【Audius：合约中允许重复调用的漏洞导致此次攻击，已部署修复程序并将重新上线】

【Audius：合约中允许重复调用的漏洞导致此次攻击，已部署修复程序并将重新上线】 7月25日消息，去中心化音乐平台Audius发布攻击事件回顾报告，称是由于合约初始化代码中存在允许重复调用“initialize”函数的漏洞，所以导致已审计的合约遭到攻击。该漏洞允许攻击者修改投票系统并在网络中设置错误的权益值，从而导致Audius社区金库持有的1800万枚AUDIO代币被恶意转移到攻击者的钱包中。但剩余资金都是安全的，并且已部署修复程序，除了质押和委托功能外所有剩余的智能合约组件都已更新并重新运行，审核更新后希望在接下来的几天内全部重新上线。 此前报道，Audius社区金库被利用，损失1850万枚AUDIO代币。

我们正在邀请黑客入侵智能合约并窃取Toncoin。

我们正在邀请黑客入侵智能合约并窃取Toncoin。 面向开发者的TON将于10月23日举行，奖金池有3万个Toncoin。 参与者将有一个颇具挑战性的任务：黑掉八个智能合约，并拿走Toncoin。 每个智能合约都有一个关键的漏洞，允许参与者绕过给定合约的逻辑，并提走所有的代币。 并且不需要归还被盗代币。它们的新家将是八个成功的黑客的钱包，以作为黑客的奖励。 要参加TON黑客挑战赛，你必须通过 @toncontests_bot 注册。 我们还建议通过研究文档、创建一个开发者环境和查看TON黑客挑战赛的文献来为比赛做准备。 你可以在或官方网站上找到更多关于比赛的信息： 比赛将于10月23日9:00（UTC）开始，同日18:00（UTC）结束。 祝所有黑客好运!

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞 Clash for Windows 的开发者确认了一个的远程代码执行漏洞，包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。 GitHub 用户 LDAx2012 说，当受攻击者订阅了一个恶意链接，订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖，cfw-setting.yaml 中 parsers 的 js代码将会被执行。 该漏洞还在修复中，普通用户应该避免使用不可靠来源的订阅。

【派盾：OpenSea漏洞事件疑为网络钓鱼，用户授权钓鱼邮件中的迁移导致NFT失窃】

【派盾：OpenSea漏洞事件疑为网络钓鱼，用户授权钓鱼邮件中的迁移导致NFT失窃】 2月20日消息，据派盾官方消息，派盾称「OpenSea 漏洞事件」很可能是网络钓鱼，用户按照网络钓鱼邮件中的指示授权「迁移」，而这种授权将允许黑客窃取有价值的 NFT。 以太坊智能合约编程语言 Solidity 的开发者 foobar 表示，黑客使用 30 天前部署的一个助手合约，调用 4 年前部署的一个操作系统合约，使用有效的 atomicMatch() 数据。这可能是几个星期前的典型网络钓鱼攻击。而不是智能合约漏洞，代码是安全的。 此前报道，2 月 19 日，OpenSea 官方在社交媒体上发文表示，其智能合约升级已完成，新的智能合约已经上线，用户迁移智能合约需签署挂单迁移请求，签署此请求不需要 Gas 费，无需重新进行 NFT 审批或初始化钱包，此迁移期将持续 7 天。

【Solidity开发者：“OpenSea新迁移合约疑似出现bug”是典型网络钓鱼攻击】

【Solidity开发者：“OpenSea新迁移合约疑似出现bug”是典型网络钓鱼攻击】 2月20日消息，针对“OpenSea昨日推出的新迁移合约疑似出现bug”事件，以太坊智能合约编程语言Solidity开发者foobar发推表示，黑客使用30天前部署的一个助手合约，调用4年前部署的一个操作系统合约，使用有效的atomicMatch() 数据。这可能是几个星期前的典型网络钓鱼攻击。而不是智能合约漏洞，代码是安全的。 此前消息，多位用户发现OpenSea昨日推出的新迁移合约疑似出现Bug，攻击者正利用该Bug窃取大量 NFT并卖出套利，失窃NFT涵盖BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers等多种高价值系列。 OpenSea官方随后作出回应，“我们正在积极调查与OpenSea智能合同有关的传闻。这看起来像是来自OpenSea网站外部的网络钓鱼攻击。不要点击opensea.io之外的任何链接。” 在此之后，gmDAO创始人Cyphr.ETH发推文称，黑客使用了标准网络钓鱼电子邮件复制了几天前发生的正版OpenSea电子邮件，然后让一些用户使用WyvernExchange签署权限。OpenSea未出现漏洞，只是人们没有像往常一样阅读签名权限。

APEX或EAC反作弊系统被质疑存在远程代码执行漏洞 比赛途中被黑客入侵

APEX或EAC反作弊系统被质疑存在远程代码执行漏洞 比赛途中被黑客入侵 被部署的这个外挂工具名为 TSM HALAL HOOK，在比赛途中屏幕突然出现外挂工具的界面并且显示各种外挂设置参数，这不仅让大量观众一脸懵逼，连游戏选手自己也一脸懵逼。由于突发情况这名游戏选手不得不立即退出比赛以维护游戏的公平性，但 EA 此时尚未叫停游戏，直到进行第四场比赛时黑客再次发动攻击。此次黑客部署的是一个瞄准机器人 (俗称自瞄或者锁头挂之类)，最终 EA 决定终止比赛，而发起攻击的黑客代号名为 Destroyer2009 和 R4ndom，随后 EA 也宣布北美赛事暂停。疑似 Easy Anti-Cheat 反作弊系统进行入侵：事后一名自称是 Destroyer2009 的人告诉 X/Twitter 上一名专门报道反作弊系统的用户称他们通过远程代码执行漏洞入侵了游戏选手的客户端。尽管黑客并未表明是 APEX 漏洞还是 EAC 反作弊系统漏洞，但将这个消息透露给专门报道反作弊系统的用户似乎是在暗示，于是这引起了不少玩家恐慌，因为大家也担心 APEX 或者包含 EAC 反作弊系统的游戏存在漏洞可能会危害他们的系统安全。EAC 称目前并未发现漏洞：目前 Easy Anti-Cheat 开发商也在 X/Twitter 上发布消息称他们已经进行了调查，初步调查显示 EAC 反作弊系统中不存在被利用的 RCE 漏洞，该公司将继续与合作伙伴密切合作以提供任何后续支持。所以现在搞不清楚黑客通过何种方式入侵游戏选手的电脑的，或许 EA 应该出动安全团队的力量对选手电脑进行完整分析 (如果选手愿意的话) 看看到底问题在哪里。 ... PC版： 手机版：