【安全公司：UTXO多签机制可被用于发起对Blockbook的假充值攻击，请注意排查风险】

【安全公司：UTXO多签机制可被用于发起对Blockbook的假充值攻击，请注意排查风险】 据官方消息，继昨日慢雾安全团队披露的 UTXO 多签机制可被用于发起对交易所的假充值攻击之后，慢雾区安全伙伴安全鹭(Safeheron)反馈了新的威胁情报，知名开源中间件 Blockbook (Trezor 开源产品) 也受此特性影响，安全鹭发现 Blockbook 获取交易数据接口返回结果中对 MultiSig 类型交易展示不完善，如果 output 为 MultiSig 脚本，Blockbook 将会选择脚本中最后一个地址展示，和普通地址交易无法区分 。如果交易所、钱包客户端或者其它中心化服务仅根据 Blockbook 返回结果进行入账判断，将会造成误判导致假充值。目前已知可能受此多签特性影响的代币有 BTC/LTC/DOGE/BCH/BSV/BHD/CPU/DFI/BTCV/BXC/ZCL，慢雾安全团队建议相关运营方注意排查风险。

安全警示｜TRX 多重签名骗局

安全警示｜TRX 多重签名骗局 近期，TRX 多重签名骗局异常猖獗，骗子通过诱导用户下载假钱包等方式获取用户的助记词，但是却不直接将用户的代币盗走，而是通过修改用户的 TRX 钱包账户权限，导致用户失去对账户内代币的控制权，只能将代币转入钱包，却无法转出。 本文将揭秘 TRX 多重签名骗局具体是如何实施的，以及我们该如何防范这类骗局。 什么是 TRX 多重签名骗局 当我们创建了一个 TRX 钱包后，这个钱包账户默认的拥有者权限为账户本人，阈值为 1，即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。 注：拥有者权限是指一个 TRX 账户的最高权限，具有该权限的地址可进行该账户内的所有操作。 而当骗子获取了用户助记词，对其 TRX 账户权限进行修改后，用户地址的拥有者权限变为用户本人和骗子共同持有，阈值为 2，即钱包转账需要两个拥有者权限的地址用户的地址和骗子的地址，共同签名授权才能发起。 由于此时 TRX 钱包的转账需要多重签名（用户地址的签名和骗子地址的签名）才能完成，所以这类骗局被称为 TRX 多重签名骗局。 这就意味着，当用户的 TRX 账户被骗子更改为需多重签名的地址后，用户发起的任何交易，都需要骗子的签名授权才能完成，如果只是用户单方面发起交易，就会遇到类似「server：SIGERROR」的报错。 你可能会疑惑，为什么用户拥有自己账户的助记词 / 私钥，也无法「独立完成」代币的转出操作。 以合伙开公司的例子解释一下，你就明白了。假设有一家公司有两个合伙人，他们在这家公司成立之初规定：所有的重大决策要两个合作人都同意进行签名授权，即多重签名，才可以执行。若有一方不同意，决策则不通过。 被骗子修改为多重签名的 TRX 账户就像是这样一家公司，即便用户持有钱包助记词，但也已经无法「独立完成」对这个钱包的转账等重大操作。 用户只能将代币转入这个账户，却无法转出，骗子就是利用这一点从而「放长线钓大鱼」，等到用户在账户中积累了足够的代币后再一次性盗走。如果一个用户从来都是只收款不转账，且不去链上查看自己的账户权限，那他可能会一直蒙在鼓里并持续地向这个账户转钱。 另外，骗子除了通过诱导用户下载假钱包方式外，还会通过以下两类方式利用多重签名诈骗： 在 Telegram 等社交平台推广充值网站，诱导用户使用数字代币进行充值，实际上是趁用户充值时获取账户的拥有者权限，导致用户失去对账户的控制权； 在 Telegram、微信等社交平台公开自己的助记词 / 私钥，诱导用户转入 TRX 作为手续费以转走钱包内的代币，但实际骗子早已将拥有者权限转移，最终导致用户损失 TRX。 不要相信天下不会有免费的午餐，切莫贪小便宜 消息来源:

【安全团队：EGD_Finance被黑，代币价格被闪电贷操控】

【安全团队：EGD_Finance被黑，代币价格被闪电贷操控】 8月8日消息，据慢雾区消息，BSC上的EGD_Finance项目遭受黑客攻击，导致其池子中资金被非预期的取出。慢雾安全团队进行分析后以简讯的形式分享给大家 1.由于EGD_Finance合约中获取奖励的claimAllReward函数在计算奖励时会调用getEGDPrice函数来进行计算EGD的价格，而getEGDPrice函数在计算时仅通过pair里的EGD和USDT的余额进行相除来计算EGD的价格 2.攻击者利用这个点先闪电贷借出池子里大量的USDT，使得EGD代币的价格通过计算后变的很小，因此在调用claimAllReward函数获取奖励的时候会导致奖励被计算的更多，从而导致池子中的EGD代币被非预期取出 本次事件是因为EGD_Finance的合约获取奖励时计算奖励的喂价机制过于简单, 导致代币价格被闪电贷操控从而获利。

【CZ：Binance安全团队正监控Orion Protocol黑客地址，Binance用户和资产安全】

【CZ：Binance安全团队正监控Orion Protocol黑客地址，Binance用户和资产安全】 2月3日消息，CZ在其社交平台表示，针对早前Orion Protocol被攻击事件，Binance 安全团队正在监控 Orion Protocol 黑客地址。Binance 用户和资产不受此次事件影响。 金色财经此前报道，去中心化流动性聚合器协议 Orion Protocol 遭到重入攻击，损失约 300 万美元资产，攻击者已将部分加密货币转入 Tornado Cash。该平台已暂时关闭存款功能。

【安全团队：The Fracture的Discord遭遇攻击，攻击者已获利455枚SOL】

【安全团队：The Fracture的Discord遭遇攻击，攻击者已获利455枚SOL】 5月23日消息，据派盾预警监测，NFT项目The Fracture的Discord遭遇攻击，攻击者已获利455枚SOL。攻击者账号为7NVtp4vkZCNdvNimebKDQ8rpBzaA46U1MG9e8EsbGRTK。请勿与其Discord发送的链接及DM互动。

【安全团队：Onering协议的攻击者正在转移资金到Tornado Cash】

【安全团队：Onering协议的攻击者正在转移资金到Tornado Cash】 4月3日消息，BlockSec告警系统发现，Onering协议的攻击者在2022年4月3日15:12到15:19分之间转移了14.5ETH到Tornado Cash。据悉，Onering 在3月24日遭受攻击，损失超过140万美金。