【慢雾余弦：Stake.com被盗或因私钥相关接口/服务被恶意利用】

【慢雾余弦：Stake.com被盗或因私钥相关接口/服务被恶意利用】2023年09月05日09点14分9月5日消息，慢雾创始人余弦在社交媒体上发文表示，Stake.com不仅ETH热钱包被黑，BSC/Polygon热钱包也一样，目前至少超过4130万美元被盗。被盗与私钥出问题有关，可能不一定是私钥被盗走，也可能是私钥有关的接口/服务被恶意利用。此前报道，加密博彩平台Stake.com昨晚疑似遭遇黑客攻击。链上侦探ZachXBT表示，Stake.com在以太坊上被盗1570万的同时，也在BSC和Polygon网络被盗价值2560万美元的加密资产。今日早间，加密博彩平台Stake.com发布公告称，平台所有服务已恢复，所有货币的存提款都在即时处理。

【慢雾创始人余弦：助记词/私钥等敏感信息交给对安全不够负责任的钱包来守护简直就是讽刺】

【慢雾创始人余弦：助记词/私钥等敏感信息交给对安全不够负责任的钱包来守护简直就是讽刺】慢雾创始人余弦在社交媒体上针对AtomicWallet被盗事件称，又一个知名钱包出现严重被盗事件，助记词/私钥如此敏感的信息交给对安全不够负责任或安全等级不足够高的钱包来守护，简直就是讽刺。这里的信息不对称太严重了，连我都难以回答哪些钱包是持续安全的...助记词/私钥就应该躲在加密芯片、离线环境或可信环境里，用多签/MPC去单点故障也行。金色财经此前报道，根据ZachXBT统计的数据，AtomicWallet链上被盗资金已经超过1400万美元，估计至少有2000万美元被盗。

余弦：Safe 多签钱包需改善交互安全设计，以解决首尾号相同地址钓鱼攻击问题

余弦：Safe多签钱包需改善交互安全设计，以解决首尾号相同地址钓鱼攻击问题慢雾创始人余弦在社交媒体上发文称，首尾号相同钱包地址钓鱼攻击，Safe多签钱包用户的损失还挺大。这不是Safe多签合约的风险，而是Safe多签钱包UI的问题，用户交互安全设计需要尽快跟上了。Web3反诈骗平台ScamSniffer在X平台发文表示，过去一周，约有10个Safe钱包因首尾号相同钱包地址钓鱼攻击而损失205万美元。过去四个月内，同一攻击者已从约21名受害者那里窃取了500万美元。

慢雾余弦：建议清除浏览器缓存以消除 Ledger 恶意代码

慢雾余弦：建议清除浏览器缓存以消除Ledger恶意代码慢雾创始人余弦在社交媒体就Ledger漏洞发文表示，1.Ledger模块ledgerhq/connect-kit被投毒问题基本得到了缓解，但被投毒代码可能还在浏览器缓存着，如果不是特别确定，一定清除下浏览器缓存（包括在用钱包App内置浏览器缓存）；2.用户一定要再三确认钱包的每一笔待签名内容；3.Ledger钱包本身不受影响；4.这次供应链攻击细节很耐人寻味，这样的猎手在这个黑暗森林里并不稀有；5.Tether出手及时，冻结了钓鱼获利的USDT，对比起来，USDC一如既往的无视。

【NFT项目Metaconz遭受攻击，黑客利用恶意函数剥夺钱包权限】

【NFT项目Metaconz遭受攻击，黑客利用恶意函数剥夺钱包权限】4月18日消息，基于Klaytn的NFT项目Metaconz的开发者이두희发推文称，上周六，Metaconz的Discord海外团队的管理员帐户被安装了一个恶意机器人，致79名用户损失了11.9ETH（约3.6万美元），团队承诺将赔偿全部损失，目前已有53名用户获得了赔偿。此外，该开发人员提醒到，用户若在Etherscan中执行了setApprovalForAll函数，请无条件转移钱包，因此次攻击中黑客利用此函数剥夺了受害者的钱包权限。

【慢雾：Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用】

【慢雾：TitanoFinance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用】据慢雾区情报消息，2月14日，BSC链上的TitanoFinance项目遭受攻击，损失约190万美元，最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数，导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。