CertiK：向 Kraken 报告安全漏洞后员工却遭到其安全运营团队威胁

CertiK：向Kraken报告安全漏洞后员工却遭到其安全运营团队威胁区块链安全机构CertiK在X平台发文称，此前已经发现Kraken交易所的一系列严重漏洞，这些漏洞可能导致数亿美元的潜在损失。CertiK的调查显示，Kraken的存款系统无法有效区分不同的内部转账状态，存在恶意行为者伪造存款交易并提取伪造资金的风险。在测试期间，数百万美元的虚假资金可以被存入Kraken账户，并提取超过100万美元的伪造加密货币转化为有效资产，且Kraken系统未触发任何警报。CertiK通知Kraken后，Kraken将漏洞分类为“严重”（Critical），并初步修复了问题。但CertiK指出，Kraken安全团队随后威胁CertiK员工，要求在不合理的时间内偿还不匹配的加密货币，并未提供还款地址。为了保护用户安全，CertiK决定公开此事，呼吁Kraken停止对白帽黑客的任何威胁，强调通过合作应对风险。

Paradigm 研究员：Twitter 安全漏洞现已修复

Paradigm研究员：Twitter安全漏洞现已修复Paradigm研究员samczsun发文称，社交媒体X（原Twitter）出现的仅点击链接就能获得用户账户完全访问权限的关键漏洞目前已修复完成，该问题为Twitter子域中的反射XSS和CORS/CSP绕过允许以本地身份验证的用户身份向TwitterAPI发出任意请求。今日早些时候消息，fuzzland联创ChaofanShou在X平台发文表示，发现X（原Twitter）存在未修复的漏洞。Paradigm研究员samczsun引用其推文并表示，黑客只需点击一个链接，就能完全访问Twitter账号。黑客可以发推、转发、点赞、屏蔽等，但无法更改用户密码。在漏洞修复之前，用户需安装uBlockOrigin保护账号安全。

CertiK：向Kraken报告安全漏洞后员工却遭到其安全运营团队的威胁

CertiK：向Kraken报告安全漏洞后员工却遭到其安全运营团队的威胁CertiK宣布在Kraken交易所发现了一系列严重漏洞，这些漏洞可能导致数亿美元的潜在损失。在测试期间，数百万美元的虚假资金可以被存入Kraken账户，并提取超过100万美元的伪造加密货币转化为有效资产，且Kraken系统未触发任何警报。https://www.panewslab.com/zh/sqarticledetails/r4ndd6e2.html

【CertiK：苹果iOS内核存在的两个安全漏洞会对iOS设备造成影响】

【CertiK：苹果iOS内核存在的两个安全漏洞会对iOS设备造成影响】2023年08月09日10点40分老不正经报道，根据苹果公司最新操作系统更新的发布说明，区块链安全机构CertiK因与苹果iOS内核的两个安全漏洞有关的安全贡献获苹果官方认可。经证实，这些漏洞会对最新的iOS设备造成影响。据苹果公司官方安全更新页面信息显示，这些漏洞会允许“一个应用程序以内核权限执行任意代码”。在最新发布的版本中，苹果已通过改进内存处理来解决这些漏洞。

Apple 发布更新修复被以色利NSO间谍软件公司利用的安全漏洞

Apple发布更新修复被以色利NSO间谍软件公司利用的安全漏洞周一，在安全研究人员发现一个漏洞后，苹果公司针对其产品中的一个关键漏洞发布了紧急软件更新，该漏洞允许以色列国家统计局集团的高度侵入性间谍软件感染任何人的iPhone、iPad、AppleWatch或Mac电脑，而无需点击。在多伦多大学网络安全监管机构CitizenLab的研究人员发现一名沙特激进分子的iPhone感染了NSO的高级间谍软件之后，Apple的安全团队自周二以来一直在夜以继日地开发修复程序。https://www.nytimes.com/2021/09/13/technology/apple-software-update-spyware-nso-group.html