安全公司：Inferno Drainer使用的钓鱼合约最近进行了升级

金色财经报道，据MetaSleuth监测显示，Inferno Drainer使用的钓鱼合约最近进行了升级。这些网络钓鱼合约现在可以窃取用户的ETH、ERC20代币和NFT。以钓鱼合约0x000056为例。索赔功能专门用于盗取用户的ETH，然后将其转移到地址为0x0000da的中心枢纽合约。该中心合约是各种网络钓鱼合约被盗ETH的收集点。因此，0x000055（Fake_Phishing182232）等网络钓鱼者可以调用中心合约的提款功能，以方便转移被盗资金。与此同时，网络钓鱼合约的多方调用功能被用来转移用户批准的ERC20代币和NFT，其中包含一个内置的利润分享机制。我们已及时向Etherscan报告了所有相关合约。请谨慎行事并保持警惕。

其它快讯：

安全公司：CoFiXProtocol项目遭受价格操控攻击，攻击者获利约14万美元:据成都链安安全舆情监控数据显示，CoFiXProtocol项目遭受价格操控攻击。成都链安安全团队对此次攻击事件分析后，发现攻击者先从先闪电贷借出大量BSC-USD，再用BSC-USD兑换出DCU。然后攻击者通过利用Router合约的swapExactTokensForTokens没有校验to地址是否是msg.sender的漏洞，将对Router合约有大额授权的to地址中的BSC-USD经过BSC-USD -> DCU -> PRC的兑换路径兑换为RPC，导致LP中DCU的价格升高，最后通过前面兑换的DCU重新高价兑换成BSC-USD从而获利。目前攻击者实施了三次攻击，总计获利约145,491 BSC-USD（价值14万美元），已经兑换为BUSD并转移到攻击者的其他地址（0x5443...d7D6）中 。对此，成都链安安全团队建议用户在对合约授权时按需授权，授权值不要超过本次需要转移的代币的数量，避免因为过多授权造成意外损失。[2022/6/2 3:57:41]

声音 | 安全公司：钱包助记词遭破解 手机root权限成关键因素:针对近日有数字钱包被破解助记词一事，北京链安安全专家c00lman分析，视频中的攻击者采用了一台越狱手机，利用root权限，打开了存在该钱包私有目录下的配置文件preferences.xml，读取加密后的助记符字段seedPhraseEntropy。而后攻击者通过逆向手段，还原了加密算法，对加密后的助记符数据进行解密，还原了助记符。

但是这段攻击视频有个前提，攻击者需要获取root权限，这在大部分攻击场景下是不具备的。事实上，该钱包已经对助记符进行了加密存储，只是攻击者逆向出了加密算法。对于这类问题，更关键的是相关应用厂商采用安全公司专业的root安全性检查方案，在用户手机系统被破解时及时提醒用户。

对此，北京链安建议：相关钱包应用加强对手机环境进行root权限检查，而各位用户也应该避免在越狱手机上使用钱包、交易所App。[2018/11/22]

区块链安全公司创始人评EOS：区块链不能“技术先行，安全再来”:区块链安全公司Peckshield创始人蒋旭宪表示很看好EOS的技术，但当前EOS对安全问题的准备不够，以前在互联网上“技术先行，安全再来”的模式在区块链上走不通，因为出现安全问题要付出代价太高了。[2018/6/8]

相关资讯