【安全团队：黑客团伙利用恶意的 npm 包盗取助记词和数字资产】

【安全团队：黑客团伙利用恶意的npm包盗取助记词和数字资产】5月3日消息，据慢雾区情报反馈，近期有黑客团伙利用恶意的npm包进行投毒盗取助记词和数字资产。受害者使用了opensea-wallet-providernpm包在使用助记词的时候，恶意的包会将助记词发送到攻击者的服务器上，从而窃取受害者的助记词。由于在npmjs.com上传npm包不需要进行审核，并且包的基础信息可以任意填写，因此攻击者可以构造恶意的npm包，并伪造npm包的基础信息混淆视听，骗开发人员安装恶意的包。建议排查代码中是否有使用到该恶意的opensea-wallet-providernpm包。如果有使用到注意及时转移资产并更换钱包助记词。在日常安装使用npm包的时候要注意审查包的可靠性和真实性，可以通过查看包的下载量进行辅助分析，还可以通过包的下载链接进行识别，一般开源的包会放在官方团队维护的GitHub仓库中。

【安全团队：包含远程访问木马“Parallax RAT”的恶意软件正以加密公司为目标】

【安全团队：包含远程访问木马“ParallaxRAT”的恶意软件正以加密公司为目标】2023年03月01日02点47分3月1日消息，安全分析平台Uptycs在一份新报告中表示，加密货币公司正成为一项新型恶意软件的目标，该软件中包含了一种名为ParallaxRAT的远程访问木马。据悉，此软件使用注入技术隐藏在合法进程中，很难被发现。一旦成功注入，攻击者就可以通过Windows记事本与受害者进行互动，这可能是一个通信渠道。ParallaxRAT允许攻击者远程访问受感染设备，具有上传和下载文件以及记录击键和屏幕截图等功能。除了收集系统元数据，ParallaxRAT还能够访问存储在剪贴板的数据，甚至远程重启或关闭受感染设备。

安全团队：存在恶意Chrome扩展修改交易平台提款申请，Coinbase与Binance等均受影响

安全团队：存在恶意Chrome扩展修改交易平台提款申请，Coinbase与Binance等均受影响8月22日消息，WalletGuard安全团队官方表示，近期发现新的Chrome扩展骗局，欺诈者利用Chrome扩展来拦截和修改交易平台存款地址和提款申请。通过利用内容脚本修改用户正在访问的网站，并在官方chrome商店中声称是“GoogleSheets”，而真正的扩展名为“Sheets”，图标完全不同。目前Coinbase、Binance、KuCoin和Gate.io均受影响。BlockBeats提醒用户切勿下载可疑来源Chrome扩展，谨防诈骗。

【安全团队：零转账诈骗升级，链上出现多起同等数额转账诈骗】

【安全团队：零转账诈骗升级，链上出现多起同等数额转账诈骗】2023年04月10日07点25分老不正经报道，据欧科云链OKLink安全团队监控，近期链上出现多起同等数额代币转账诈骗，具体表现为用户在钱包每转出一笔，就有恶意构造相同金额和相同代币类型的可疑交易。紧跟着的那笔转账的代币是虚假代币，to地址和正常的那笔首尾若干位相同，诈骗者期望用户后续不小心拷贝到相似地址进行转账。OKLink提醒用户在转账时需谨慎，仔细核对to地址。

【安全团队：SUSHI RouteProcessor2 遭受攻击，请及时撤销对其的授权】

【安全团队：SUSHIRouteProcessor2遭受攻击，请及时撤销对其的授权】2023年04月09日12点53分老不正经报道，据慢雾安全团队情报，2023年4月9日，SUSHIRouteProcessor2遭到攻击。慢雾安全团队以简讯的形式分享如下：1.根本原因在于ProcessRoute未对用户传入的route参数进行任何检查，导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。2.由于在合约中并未对Pool是否合法进行检查，直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。3.恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数，由于lastCalledPool变量已被设置为Pool，因此uniswapV3SwapCallback中对msg.sender的检查被绕过。4.攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数，以窃取其他已对RouteProcessor2授权的用户的代币。幸运的是部分用户的资金已被白帽抢跑，有望收回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x044b75f554b886a065b9567891e45c79542d7357的授权。

【安全团队：建议用户取消不同链上Sushiswap RouteProcessor2合约的授权】

【安全团队：建议用户取消不同链上SushiswapRouteProcessor2合约的授权】2023年04月09日02点34分老不正经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9日，Sushiswap项目遭到攻击，部分授权用户资产已被转移。根本原因是由于合约的值lastCalledPool重置在校验之前，导致合约中针对pool的检查失效，从而允许攻击者swap时指定恶意pool转出授权用户资金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例：1.攻击者在约30天前创建了恶意pool合约2.调用SushiSwap的路由函数processRoute进行swap，指定了创建的恶意合约为pool合约3.最后在swap后恶意合约调用uniswapV3SwapCallback，指定tokenIn为WETH，from地址为受害者用户地址(sifuvision.eth)，从而利用受害用户对路由合约的授权转移走资金。建议用户取消不同链上SushiswapRouteProcessor2合约的授权。