Thirdweb：发现多个智能合约存在安全漏洞

Thirdweb：发现多个智能合约存在安全漏洞12月5日消息，Web3开发工具平台Thirdweb在其官方博客中称，11月20日18:00发现多个Web3智能合约（包括Thirdweb的一些预构建智能合约）的常用开源库中存在安全漏洞，包括AirdropERC20（v1.0.3及更高版本），ERC721（v1.0.4及更高版本），ERC1155（v1.0.4及更高版本）等。除了智能合约受影响外，包括钱包、支付和基础设施服务，均未受到影响，正常运作。2022年8月，Thirdweb以1.6亿美元估值完成了2400万美元融资，由HaunVentures领投，CoinbaseVentures、Shopify、ProtocolLabs、Polygon、ShrugVC、亿万富翁JosephLacob等参投。

【Yearn：yUSDT代币合约中漏洞存在于多个版本，下游协议的流动性提供者仍受影响】

【Yearn：yUSDT代币合约中漏洞存在于多个版本，下游协议的流动性提供者仍受影响】4月14日消息，YearnFinance在推特上发布攻击事件调查进展，称如之前所诉，Yearn被攻击的根本原因是遗留在iEarnUSDT(yUSDT)代币合约中的漏洞。这个漏洞存在于多个版本中，并导致多个Curve池（y、busd、pax）被利用和耗尽。将LP代币存入下游协议的流动性提供者仍然受到影响，这包括封装这些受影响的LP的Yearnv2保险库(2)和旧版v1保险库(2)的用户。在之前的推文中，Yearn表示，当前版本Yearnv2Vaults不受影响。此前昨日消息，YearnFinance项目遭受攻击，黑客获利超1000万美元。

【Vyper编译器发布漏洞事件分析报告，漏洞已于v0.3.1修复并测试】

【Vyper编译器发布漏洞事件分析报告，漏洞已于v0.3.1修复并测试】2023年08月06日06点08分8月6日消息，以太坊编程语言Vyper发布有关上周漏洞事件的事后分析报告：7月30日由于Vyper编译器中的潜在漏洞，多个Curve流动性池被利用，该漏洞本身是一个未正确实施的重入防护，受影响的Vype版本为v0.2.15、v0.2.16、v0.3.0。Vyper称该漏洞已于v0.3.1修复并测试，v0.3.1及更高版本是安全的。然而，当时并没有意识到对实时合约的影响，也没有通知下游协议。未来将加强使用Vyper协议更严格的双向反馈并推出相关错误赏金计划和竞赛。

AMD Ryzen CPU 正受到这些严重漏洞的影响

AMDRyzenCPU正受到这些严重漏洞的影响AMD承认的所有四个漏洞都被标记为高严重性漏洞。下表列出了缓解各代处理器所有问题所需的最低AGESA版本。有关影响每种处理器的问题和解决方案的更详细细目，请参阅该公司的安全公告。其中一个漏洞被命名为CVE-2023-20576，由于BIOS中的数据真实性验证不足，攻击者可利用该漏洞发起拒绝服务攻击或提升权限。另外两个漏洞（CVE-2023-20577和CVE-2023-20587）可通过系统管理模式访问SPI闪存，从而执行任意代码。另一个被称为CVE-2023-20579的漏洞可通过AMDSPI保护功能中不当的访问控制导致完整性和可用性问题。使用Ryzen3000系列台式机CPU、4000系列移动APU、嵌入式V2000芯片或V3000系统的用户在接下来的几个月中应格外警惕，因为影响这几代产品的问题尚未全部得到修补。计划于本月晚些时候进行的更新将解决4000系列APU的漏洞，而2024年3月的BIOS更新将修复3000系列CPU的漏洞。受影响的嵌入式产品将在4月份收到修补程序。所有其他Zen处理器都在2023年年中至本月初的更新中获得了相关修复。对于第二代Epyc处理器来说，缓解去年Zenbleed攻击的更新也能防止新漏洞的出现。有几种方法可以检查和更新BIOS版本。在大多数现代PC中，这两种方法都可以直接从BIOS本身进行。在系统启动时按下指定按钮进入BIOS后，主菜单上应显示版本号。自动更新功能因主板制造商而异。要在不重启Windows的情况下检查BIOS版本，请在搜索栏输入"系统信息"或在任务栏搜索栏输入"msinfo"，启动系统信息应用程序。版本和日期应出现在右侧窗格的列表中。最新的BIOS版本通常可以在主板制造商网站的支持部分找到。所有主要的主板制造商也会通过可选的管理软件提供自动更新。...PC版：https://www.cnbeta.com.tw/articles/soft/1418313.htm手机版：https://m.cnbeta.com.tw/view/1418313.htm

Eigenlayer 将在 EIGEN 代币推出之时引入主体间分叉

Eigenlayer将在EIGEN代币推出之时引入主体间分叉4月30日消息，Eigenlayer在GitHub上发布的白皮书上描述了其主体间分叉协议V1版本的高级概述。Eigenlayer将引入新的加密经济安全系统，称为主体间分叉，旨在对以太坊再抵押起到补充作用。Eigenlayer中有两种独立的代币，其中，bEIGEN（由EIGEN提供支持）用于质押，而EIGEN用于非质押目的，例如DeFi。bEIGEN可以进行分叉。bEIGEN和EIGEN都是ERC20合约。任何人都可以立即将1bEIGEN换成1EIGEN，反之亦然。只有当前支持EIGEN的bEIGEN分叉才会被考虑进行封装和解封装。Eigenlayer将在V1之上构建V2，在V3中，将实现抵御安理会恶意行为的能力。在V1全面启动之前，主体间AVS会有一个白名单流程，所有列入白名单的AVS由所有EIGEN利益相关者运行。