【安全团队：谨防多重签名假充值】

【安全团队：谨防多重签名假充值】 据慢雾区情报，近期有黑客团伙利用 m-of-n 多重签名机制对交易所进行假充值攻击。 慢雾安全团队分析发现，攻击者通常使用 2-of-3 多签地址，其中 1 个地址为攻击者在交易所的充值地址（假设为 A），2 个地址为攻击者控制私钥的地址（假设为 B、C），然后发起一笔以这 3 个地址构成的多签做为交易输出(vout)的交易，此时攻击者在交易所的充值地址 A 虽然收到资金，但是由于花费这笔资金至少需要 2 个地址的签名，攻击者可利用自己控制的 B、C 地址将充值资金转出。 慢雾安全团队建议交易所，及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的代币充值流程进行审查，确保已对交易类型进行正确的判别，谨防多重签名假充值。

【安全公司：NFT钓鱼诈骗已有成熟产业链存在，请注意风险】

【安全公司：NFT钓鱼诈骗已有成熟产业链存在，请注意风险】 4月10日消息，最近NFT钓鱼诈骗事件层出不穷，已有不少知名大V与艺人都遭受损失。慢雾安全团队分析发现，钓鱼诈骗已有成熟产业链存在： - 媒体宣传方面，通过购买认证推特账号或邮件钓鱼经过认证的推特用户（包括行业大V，记者和媒体专业人士）的账号，修改资料发布空投诈骗； - 技术方面，在telegram等市场，有成熟的钓鱼诈骗技术服务团队，攻击者可以用很便宜的价格购买全套的钓鱼诈骗所需技术服务。 然后攻击者媒体宣传配合成熟的前后端诈骗技术，完成全套钓鱼产业链，对NFT持有者进行攻击。用户的钱包一旦连接到该网站，被诱骗授权（approve）或直接转账，他们钱包中的有关资产（如NFT）将被盗，请大家保持警惕，谨防被盗。

【余弦：Safe多签钱包需改善交互安全设计，以解决首尾号相同地址钓鱼攻击问题】

【余弦：Safe多签钱包需改善交互安全设计，以解决首尾号相同地址钓鱼攻击问题】 慢雾创始人余弦在X平台转发Scam Sniffer的推文并表示：“首尾号相同钱包地址钓鱼攻击，Safe多签钱包用户的损失还挺大。这不是Safe多签合约的风险，而是Safe多签钱包UI的问题，用户交互安全设计需要尽快跟上了。” 此前消息，Web3反诈骗平台Scam Sniffer在X平台发文表示，在过去一周里，大约有10个Safe钱包因为“address poisoning（地址投毒）”攻击而损失205万美元。同一攻击者在过去的四个月中已经从大约21名受害者那里窃取500万美元。 快讯/广告 联系 @xingkong888885