Yu Xian ผู้ก่อตั้ง Slow Mist โพสต์บนโซเชียลมีเดียเกี่ยวกับช่องโหว่ของ Ledger: 1. ปัญหาของโมดูล Ledger ledgerhq/connect-kit ที่ถูกวางยานั้นได้รับการบรรเทาลงโดยทั่วไปแล้ว แต่รหัสที่วางยาพิษอาจยังคงถูกแคชไว้ในเบราว์เซอร์ ถ้า ไม่แน่นอน โปรดแน่ใจว่าได้ล้างแคชของเบราว์เซอร์แล้ว (รวมถึงแคชเบราว์เซอร์ในตัวของแอพกระเป๋าเงินที่คุณใช้อยู่) 2. ผู้ใช้จะต้องตรวจสอบทุกธุรกรรมในกระเป๋าเงินอีกครั้งเพื่อลงนาม 3. กระเป๋าเงิน Ledger ตัวเองไม่ได้รับผลกระทบ 4. การโจมตีห่วงโซ่อุปทานนี้รายละเอียดน่าสนใจมากและนักล่าดังกล่าวไม่ได้หายากในป่ามืดแห่งนี้ 5. Tether ดำเนินการทันเวลาและแช่แข็งกำไร USDT จากการตกปลา ในการเปรียบเทียบ USDC ยังคงถูกเพิกเฉย เช่นเคย

แอปพลิเคชั่นที่ใช้ Ethereum จำนวนมาก รวมถึง Zapper, SushiSwap, Phantom, Balancer และ Revoid.cash ถูกโจมตีเมื่อวันพฤหัสบดีเนื่องจากข้อบกพร่องด้านความปลอดภัยใน Ledger การโจมตีนี้เกิดจากการโจมตีของซัพพลายเชนบน Ledger Connect Kit ยังไม่ชัดเจนว่าแอปพลิเคชั่นกระจายอำนาจ (dapps) ได้รับผลกระทบจำนวนเท่าใด หรือสูญเสียเงินไปเท่าใด “โปรดอย่าโต้ตอบกับ dApps ใด ๆ จนกว่าจะมีประกาศเพิ่มเติม” Matthew Lilley CTO ของ Sushi เขียนบน Twitter

แฮกเกอร์ขโมยเงิน 484,000 ดอลลาร์ในวันพฤหัสบดีหลังจากแทรกโค้ดที่เป็นอันตรายลงในที่เก็บ Github ของ Connect Kit ซึ่งเป็นซอฟต์แวร์บล็อคเชนที่ใช้กันอย่างแพร่หลายซึ่งดูแลโดยบริษัทกระเป๋าเงินคริปโต Ledger โปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) ที่สำคัญหลายตัวที่ใช้ไลบรารีได้รับผลกระทบ และผู้ใช้จะได้รับคำเตือนว่าอย่าใช้แอปพลิเคชันแบบกระจายอำนาจ (dApps) จนกว่าโปรโตคอลเหล่านี้จะได้รับการอัปเดต Connect Kit ของ Ledger เป็นโค้ดชิ้นหนึ่งที่อนุญาตให้โปรโตคอล DeFi เชื่อมต่อกับกระเป๋าเงินฮาร์ดแวร์เข้ารหัสลับ ช่องโหว่นี้อาจส่งผลกระทบต่อส่วนหน้าของโปรโตคอลทั้งหมดที่ใช้ Connect Kit รวมถึง Sushi, Lido, Metamask และ Coinbase และอื่นๆ อีกมากมาย ในขณะที่ Ledger ได้อัปเดตโค้ดของตัวเองแล้ว ทุกโปรโตคอลที่ใช้ Connect Kit ของ Ledger จะต้องอัปเดตเวอร์ชันของไลบรารีด้วยตนเองเพื่อลดความเสี่ยงอย่างเต็มที่

ปลอดภัย (เดิมคือ Gnosis Safe) โพสต์บนแพลตฟอร์ม X ว่าช่องโหว่ Ledger Connect ได้รับการแก้ไขแล้ว ความปลอดภัยยังไม่ถูกบุกรุก ปลอดภัยไม่ได้รับผลกระทบจากช่องโหว่นี้ ฟังก์ชันแอปความปลอดภัยและ WalletConnect ได้รับการกู้คืนแล้ว และบัญชีของผู้โจมตีได้รับการติดธงและติดธงใน UI เพื่อเพิ่มความปลอดภัย

การตรวจสอบโดยบริษัทรักษาความปลอดภัย MetaTrust Alert แสดงให้เห็นว่าความเสียหายรวมที่เกิดจากการใช้ประโยชน์จาก OKX DEX มีมูลค่าถึง 2.7 ล้านดอลลาร์แล้ว

