacked) 统计，截至 8 月 24 日，2023 年安全事件共 253 件，损失高达 14.5 亿美元。我们从区块链作恶方式来看，主要有几个方面：钓鱼攻击、木马攻击、算力攻击、智能合约攻击、基础设施攻击、供应链攻击及内部作案。我们拿常见的智能合约攻击来说，存在以下攻击方式：闪电贷攻击、合约漏洞、兼容性或架构问题，还有一些手法：前端恶意攻击以及针对开发人员钓鱼。另外，说到监守自盗，就不得不提到私钥泄露。私钥泄露要分情况，个人和交易所的私钥泄露差异很大。个人的私钥泄露，一般情况是把私钥或者助记词存到了网上，例如放微信收藏、163 邮箱、备忘录、有道笔记等云存储服务。黑客经常会收集网上泄露的账号密码数据库，例如很多年前的 CSDN 明文账号密码，然后去这些云存储、云服务网站上去尝试，安全圈的俗语是叫“撞库”，这是概率性的，如果登录成功了再去里头找有没有 Crypto 相关的内容。交易所的就比较复杂了，一般是大型黑客组织，才有这种能力攻破交易所的层层安全防护，一步步入侵拿到交易所服务器里的热钱包私钥。这里要特别提示下，这是违法行为，千万不要模仿。我们建议项目方一定要尽可能的找安全公司对自己项目的代码进行安全审计，提升项目的安全等级，也可以发布 Bug Bounty 来规避项目在持续运行和发展过程中的安全问题，同时建议各项目方健全内部管理与技术机制，通过引入多签机制、零信任机制等来加大资产保护的力度。 5、跨链桥曾被戏称为：AKA 黑客提款机。对于技术水平比较小白的 Web3er 来说，使用跨链桥时应该注意哪些点呢？答：说到跨链桥，首先跨链桥业务复杂，代码量较大，在进行编码实现时容易出现漏洞；其次，项目中引用的第三方组件安全也是造成安全漏洞的重要原因之一；最后，跨链桥缺乏更大的开发社区意味着代码没有被广泛和仔细地搜索以发现潜在的 Bug。对用户来说，使用跨链桥时重要的是要了解你的资金是如何被保护起来的，可以从一些维度上去看跨链桥的风险水平，例如：项目合约是否开源？项目是否有多方安全审计？私钥的管理方案是 MPC 多方计算？还是多节点多签？还是由项目方统一保管私钥？用户在选择跨链桥时也应该选择那些安全实力较强的跨链团队，首先要有所有版本的代码安全审计，其次团队要有专职的安全人员，我们也建议跨链桥相关团队能运营的更透明些，这样才能更多地接收到用户的质疑和建议，及时查缺补漏。 6、除了一些常见的 Scam 和 Phishing，慢雾能例举一些比较不常见、让人防不胜防的案例吗？答：我们之前有披露攻击者利用 Web3 钱包的 WalletConncet 实现上的缺陷提高钓鱼攻击成功率的事件。具体来说，部分 Web3 钱包提供 WalletConncet 支持的时候，没有限制 WalletConncet 的交易弹窗要在哪个区域弹出，而是会在钱包的任意界面弹出签名请求，攻击者利用这个缺陷，通过钓鱼网站引导用户使用 WalletConncet 与钓鱼页面连接，然后不断的构造恶意的 eth_sign 签名请求。用户识别到 eth_sign 可能不安全并且拒绝签名后，由于 WalletConncet 采用 wss 的方式进行连接，如果用户没有及时关闭连接，钓鱼页面会不断的发起构造恶意的 eth_sign 签名请求，用户在使用钱包的时候有很大的可能会错误的点击签署按钮，导致用户的资产被盗。其实只要离开或关闭 DApp Browser，WalletConncet 连接就应该暂停。否则用户在使用钱包时，突然跳出一个签名，很容易混乱导致出现被盗风险。说的这里，我再提一下 eth_sign。eth_sign 是一种开放式的签名方法，最近两年常常被攻击者用于钓鱼，它允许对任意 Hash，也就是可以对任何交易或任何数据进行签名，会构成危险的网络钓鱼风险。大家在签名或登录的时候应该仔细检查正在使用的应用程序或网站，也不要在不太明确的情况下输入密码或签署交易，拒绝盲签可以避免很多的安全风险。 7、想听一听慢雾从事区块链安全这么多年来，遇到过最深刻的安全事件是什么？答：近两三年印象深刻的是 2021 年发生的 Poly Network 事件。在攻击事件发生第一时间 8 月 10 日晚上 20 点多，我们保持高度关注，一直在分析攻击过程、追踪资金流向、统计被盗损失等等，有点在前线的感觉。而且损失 6.1 亿美元，在当时看来算是攻击事件里损失特别特别大的了。我们团队在 11 日凌晨 5 点多的时候第一时间发布了本次攻击事件的分析情况以及我们已发现攻击者的 IP 身份信息等等的内容，11 日下午 16 点多，黑客在重重压力下，开始归还资产。后续黑客在链上的一些言论也是比较“有趣”，整个过程下来是非常有作为一家安全公司的成就感的。 8、最后问个有趣的问题。形式化验证、AI 审计等新技术持续迭代，请问慢雾如何看待新技术的发展? 答：说到新技术，比如 ChatGPT 提高对传统文字的工作效率，比如 CodeGPT 提高代码编写效率。我们内部之前也有使用历史上常见的漏洞代码作为测试用例，去验证 GPT 对基础漏洞的检测能力。测试结果发现 GPT 模型对简单的漏洞代码块的检测能力还是不错的，但是对稍微复杂一点的漏洞代码暂时还无法检测，并且在测试中可以看到 GPT-4(Web) 的整体上下文可读性很高，输出格式比较清晰。GPT 对合约代码中基础的简单的漏洞具备部分检测能力，并且在检测出漏洞后会以很高的可读性来解释漏洞问题，这样的特性比较适合为初级合约审计工作者前期训练提供快速指导和简单答疑。但也有一些缺点：比如 GPT 对每次对话的输出存在一定的波动，可以通过 API 接口参数进行调整，但是依旧不是恒定的输出，虽然这样的波动性对语言对话来说是好的方式，大但是这对代码分析类的工作来说是一个不好的问题。因为为了覆盖 AI 可能告知我们的多种漏洞回答，我们需要多次请求同一问题并进行对比筛选，这无形中又提高了工作量，违背了 AI 辅助人类提高效率的基准目标。再者，对稍微复杂的漏洞进行检测即会发现当前的（2024.3.16）训练模型不能正确的分析并找到相关关键漏洞点。虽然当前来看 GPT 对合约漏洞的分析及挖掘能力还处于相对较弱的状态，但它对普通漏洞小代码块的分析并生成报告文本的能力依旧让使用者兴奋，在可预见的未来几年伴随这 GPT 及其他 AI 模型的训练开发，相信对大型复杂合约的更快速，更智能，更全面的辅助审计一定会实现。结语十分感谢慢雾安全团队的回答。有光的地方就有阴影，区块链这个行业也不例外；但正是由于慢雾科技等区块链安全公司的存在，才能使得阴影处也能有微光照进。相信随着发展，区块链行业也会愈加规范，也十分期待慢雾科技未来的发展~ 之后 NFTGo 会持续邀请 Web3 Builder 进行专访对话，也欢迎大家关注我们的中文推特：@NFTGoCN 对我们保持关注。大家有任何建议、想看到的 Builder 、想问的问题、或是想要毛遂自荐都欢迎前往我们推特评论或 DM。下一期对话 Web3 Builder，我们不见不散~ 来源：金色财经

