Exvul：多个 Chrome 插件钱包存在严重漏洞

Exvul：多个Chrome插件钱包存在严重漏洞EXVUL技术团队发现了多个Chrome插件钱包存在严重漏洞。据了解，许多谷歌插件钱包使用indexedDB来存储加密密钥数据，然而，这种存储方式存在密文替换攻击的风险。攻击者可以替换受害者的钱包密钥，从而解密受害者的钱包，进而盗取用户的密钥或助记词。目前已经确认存在此漏洞的钱包包括CoinbaseWallet、Crypto.comDIFIWallet、SuiWallet、MyEtherWallet等。

【比特币私钥生成命令行工具bx seed存在弱随机性的重大漏洞，现已修复】

【比特币私钥生成命令行工具bxseed存在弱随机性的重大漏洞，现已修复】2023年08月14日01点21分8月14日消息，milksad.info团队发文称，7月21日发现比特币libbitcoin-explorer（命令行工具bx）中存在一个名为milksad重大漏洞。目前，GitHub页面显示该漏洞已于今日修复并将bxseed命令删除。bxseed工具生成助记词时，仅使用系统时间作为随机性来源，因此bxseed只能生成约40亿助记词中的一个，攻击者很容易重新生成这40亿个助记词。该团队发现超过2600个基于bxseed熵、活跃度高的比特币钱包，其中在2018年都有相似的小额存款。CakeWallet与TrustWallet也存在类似漏洞，其他钱包没有受到该漏洞影响。该漏洞于5月3日已被黑客利用，最严重的盗窃发生于7月12日，共有29.65枚BTC被盗，价值约87万美元。该文称，至少约90万美元被盗资产已被转移。同时，不仅是BTC，ETH、XRP、DOGE、SOL、LTC、BCH、ZEC代币均确认被盗。

【MetaMask发布移动端和插件端钱包更新版本】

【MetaMask发布移动端和插件端钱包更新版本】2023年03月14日09点38分老不正经报道，MetaMask发布移动端和插件端钱包更新版本，其中，MetaMask移动端优化了加载时间、浏览器导航和账户连接；MetaMask插件端通过更多隐私设置来限制数据泄露，增强了onboarding体验。MetaMask表示，优化后的用户界面中，用户可以在MetaMaskMobile中单击一下即可在钱包和浏览器之间切换。此外，在选择连接或断开与DApp的帐户时，有更多的控制和透明度。插件端更新中，创建MetaMask钱包时，系统会提示用户确认助记词(SRP)的前三个词，用户可以在onboarding期间选择任何RPC提供商，并选择退出默认Infura。

【硬件钱包Ledger推出浏览器插件，支持用户直接交互但仍为冷钱包】

【硬件钱包Ledger推出浏览器插件，支持用户直接交互但仍为冷钱包】2023年03月16日09点56分老不正经报道，硬件钱包Ledger推出浏览器插件，该插件旨在提供与MetaMask等加密钱包类似的体验。Ledger表示它不是一个热钱包，仍是一个允许用户直接交互的冷钱包通过蓝牙使用DApp。此外，它有两个功能确保用户在与加密应用交互时的安全：分析智能合约并警告用户交易是否可能是恶意的、模拟交易以显示它将如何影响钱包。Ledger表示，LedgerExtension与基于以太坊和Polygon的DApp和平台兼容，并计划在未来支持更多与EVM兼容的链和Solana。该插件目前仅适用于Safari浏览器，未来将推出对基于Chromium的浏览器的额外支持。

【MetaMask：网传5000枚ETH因其漏洞被盗不实，但正研究此漏洞来源】

【MetaMask：网传5000枚ETH因其漏洞被盗不实，但正研究此漏洞来源】4月19日消息，加密钱包MetaMask引用其开发人员TaylorMonahan的一条不明原因盗币攻击长推文（thread）称，11个链上地址被盗超5000枚ETH并非特指是因MetaMask漏洞导致，声称MetaMask钱包被黑客入侵的说法是不正确的，正与Web3钱包领域的从业者合作研究此漏洞的来源。