【MetaMask等至少10款浏览器插件钱包存在安全漏洞，部分钱包已修复漏洞】

【MetaMask等至少10款浏览器插件钱包存在安全漏洞，部分钱包已修复漏洞】6月16日消息，包括MetaMask和Phantom在内的至少10款浏览器插件钱包由于Javascript语言中的某个问题导致可能存在暴露登录信息的可能性，该漏洞会使得助记词在内存中存储一段时间从而被攻击者利用。目前MetaMask及Phantom已修复了该漏洞。MetaMask表示，只有全部满足硬盘未加密、助记词被导入至不信任的设备或电脑被黑以及在导入时使用了「显示助记词」功能这三个条件才有被黑的可能性。Halborn因披露该漏洞而获得了5万美元的奖金，并建议用户切换到新的钱包地址。Halborn的联合创始人SteveWalbroehl表示，该漏洞已存在了很长时间，出于谨慎考虑最好更换钱包地址。

WordPress 的加密货币小工具插件存在严重漏洞，存在泄露敏感信息的风险

WordPress的加密货币小工具插件存在严重漏洞，存在泄露敏感信息的风险2月8日消息，新加坡网络安全局(CSA)强调，Web开发平台WordPress的加密货币小工具插件“CryptocurrencyWidgets–PriceTicker&CoinsList”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVEProgram的说法，该插件是由名为“narinder-singh”的供应商提供的，2.0至2.6.5版本均被发现携带该漏洞。上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中，从而从数据库中提取敏感信息。新加坡网络紧急响应小组(SingCERT)发布的安全公告对该插件漏洞的评分9.8/10，属于“严重”级别。（Cointelegraph）

【WordPress的加密货币小工具插件存在严重漏洞，存在泄露敏感信息的风险】

【WordPress的加密货币小工具插件存在严重漏洞，存在泄露敏感信息的风险】2024年02月08日03点11分2月8日消息，新加坡网络安全局(CSA)强调，Web开发平台WordPress的加密货币小工具插件“CryptocurrencyWidgets–PriceTicker&CoinsList”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVEProgram的说法，该插件是由名为“narinder-singh”的供应商提供的，2.0至2.6.5版本均被发现携带该漏洞。上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中，从而从数据库中提取敏感信息。新加坡网络紧急响应小组(SingCERT)发布的安全公告对该插件漏洞的评分9.8/10，属于“严重”级别。（Cointelegraph）

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞1月15日消息，网络安全公司ImpervaRed近日披露了存在于Chrome/Chromium浏览器上的漏洞细节，并警告称全球超过25亿用户的数据面临安全威胁。该公司表示，这个追踪编号为CVE-2022-3656的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。ImpervaRed将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。ImpervaRed表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。在GoogleChrome的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。博文中写道：“这些密钥实际上是一个zip文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。ImpervaRed表示，它已将该漏洞通知谷歌，该问题已在Chrome108中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。src:果核剥壳

【加密钱包公司Dfns：“Magic Links”存在严重漏洞】

【加密钱包公司Dfns：“MagicLinks”存在严重漏洞】2023年02月24日08点32分老不正经报道，加密钱包初创公司Dfns表示，越来越多的加密钱包和网络应用程序采用的无密码登录方法MagicLinks存在严重漏洞，Dfns将其发现的漏洞归类为“零日”漏洞利用。Dfns在一份声明中表示，该漏洞可能“对全球经济的很大一部分构成相当大的风险。受影响的服务表示，在Dfns发布详细介绍所谓的零日漏洞的博客文章之前，他们几乎没有收到任何通知。MagicLinks是由网站或应用程序生成的唯一的一次性URL，用于验证用户身份而无需他们输入密码。当用户单击Web应用程序发送给他们的MagicLinks时，它会验证他们的身份并将他们登录到他们的帐户中。

【TronLink Chrome插件钱包新增支持EVM系网络】

【TronLinkChrome插件钱包新增支持EVM系网络】2023年07月25日04点44分据官方消息，7月25日，官方发布公告称，TronLinkChrome插件钱包即将升级到最新V4.1.1版本。本次升级后，针对Chrome的TronLink插件钱包将新增对EVM（以太坊虚拟机）系网络（以太坊、BSC及BTTC网络）的支持，为用户提供更多样化的选择。得益于版本升级，TronLinkChrome插件钱包的使用范围将进一步扩大，适配更多更复杂的DAPP应用场景，满足用户多样化的资产管理需求，持续推动波场TRON及BTTC生态系统的发展。根据公告，用户可通过TronLinkChrome插件钱包界面左上角图标进入切换钱包界面，以管理不同网络上的资产。与此同时，新版本钱包结构将升级为单HD钱包，用户只需记住一套助记词，即可方便管理波场TRON、以太坊、BSC、BTTC网络的资产。据了解，BTTC的去中心化跨链桥BT.io将优先适配并支持TronLink插件钱包的EVM链相关功能，后续也会有更多EVM链的DAPP适配和支持TronLink插件钱包。