ตามข่าวจาก Slow Mist Zone มีปัญหาที่น่าสงสัยกับสัญญา OKX DEX หลังจากการวิเคราะห์ Slow Mist พบว่าผู้ใช้จะอนุญาตสัญญา TokenApprove เมื่อทำการแลกเปลี่ยน และสัญญา DEX จะโอนโทเค็นผู้ใช้โดยการเรียก TokenApprove สัญญา. สัญญา DEX มีฟังก์ชันการเคลมโทเค็นที่อนุญาตให้เรียกใช้ DEX Proxy ที่เชื่อถือได้ ฟังก์ชันคือการเรียกใช้ฟังก์ชันการเคลมโทเค็นของสัญญา TokenApprove เพื่อถ่ายโอนโทเค็นของผู้ใช้ที่ได้รับอนุญาต Trusted DEX Proxy ได้รับการจัดการโดย Proxy Admin และ Proxy Admin Owner สามารถอัปเกรดสัญญา DEX Proxy ผ่านทาง Proxy Admin ได้ เจ้าของ Proxy Admin อัปเกรดสัญญา DEX Proxy เป็นสัญญาการใช้งานใหม่ผ่าน Proxy Admin เมื่อ 12-12-2566 เวลา 22:23:47 น. ฟังก์ชันสัญญาการใช้งานใหม่คือการเรียกใช้ฟังก์ชัน ClaimTokens ของสัญญา DEX โดยตรงเพื่อถ่ายโอนโทเค็น ผู้โจมตีเริ่มเรียก DEX Proxy เพื่อขโมยโทเค็น เจ้าของ Proxy Admin อัปเกรดสัญญาอีกครั้งเมื่อ 2023-12-12 23:53:59 โดยมีฟังก์ชันคล้ายกับสัญญาก่อนหน้า หลังจากอัปเกรด เขายังคงขโมยโทเค็นต่อไป กำไรจนถึงตอนนี้อยู่ที่ประมาณ 430,000 U. การโจมตีอาจเกิดจากการรั่วไหลของรหัสส่วนตัวของเจ้าของพร็อกซีผู้ดูแลระบบ ปัจจุบัน DEX Proxy ได้ถูกลบออกจากรายการที่เชื่อถือได้แล้ว

ตามข่าวเมื่อวันที่ 13 ธันวาคม samczsun นักวิจัย Paradigm โพสต์ว่ามีช่องโหว่ที่สำคัญปรากฏในโซเชียลมีเดีย X (ชื่อเดิม Twitter) ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงบัญชีผู้ใช้ได้อย่างเต็มที่เพียงแค่คลิกลิงก์ ซึ่งหมายความว่าแฮกเกอร์สามารถทวีต รีทวีต กดไลค์ บล็อก ฯลฯ ได้ แต่ไม่สามารถเปลี่ยนรหัสผ่านผู้ใช้ได้ จนกว่าปัญหานี้จะได้รับการแก้ไข เพื่อปกป้องความปลอดภัยของบัญชี ผู้ใช้ควรติดตั้งตัวบล็อกโฆษณา uBlock Origin เพื่อลดความเสี่ยงของการโจมตีดังกล่าว uBlock Origin เป็นส่วนขยายเบราว์เซอร์ที่มีประสิทธิภาพซึ่งจะบล็อกลิงก์และโฆษณาที่เป็นอันตราย จึงปรับปรุงความปลอดภัยออนไลน์ของผู้ใช้เมื่อใช้แพลตฟอร์มโซเชียลเช่น X

Yu Xian ผู้ก่อตั้ง SlowMist กล่าวบนโซเชียลมีเดียว่าหมายเลข CVE ถูกหักออกจากการจารึกหมายเลขซีเรียลของ Bitcoin เดิมทีมันเป็นเรื่องของการโต้เถียงในชุมชน แต่ฝ่ายที่โต้แย้งได้ส่งเรื่องไปยัง CVE ซึ่งเป็นแพลตฟอร์มช่องโหว่ที่กว้างขวาง , NVD (หลายคนกล่าวว่าหน่วยงานรัฐบาลของสหรัฐอเมริกา) และแพลตฟอร์มที่มีช่องโหว่อื่น ๆ ก็ใช้หมายเลข CVE เช่นกัน และการรักษาความปลอดภัยทั้งหมดและแม้แต่อุตสาหกรรมไอทีก็ยอมรับมาตรฐานเหล่านี้ แต่มีข้อเท็จจริงที่เป็นวัตถุประสงค์: ช่องโหว่ของ CVE ไม่ได้หมายความว่าจะต้องซ่อมแซมหรือจำเป็นต้องได้รับการซ่อมแซมโดยเฉพาะผู้ที่มีคะแนนช่องโหว่ต่ำ ตัวอย่างเช่น การจารึกหมายเลขซีเรียลของ Bitcoin ได้คะแนน 5.3 (เต็ม 10 คะแนน) มันเป็นสื่อกลาง -ความเสี่ยงด้านความเปราะบาง หากดูรายละเอียด มีตัวชี้วัดหลายตัวที่ส่งผลต่อคะแนนสุดท้าย บางตัวเป็น 0 คะแนน และตัวบ่งชี้ "ผลกระทบ" มีเพียง 1.4 คะแนนเท่านั้น หากเป็นกรณีนี้ไม่ว่าจะได้รับการซ่อมแซมหรือไม่นั้นจะขึ้นอยู่กับทัศนคติของ Bitcoin Core ส่วนการซ่อมแซมจะดำเนินการหรือไม่นั้นก็ขึ้นอยู่กับทัศนคติของแหล่งรวมการขุดและผู้มีอิทธิพลด้วย

SlowMist เผยแพร่รายงานความปลอดภัยรายสัปดาห์ (3 ธันวาคม - 9 ธันวาคม 2566) บนโซเชียลมีเดีย ยอดขาดทุนในสัปดาห์ที่แล้วมีมูลค่าประมาณ 1.91 ล้านดอลลาร์สหรัฐ สามอันดับแรกในแง่ของจำนวนเงินที่เสียหาย ได้แก่ 1.Xai phishing Event: 374 ETH สูญหายไป มูลค่าประมาณ 845,800 เหรียญสหรัฐ 2. Abattoir of Zir (DIABLO) ชน: ขาดทุน 235,705 ดอลลาร์ 3. ช่องโหว่ของสัญญาเวลา: ขาดทุน 190,000 ดอลลาร์

แพลตฟอร์มความปลอดภัย Web3 Ancilia โพสต์บนแพลตฟอร์ม X ว่าช่องโหว่ ERC2771 กำลังถูกโจมตีโดยผู้โจมตีบนหลายเครือข่าย รวมถึง Base, BSC ฯลฯ