慢雾：OKX DEX Proxy Admin Owner 私钥泄漏，攻击者已获利约 43 万 U

慢雾：OKXDEXProxyAdminOwner私钥泄漏，攻击者已获利约43万U据慢雾区消息，OKXDEX合约疑似出现问题，慢雾分析后发现：用户进行兑换时会授权给TokenApprove合约，DEX合约通过调用TokenApprove合约转移用户代币。DEX合约存在claimTokens函数，允许可信的DEXProxy进行调用，其功能是调用TokenApprove合约的claimTokens函数转移已授权用户的代币。可信的DEXProxy由ProxyAdmin进行管理，ProxyAdminOwner可以通过ProxyAdmin升级DEXProxy合约。ProxyAdminOwner在2023-12-1222:23:47通过ProxyAdmin升级了DEXProxy合约到新的实现合约，新的实现合约功能是直接调用DEX合约的claimTokens函数转移代币。随后攻击者开始调用DEXProxy窃取代币。ProxyAdminOwner在2023-12-1223:53:59再次升级了合约，实现功能与先前类似，升级后继续窃取代币。截止现在获利约43万U。该攻击或为ProxyAdminOwner私钥泄漏，目前DEXProxy已被移出受信列表。

慢雾余弦：CoinStats 钱包私钥成规模泄露且比例有限，待官方披露细节

慢雾余弦：CoinStats钱包私钥成规模泄露且比例有限，待官方披露细节慢雾创始人余弦于X就CoinStats遭攻击一事发文表示：“这个App挺早前用过，方便看目标钱包的资产情况，这类应用挺多，就不点名了。有些是有自己的钱包功能（非得碰这个雷区），允许用户创建钱包及后续使用。我挺好奇的是CoinStatsWallet原则上是用户自托管的，私钥是如何成规模地泄露的，官方说法是其中的1.3%。这种成规模泄露，且比例有限，原因是可以推测出来的，但这里就不说了。等官方披露细节。”今日早些时候消息，CoinStats遭攻击致1590个加密钱包受影响，提醒用户立即转移资金。