【Jump Crypto安全团队在Cosmos生态智能合约平台CoWa发现堆栈溢出漏洞，目前已修复】

【JumpCrypto安全团队在Cosmos生态智能合约平台CosmWasm发现堆栈溢出漏洞，目前已修复】2023年06月02日11点50分6月2日消息，JumpCrypto安全团队在Cosmos生态智能合约平台CosmWasm中发现了一个堆栈溢出漏洞，该漏洞可能允许在基于Cosmos的区块链上上传新智能合约的用户完全停止这些链。JumpCrypto已于4月份与CosmWasm团队合作创建修复程序，不过尚需一些时间让依赖CosmWasm的链采用此修复程序。

【Convex Finance已修复可能导致150亿美元Rug Pull损失的漏洞】

【ConvexFinance已修复可能导致150亿美元RugPull损失的漏洞】4月5日消息，区块链安全公司OpenZeppelin在ConvexFinance中发现一个可能导致150亿美元RugPull损失的漏洞。OpenZeppelin通过Immunifi披露该问题，该漏洞已被修复。OpenZeppelin发文称，2021年末，作为针对Coinbase安全审计的一部分，OpenZeppelin对ConvexFinance协议进行了安全审计。安全研究小组发现了一个漏洞，如果多重签名钱包（multisig）三个匿名签名者中的两个人利用该漏洞，将会使Convexmultisig直接控制Convex的锁仓资产，当时价值大约150亿美元。Convex文件明确指出这种控制是不可能的。这个漏洞后来被Convex团队修复了。该漏洞从未被利用，也没有任何资金损失。（TheBlock）

【TRON多重签名漏洞使超过5亿美元的资产面临风险，目前该漏洞已被披露并修复】

【TRON多重签名漏洞使超过5亿美元的资产面临风险，目前该漏洞已被披露并修复】2023年05月30日09点30分老不正经报道，区块链安全公司DWalletLabs发现TRON多重签名账户中的一个零日漏洞使超过5亿美元的数字资产面临风险，此漏洞允许多重签名帐户的任何签名者（具有任何权重）完全克服TRON提供的多重签名安全性，无论帐户中定义的阈值和签名者数量如何。目前该漏洞已被披露并修复，因此现在没有用户资产处于风险之中。

在WordPress营销插件OptinMonster中发现了一个关键漏洞，该插件用于创建订阅表单。该插件非常受欢迎 —— 它已经

在WordPress营销插件OptinMonster中发现了一个关键漏洞，该插件用于创建订阅表单。该插件非常受欢迎——它已经被安装在100多万个网站上。这都是由于API端点实现得不好。特别有问题的是/wp-json/omapp/v1/support：很多数据可以通过它被提取出来，包括API密钥。然后，入侵者就可以注入任意的JavaScript代码，改变插件设置，设置恶意的重定向，还可以做许多其他讨厌的事。而且不需要认证——这很容易被绕过。技术细节见下面WordFencе报告。发现该漏洞的研究人员建议该插件完全重新设计API。幸运的是，开发商也有同样的看法，所以他们会在未来几周内解决这个问题。现在，最好是将该插件更新到安全版本，并生成新的API密钥，以防万一。https://www.wordfence.com/blog/2021/10/1000000-sites-affected-by-optinmonster-vulnerabilities/#ThreatIntelligence#Security

莱特币发布 Litecoin Core v0.21.3rc3：修复 CPU 拒绝服务漏洞利用等

莱特币发布LitecoinCorev0.21.3rc3：修复CPU拒绝服务漏洞利用等据LitecoinFoundation官方消息，莱特币发布LitecoinCorev0.21.3rc3，这也是LitecoinCore0.21.3的候选版本，该版本包括新功能和各种错误修复以及重要的安全更新，修复允许攻击者造成远程带宽和CPU拒绝服务漏洞利用，同时添加MWEB轻客户端p2p消息、以及针对macOS的构建更改，主要将macOS构建SDK更新到Xcode12.1，将最低macOS版本增加到10.15.6。