金色财经2023-08-29

Meta发布Code Llama：开源AI代码生成模型

工具的工程师更有可能在其应用程序中引入安全漏洞。此外，一些代码生成模型可能会在受版权保护或受限制的许可下进行训练，可能引发知识产权问题。还有黑客试图将开源代码生成器用于编写恶意代码的风险。 Code Llama已经在Meta内部进行了红队部署，但尽管如此，它仍然可能会在一些情况下产生不准确或令人反感的响应。Meta坦承，Code Llama在某些情况下可能会出错，因此在将其部署到应用程序中之前，开发人员需要对其进行安全测试和调整。虽然存在风险，但Meta对于Code Llama的部署设置了相对宽松的限制。开发人员只需同意不将模型用于恶意目的，并且在将其部署在超过7亿月活跃用户的平台上时，需要申请许可证。 Code Llama的开源发布旨在为各领域的软件工程师提供支持，包括研究、工业、开源项目、非政府组织和企业。Meta希望这一举措能够激发其他人利用Llama 2创建新的创新工具，为研究和商业产品开发提供更多的支持。总的来说，Meta的Code Llama代表了人工智能领域的一项重要进展，将代码生成的能力推向了一个新的高度。尽管存在一些潜在的风险和挑战，但随着技术的不断发展，我们可以期待看到更多创新和解决方案的出现，以更好地满足开发人员和用户的需求。声明：本文来自潮外音创作者，内容仅代表作者观点和立场，且不构成任何投资建议，请谨慎对待，如文章/素材有侵权，请联系官方客服处理。来源：金色财经

金色财经2023-08-29

HashKey加密货币交易所：开启数字资产新纪元的香港之举

合作。由于山寨币黑客攻击或资产滥用等安全漏洞，投资者面临着因不受监管的交易所而遭受潜在损失的风险。因此，当世界关注香港的加密货币举措时，该地区将创新与安全相结合的决心也显而易见。HashKey交易所的推出展示了香港适应金融数字化未来的能力和远见。来源：金色财经

金色财经2023-08-29

24小时热点