据Cointelegraph报道,区块链安全公司Redefine在3月19日的一篇帖子中表示,它发现了一个冒充官方Arbitrum空投网站的网站。屏幕截图显示网站要求用户允许访问他们的资金,这可能会导致者耗尽钱包。另一家区块链安全公司CertiK指出了一个用户名为“@arbitrum_launch”的虚假Arbitrum推特帐户,该帐户正在宣传代币空投。CertiK警告用户不要与之互动。
慢雾安全预警:Nacos出现远程代码执行漏洞攻击案例,请相关方及时升级:金色财经报道,据慢雾区消息,Nacos 出现远程代码执行漏洞攻击案例。Nacos 是 Alibaba 开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台,帮助用户快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在处理某些基于 Jraft 的请求时,采用 Hessian 进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。其中,1.4.1 <= Nacos < 1.4.6,使用 cluster 集群模式运行受影响;1.4.0、2.0.0 <= Nacos < 2.2.3,任意模式启动均受到影响。加密货币行业有大量平台采用此方案,请注意风险,并将 Nacos 升级到官方最新新版本。[2023/6/9 21:25:29]
上周,Web3反工具ScamSniffer表示,自代币空投宣布以来,它已经检测到超过273个与Arbitrum相关的钓鱼网站,预计在3月23日正式空投之前,这个数字还会上升。
预警:黑客利用远程控制软件向日葵漏洞盗取加密钱包资产,建议卸载:4月3日消息,据推特用户@0xAA_Science披露,这两天很多人因为领取空投使用向日葵(远程桌面软件),加密钱包被盗了。黑客可以利用这个漏洞,远程控制用户的钱包转钱。该用户表示,电脑用过远程桌面软件的,包括向日葵、todesk、TeamViewer等,建议卸载。
根据其分享的资料,向日葵远程控制软件是一款远程控制软件,2022年2月互联网披露向日葵远程控制软件旧版本中存在远程命令执行漏洞,向日葵远程控制软件会监听高端口 (默认40000以上),攻击者可构造恶意请求获取Session,从而通过身份认证后利用向日葵远程控制软件相关API接口执行任意命令。[2023/4/3 13:41:29]
此前消息,Arbitrum将于3月23日向其社区成员空投代码为ARB的治理代币。
动态 | 慢雾区预警: ETH 存在恶意消耗 Gas 攻击:根据慢雾区情报,慢雾安全团队在 Twitter 上关注到以太坊漏洞问题,通过深入分析发现:如果用户在交易所提币或者通过钱包转账的时候,若没有设置 GasLimit 上限,当接收地址为合约地址的话将会导致恶意 Gas 消耗,慢雾安全团队第一时间通知了服务的交易所和钱包用户并提供了情报和解决方案:
(1)用户提币的时候判断是否是合约地址,如果是合约地址则不允许提币。
(2)转账的时候设置 GasLimit 上限,此处上限需要根据交易所实际业务场景设置如:6 万? - 10 万(推荐值 ETH: 90000 token: 150000)
投资有风险,入市须谨慎。
本资讯不作为投资理财建议。[2018/11/14]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。