ALL:慢雾余弦：用Trust Wallet浏览器扩展并在去年11月14日至23日期间创建的钱包存在私钥被破解风险_WAL

慢雾创始人余弦发推表示，如果用了TrustWallet浏览器扩展且在2022年11月14日至23日期间创建了钱包，那么这个钱包就存在风险。本质原因是当时TrustWallet浏览器扩展使用的MT19937伪随机数生成器没有提供足够的随机性，导致私钥可以被破解。目前TrustWallet已披露该风险，所幸损失小。

慢雾：LendHub疑似被攻击损失近600万美金，1100枚ETH已转移到Tornado Cash:金色财经报道，据慢雾区情报，HECO生态跨链借贷平台LendHub疑似被攻击，主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后，将部分资金跨链到Heco链展开攻击后获利，后使用多个平台（如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge）跨链或兑换被盗资金。截至目前，黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析，慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]

TrustWallet称，事件发生后，TrustWallet迅速修补了漏洞，所有在这些日期之后创建的地址都是安全的。不过，TrustWallet仍然检测到两起攻击，攻击共造成了约17万美元的损失。对此，TrustWallet将补偿因漏洞导致的黑客攻击而造成的符合条件的损失，并为受影响的用户创建了补偿流程。目前受影响地址剩余的总余额约为8.8万美元。TrustWallet敦促受影响的用户尽快转移资金。避免使用他人提供的地址。

声音 | 慢雾科技联合创始人：如果算上恶意挖矿 门罗币是暗网第一币王:慢雾科技联合创始人余弦发微博表示：如果只是支付和结算，门罗币是暗网第二大数字货币，如果加上恶意挖矿这类黑暗生态，门罗币是暗网第一币王。 ????之后有网友评论称，“门罗社区也在努力区分恶意的僵尸挖矿。前一阵好像有做过一个帮助用户区别自己是否被木马程序植入挖矿的软件。注重隐私并不代表门罗币社区鼓励你使用门罗币进行违法活动。”余弦回复表示同意。[2018/12/9]

分析 | 慢雾安全团队提醒｜EOS假账号安全风险预警:根据IMEOS报道，EOS 假账号安全风险预警，慢雾安全团队提醒：

如果 EOS 钱包开发者没对节点确认进行严格判断，比如应该至少判断 15 个确认节点才能告诉用户账号创建成功，那么就可能出现假账号攻击。

攻击示意如下：

1. 用户使用某款 EOS 钱包注册账号（比如 aaaabbbbcccc），钱包提示注册成功，但由于判断不严格，这个账号本质是还没注册成功

2. 用户立即拿这个账号去某交易所做提现操作

3. 如果这个过程任意环节作恶，都可能再抢注 aaaabbbbcccc 这个账号，导致用户提现到一个已经不是自己账号的账号里

防御建议：轮询节点，返回不可逆区块信息再提示成功，具体技术过程如下：

1. push_transaction 后会得到 trx_id

2. 请求接口 POST /v1/history/get_transaction

3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]

标签：ALLUSTSTWWALMulti Wallet SuiteUST币trustwallet钱包安全吗trustwallet钱包被冻结

FIL热门资讯