【0xHabitat的Gnosis Safe多签遭攻击，团队资金被盗约140万枚HBT】

【0xHabitat的Gnosis Safe多签遭攻击，团队资金被盗约140万枚HBT】 12月4日消息，致力于使用Optimistic Rollup技术提升DAO规模的0xHabitat的Gnosis Safe多签遭攻击，团队资金被盗约140万枚HBT。LP需要退出SLP HBT-ETH代币，建议HBT代币持有者从rollup中退出资金。官方表示，当前的HBT代币很可能会被新代币取代，会在2021年12月01日攻击前拍快照。

知名硬件钱包Trezor泄露6.6万名用户数据 钱包不受影响但用户需提防钓鱼

知名硬件钱包Trezor泄露6.6万名用户数据 钱包不受影响但用户需提防钓鱼 此次安全事故暴露了自 2021 年 12 月以来与 Trezor 进行过工单支持的用户的数据，牵涉的用户大约为 6.6 万名，包含姓名、用户名、电子邮件地址等信息。这个系统也存储着用户的收货地址、电话号码和其他个人信息，不过 Trezor 认为这部分信息并没有被黑客访问。好消息与坏消息：好消息是工单系统的数据不牵涉用户的硬件钱包，黑客没有办法直接盗取硬件钱包里的资金。坏消息是黑客获得了用户的数据后进行了钓鱼，Trezor 目前已经确认了 41 起钓鱼事件，黑客冒充 Trezor 然后再骗取用户的助记词，这样黑客可以直接恢复钱包盗取资金。目前 Trezor 已经联系所有可能受影响的用户并通知他们提防钓鱼攻击，不过就目前来说，还没有用户被黑客成功钓鱼，所以用户资金不受影响。最后要提醒各位，钱包助记词是核心，任何平台、任何人找你要助记词都是诈骗，也不要将助记词拍照备份到网盘，不然网盘数据泄露也会导致钱包被盗。 ... PC版： 手机版：

【余弦：Blast关于多签安全问题的解释太搞笑了，还不如承认客观事实】

【余弦：Blast关于多签安全问题的解释太搞笑了，还不如承认客观事实】 针对Blast关于多签安全问题的解释，慢雾创始人余弦在X平台评论道：“没见过这么搞笑的安全解释，一个只有智能合约的未来L2与那些真的L2对比多签安全模型……本来许多安全人员（包括我）提了Blast权限过大风险，也就是提提，让玩家们有个数就行。客观事实，认就行，非得出一篇这么搞笑的安全解释。” 此前余弦表示，Blast的合约确实如Polygon Labs开发者关系工程师Jarrod Watts所说，是一个可升级合约，控制权属于一个3/5多签（不知道5个人分别是谁）且没有时间锁。如果要跑路，要么多签升级个恶意的逻辑合约，要么enableTransition设置个恶意的mainnetBridge。Blast目前除了发在以太坊上的合约，其他均为中心化Web2项目的裂变玩法，但有若干知名机构背书。用户还是比较相信机构背书的项目的。 今日早些时候消息，Blast在X平台发文表示，安全是多方面的，涉及智能合约、浏览器和物理安全维度。不可变的智能合约通常被认为更安全，但可能会带来更大的风险，尤其是在复杂的协议中。当涉及可升级的智能合约时，具体的升级机制非常重要。具有时间锁的可升级智能合约可能存在漏洞。在很多情况下，避免漏洞被利用的唯一方法是在恶意行为者之前执行链上操作。在这些情况下，时间锁会使智能合约的安全性降低。这就是为什么每个L2都有直接升级的途径。 此外，Blast强调了多重签名安全性的有效性，Arbitrum、Optimism和Polygon等其他L2项目也使用多重签名机制。Blast指出，多重签名设置中的每个签名密钥都是独立安全的，存储在冷钱包中，由独立方管理，并且在地理位置上分散，这种方法旨在增强协议抵御各种安全威胁的能力。 Blast计划在一周内更新其中一个多重签名地址，将其切换到另一家硬件钱包提供商，以增强安全性。此举旨在防止对单一类型硬件钱包的依赖，从而降低因特定硬件漏洞而受到损害的风险。 快讯/广告 联系 @xingkong888885

