慢雾：仍有大部分钱包支持eth_sign，仅少部分钱包提供安全风险警告

金色财经报道，在加密货币NFT板块，越来越多的钓鱼网站滥用 eth_sign 签名功能来进行盲签欺诈，提醒或禁用这种低级的签名方法对于保护用户安全是至关重要的，不少 Web3 钱包已经采取相关措施来对这种危险的签名方法进行安全提示和限制。仍有一大部分加密钱包支持 eth_sign，其中少部分钱包提供 eth_sign 安全风险警告。如果用户仍想要使用 eth_sign，他们可以选择支持该功能的加密钱包。但是，用户在使用这些钱包时需要特别注意安全警告，以确保其交易的安全性。

慢雾：Grafana存在账户被接管和认证绕过漏洞:金色财经报道，据慢雾消息，Grafana发布严重安全提醒，其存在账户被接管和认证绕过漏洞(CVE-2023-3128)，目前PoC在互联网上公开，已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程序平台，用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上，配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时，这可能会使Grafana账户被接管和认证绕过。其中，Grafana>=6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况，请注意风险，并将Grafana升级到最新版本。[2023/6/25 21:58:31]

慢雾：Cover协议被黑问题出在rewardWriteoff具体计算参数变化导致差值:2020年12月29日，慢雾安全团队对整个Cover协议被攻击流程进行了简要分析。

1.在Cover协议的Blacksmith合约中，用户可以通过deposit函数抵押BPT代币；

2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子，并使用accRewardsPerToken来记录累计奖励；

3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录；

4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押；

5.此时攻击者将第二次进行deposit，并通过claimRewards提取奖励；

6.问题出在rewardWriteoff的具体计算，在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory，此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值；

7.由于memory中获取的Pool值是旧的，其对应记录的accRewardsPerToken也是旧的会赋值到miner；

8.之后再进行新的一次updatePool时，由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小，所以最后获得的accRewardsPerToken将变大；

9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值，在进行rewardWriteoff计算时获得的值也将偏小，但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值；

10.因此在进行具体奖励计算时由于这个新旧参数之前差值，会导致计算出一个偏大的数值；

11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币，导致COVER代币增发。具体accRewardsPerToken参数差值变化如图所示。[2020/12/29 15:58:07]

声音 | 慢雾：ETDP钱包连续转移近2000 ETH到Bitstamp交易所，项目方疑似跑路:据慢雾科技反(AML)系统监测显示，自北京时间 12 月 16 日凌晨 2 点开始，ETDP 项目方钱包(地址 0xE1d9C35F…19Dc1C3)连续转移近 2000 ETH 到 Bitstamp 交易所，另有 3800 ETH 分散在 3 个新地址中，未发生进一步动作。慢雾安全团队在此提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。[2019/12/16]

相关资讯