EOS:预警：谷歌Chrome浏览器紧急发布安全补丁，修复可盗取比特币私钥等信息的漏洞

据IT之家报道，近日，谷歌发现Chrome浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了解决这个问题，谷歌紧急推出了一个安全更新112.0.5615.121版本，并建议所有的Chrome用户尽快安装。

慢雾安全预警：Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产:3月5日消息，Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ，用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站，连接钱包(图 2)，点击页面上的“Mint”，出现批准提示框(图 3)。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包里的所有 SOL 都会被转走。当点击“批准”时，用户会和攻击者部署的恶意合约交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

该恶意合约的功能最终就是发起“SOL Transfer”，将用户的 SOL 几乎全部转走。从链上信息来看，该钓鱼行为已经持续了几天，中招者在不断增加。

提醒：1. 恶意合约在用户批准(Approve)后，可以转走用户的原生资产(这里是 SOL)，这点在以太坊上是不可能的，以太坊的授权钓鱼钓不走以太坊的原生资产(ETH)，但可以钓走其上的 Token。于是这里就存在“常识违背”现象，导致用户容易掉以轻心。

2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试)，没有给用户完备的风险提醒。这非常容易造成安全盲区，导致用户丢币。（慢雾区）[2022/3/5 13:39:42]

这个漏洞被命名为CVE-2023-2033，是一个类型混淆漏洞，出现在Chrome浏览器使用的V8JavaScript引擎中。简单来说，类型混淆漏洞是一种允许使用错误的类型访问内存的Bug，从而导致越界读写内存。这个漏洞的危险之处在于，黑客可以制作一个恶意的HTML页面，利用堆内存的损坏来执行任意代码。有用户指出，所造成的危害包括但不限于盗取比特币私钥、盗取通讯录、相册等敏感文件等。

动态 | Beosin预警：持续警惕hardfail状态攻击 ?:Beosin（成都链安）预警，根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，目前仍有不少攻击者尝试使用hard_fail 状态攻击，攻击测试目标已由交易所转向各类游戏合约，截止9号晚间10点，攻击者****wge在持续攻击中尝试混合使用正常转账交易和hardfail失败交易，在两次交易中设置同样的memo，如果项目方从节点获取交易数据时没有做好完整的交易判断，可能会因此造成损失，这种攻击尝试虽然简单但仍可能造成危害，Beosin（成都链安）提醒各项目方做好自检自查，对交易执行状态进行校验，避免不必要的损失。[2019/4/9]

一般来说，Chrome浏览器会自动更新，但用户也可以手动检查是否已经安装了最新版本。用户可以点击Chrome浏览器右上角的三个点菜单，选择“帮助”，然后选择“关于Chrome”来查看自己的版本号。此外，如果用户在MicrosoftEdge、猎豹、360等浏览器中使用了Chrome内核的浏览器，也需升级最近版本以避免被攻击。

动态 | 预警: 警惕EOS主网“交易阻塞攻击”继续蔓延:昨天，区块链安全公司PeckShield发出EOS主网存在致命交易阻塞攻击漏洞高危预警。PeckShield安全人员已经于第一时间（前天）就紧急联系了block.one团队，并同时辅助展开紧急修复(CVE-2019-6199)。不过，由于该攻击原理目前已被攻击者知晓，且我们已经监测有多起EOS竞猜类游戏遭攻击事件发生。PeckShield再次发出预警：1、不同于以往随机数和交易回滚合约层的问题，交易阻塞攻击属于公链底层的漏洞，在问题修复前，必然会进一步蔓延威胁到更多EOS DApps的安全；2、目前EOS竞猜类游戏随机数算法中只要包含账号余额或时间因素就存在被攻击可能，建议广大EOS竞猜游戏务必紧急自查并做相应布控防御措施。3、DAppShield安全盾已经根据攻击特征做全网布控预警，建议广大DApp开发者应及时梳理现有DApp逻辑，随时联系我们或自行去除可控变量如账号余额或时间因素等参与随机数生成，尽可能避免因阻塞攻击造成资产损失。[2019/1/13]

标签：EOSSOLCHROROMNeos CreditsSOLVE币ChronoCoinROM价格

以太坊交易热门资讯