【慢雾：Distrust发现严重漏洞，影响使用Libbitcoin Explorer3.x版本的加密钱包】

【慢雾：Distrust发现严重漏洞，影响使用LibbitcoinExplorer3.x版本的加密钱包】2023年08月10日07点09分老不正经报道，据慢雾区消息，Distrust发现了一个严重的漏洞，影响了使用LibbitcoinExplorer3.x版本的加密货币钱包。该漏洞允许攻击者通过破解MersenneTwister伪随机数生成器（PRNG）来访问钱包的私钥，目前已在现实世界中造成了实际影响。漏洞详情：该漏洞源于LibbitcoinExplorer3.x版本中的伪随机数生成器（PRNG）实现。该实现使用了MersenneTwister算法，并且仅使用了32位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。影响范围：该漏洞影响了所有使用LibbitcoinExplorer3.x版本生成钱包的用户，以及使用libbitcoin-system3.6开发库的应用。已知受影响的加密货币包括Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、BitcoinCash和Zcash等。风险评估：由于该漏洞的存在，攻击者可以访问并控制用户的钱包，从而窃取其中的资金。截至2023年8月，已有超过$900,000美元的加密货币资产被盗。解决方案：我们强烈建议所有使用LibbitcoinExplorer3.x版本的用户立即停止使用受影响的钱包，并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。

慢雾：使用 ledgerhq/connect-kit 版本 >1.1.4 的 Dapp 均受影响

慢雾：使用ledgerhq/connect-kit版本>1.1.4的Dapp均受影响2023年12月14日8:33PM慢雾安全威胁情报发现@ledgerhq/connect-kit遭受供应链攻击，攻击者在@ledgerhq/connect-kit>1.1.4的版本中植入了恶意的JS代码从而对加密货币用户发起钓鱼攻击。使用@ledgerhq/connect-kit版本>1.1.4的Dapp均受到影响，请注意排查代码中是否有使用到如下受影响版本。影响版本范围：@ledgerhq/connect-kit1.1.5(攻击者在代码中进行留言)@ledgerhq/connect-kit1.1.6(攻击者在代码中进行留言并植入恶意的JS代码)@ledgerhq/connect-kit1.1.7(攻击者在代码中进行留言并植入恶意的JS代码)慢雾安全团队建议，在没有官方明确修复前，请谨慎使用DApp进行交互操作。