CertiK：向Kraken报告安全漏洞后员工却遭到其安全运营团队的威胁

CertiK：向Kraken报告安全漏洞后员工却遭到其安全运营团队的威胁 CertiK 宣布在 Kraken 交易所发现了一系列严重漏洞，这些漏洞可能导致数亿美元的潜在损失。在测试期间，数百万美元的虚假资金可以被存入 Kraken 账户，并提取超过 100 万美元的伪造加密货币转化为有效资产，且 Kraken 系统未触发任何警报。

【Skyward Finance遭遇漏洞利用，损失约300万美元】

【Skyward Finance遭遇漏洞利用，损失约300万美元】 11月3日消息，据外媒报道，NEAR链上资产发行平台Skyward Finance遭遇漏洞利用，已损失110枚NEAR代币（约合300万美元）。Ref Finance和Skyward团队已被告知该漏洞的存在。据报道，攻击者在Ref Finance上购买大量的Skyward代币，然后“通过Skyward Finance上的Treasury赎回”，然后获得比最初投入的Skyward代币的价值更多的收益。 此外，Skyward Finance发推文表示，Skyward Treasury已通过合约漏洞耗尽，使Treasury和Skyward代币实际上一文不值。正在托管或参与Skyward上的代币销售的用户可安全地提取资金和收益。合约已完全锁定，即使是官方团队也无法暂停或阻止SKYWARD代币的未来问题，我们建议用户尽可能将资金提取至安全的地方，并让社区不再与Skyward互动。

Zokyo 发布 Velocore 安全事件报告：恒定产品池损失价值约 680 万美元的 ETH

Zokyo 发布 Velocore 安全事件报告：恒定产品池损失价值约 680 万美元的 ETH 7 月 4 日消息，针对此前黑客攻击事件，区块链安全公司 Zokyo 发布 Velocore 事后分析报告，其中披露恒定产品池（Constant Product Pools）损失了价值约 680 万美元的 ETH，USDC-ETH-VLP 金库净损失达 155 枚 ETH 和超 50 万 USDC。Velocore 称，根据漏洞利用合同并追溯攻击者为成功恢复而采取的步骤，此漏洞利用需要坚定的攻击者具有相当高的精确度才能获得传递给 Velocore 操作的最终值。 除此之外，漏洞利用还必须通过算法执行，才能创建对其他被耗尽的池有意义的值，这种级别的漏洞利用需要大量的安全研究和在各种不同市场条件下的严格测试，这些测试应该是由在该领域拥有丰富经验的技术人员执行。

链上侦探：CertiK疑似利用Kraken漏洞牟利，Kraken黑客地址与CertiK存在联系

链上侦探：CertiK疑似利用Kraken漏洞牟利，Kraken黑客地址与CertiK存在联系 针对Kraken和CertiK之间的安全漏洞报告争议，链上侦探@0xBoboShanti称，一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试，这与Certik的事件时间表产生了矛盾。更进一步，该测试地址资金源于Certik的一个Tornado交易（Tornado tx），该钱包最近（直到今天）一直在与相同的合约进行交互，这一发现将这一事件与原始的安全研究人员联系了起来。

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用 访问：NordVPN 立减 75% + 外加 3 个月时长 另有NordPass密码管理器 通常情况下，想要使用该公司服务的人需要在手机上安装 CSC Go 应用程序，加载余额，然后在附近的洗衣机上开始洗衣循环。任何具备必要知识的人都可以利用这个漏洞，通过远程向这家拥有 90 年历史的公司在美国、加拿大和欧洲的住宅、酒店和大学校园里运营的联网洗衣机发送指令，获得免费洗衣服务。事情要从今年 1 月初说起，当时 Sherbrooke 正带着笔记本电脑坐在地下室的洗衣房里。在账户中没有余额的情况下，他尝试运行一个代码脚本，命令面前的洗衣机运行一个洗衣周期，结果成功了。此外，学生们还在自己的一个洗衣账户中添加了数百万美元，这些钱也出现在了 CSC Mobile Go 应用程序中。据这两名学生称，该公司仍对漏洞的存在和修复要求一无所知。1 月初，他们试图通过多种渠道联系 CSC ServiceWorks，如通过在线联系表单发送多条信息和拨打电话，但均无人接听。该公司没有专门的安全页面来报告安全漏洞。虽然 CSC ServiceWorks 没有回应学生研究人员，但在他们报告发现后，CSC ServiceWorks 删除了大量账户余额。不过，该漏洞仍未修复，他们可以增加任何金额。目前尚不清楚该公司是否正在进行内部修复。根据两人的说法，该漏洞存在于移动应用程序使用的 API 中，该 API 可帮助设备和应用程序通过互联网相互通信。他们发现，他们可以直接向 CSC 的服务器发送命令，从而躲过应用程序的安全检查。学生研究人员告诉本刊，通过直接访问 API 和公司公布的服务器命令公开列表，他们可以找到"CSC ServiceWorks 连接网络上的每一台洗衣机"并与之交互。安全研究人员通常要等三个月才会公开他们的研究成果。这对学生说，他们等得更久，本月初在大学网络安全俱乐部展示了他们的发现。他们还与卡内基梅隆大学的 CERT 协调中心分享了他们的发现，该中心提供指导并帮助安全研究人员向供应商披露漏洞。 ... PC版： 手机版：

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频，Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞，攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染，该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞，#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似，#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能，避免攻击者利用类似的漏洞发起针对性的攻击