【ScamSniffer：近半年来，WalletDrainer利用Create2钓鱼手法盗取近6000万美元】

【ScamSniffer：近半年来，WalletDrainer利用Create2钓鱼手法盗取近6000万美元】 Scam Sniffer在X平台发文表示，Wallet Drainer通过为每个恶意签名生成新地址来滥用Create2绕过某些钱包中的安全警报。据了解，CREATE2操作码允许用户在合约部署到以太坊网络之前预测其地址。Uniswap使用CREATE2创建Pair合约。 使用Create2，Drainer可以很容易地为每个恶意签名生成临时的新地址。在受害者签署签名后，滤干者在该地址创建合同并转移用户的资产。其动机是绕过钱包安全检查。 在过去的六个月里，此类Drainer从大约99000名受害者那里盗取近6000万美元。自8月以来，一个组织在Address Poisoning中使用了同样的技术，从11名受害者那里连续窃取了近300万美元的资产，其中一名受害者损失高达160万美元。 慢雾创始人余弦就此表示：“这个钓鱼技巧可以的，用Create2来预创建资金接收地址（一旦钓鱼成功才会创建，而且是一个合约地址，否则这个地址什么都没），这样可以绕过许多钱包的安全检测机制。看哪些钱包能及时跟进增强下。” 快讯/广告 联系 @xingkong888885

【安全公司：UTXO多签机制可被用于发起对Blockbook的假充值攻击，请注意排查风险】

【安全公司：UTXO多签机制可被用于发起对Blockbook的假充值攻击，请注意排查风险】 据官方消息，继昨日慢雾安全团队披露的 UTXO 多签机制可被用于发起对交易所的假充值攻击之后，慢雾区安全伙伴安全鹭(Safeheron)反馈了新的威胁情报，知名开源中间件 Blockbook (Trezor 开源产品) 也受此特性影响，安全鹭发现 Blockbook 获取交易数据接口返回结果中对 MultiSig 类型交易展示不完善，如果 output 为 MultiSig 脚本，Blockbook 将会选择脚本中最后一个地址展示，和普通地址交易无法区分 。如果交易所、钱包客户端或者其它中心化服务仅根据 Blockbook 返回结果进行入账判断，将会造成误判导致假充值。目前已知可能受此多签特性影响的代币有 BTC/LTC/DOGE/BCH/BSV/BHD/CPU/DFI/BTCV/BXC/ZCL，慢雾安全团队建议相关运营方注意排查风险。

#重磅新闻：Bybit 交易所遭遇朝鲜（朴镇赫）黑客攻击，被盗约15亿美元的以太坊，此次攻击发生在冷钱包向热钱包转移过程中，黑客

#重磅新闻： Bybit 交易所遭遇朝鲜（朴镇赫）黑客攻击，被盗约15亿美元的以太坊，此次攻击发生在冷钱包向热钱包转移过程中，黑客操纵交易界面控制了冷钱包，并将资金转移到未知地址。 尽管损失巨大，Bybit CEO 周奔（Ben Zhou）表示交易所依然稳定，客户资产未受影响，提现正常进行，此外，Bybit 启动了悬赏计划，提供被盗资产 10% 的奖励，鼓励网络安全专家协助追回资金。 #相关内容：朝鲜黑客的骚操作 朝鲜黑客如何5步偷走Bybit15亿美金？Crypto史上最大毒瘤曝光！ 1、部署合约：提前三天部署好恶意后门合约。 2、入侵电脑：大概率是已经确认了 B y bit 的三位多签的电脑已被入侵，具备攻击条件，在等他们操作。 3、请君入瓷：接下来，当多签工作人员执行日常转账之类的签名操作时，黑客替换了签名内容。 4、偷天换日：工作人员在网页看着以为是转账之类的正常的交易殊不知被改成了「把合约升级替换为此前部署的恶意合约」的交易。 5、盗走资金：带后门的恶意合约，被黑客轻松提取了所有资金。