安全團隊：dydx的SDK用了一個惡意的第三方組件，可能導致用戶憑據泄露_Rubic

9月24日消息，據BeosinEagleEye平臺輿情監測顯示，MaciejMensfeld發現的服務器異常文件http://api.circle-cdn.com/setup.py，通過對比代碼，發現與樣某樣本庫中的一份惡意代碼樣本一致https://dwz.win/azUFBeosin安全團隊深入分析發現攻擊者通過在本機執行以下代碼獲取系統敏感信息：接著利用socket庫函數gethostname提取dns解析，同時獲取當前用戶基本信息并進行數據封裝。然后將組裝好的信息利用curl命令以文件格式發到api.circle-cdn.com的服務器上，以隨機數字命名的txt格式，執行上傳之后并做了清理工作，沒有留下生成的臨時文件。Beosin安全團隊總結：此腳本目的是獲取用戶計算機上的敏感配置文件，有些配置文件可能會導致重要的賬戶憑證信息失竊，會帶來較大的風險。

谷歌向蘋果安全團隊支付15,000美元漏洞賞金:金色財經報道，谷歌證實，蘋果安全工程和架構團隊在Chrome網絡瀏覽器中發現了一個高嚴重性安全漏洞。此外，SEAR團隊還因發現和披露漏洞而獲得了Google 15,000美元的獎金。這一特定披露的消息是在8月2日的Chrome更新公告中發布的，確認了由于外部貢獻者漏洞報告而進行的11個安全修復。CVE-2023-4072是ChromeWebGL實現中的一個“越界讀寫”漏洞。

WebGL是JavaScript應用程序編程接口，可以在瀏覽器中渲染交互式圖形，而無需任何插件。存在越界漏洞，程序可以從分配的內存區域的邊界之外讀取數據（在本例中是寫入數據）。谷歌并沒有透露太多有關此漏洞的信息，而是對技術細節進行了限制，直到大多數Chrome用戶激活了更新。此外，VulnDB指出，成功利用漏洞需要用戶交互。目前也沒有已知的漏洞可用。[2023/8/7 21:30:01]

安全團隊：Rubic被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

360安全團隊發現某種以太坊ERC-20智能合約存在漏洞，隨時可能受到黑客攻擊:昨晚360安全團隊發現某種以太坊ERC-20智能合約存在漏洞，隨時可能受到黑客攻擊。在發現漏洞不久，360安全團隊通過自研的監控平臺發現有人欲通過智能合約的批量轉賬方式無限生成代幣，經過與相關方的及時溝通現漏洞已修復，也提醒投資人投資有風險，應對投資標的保持清醒認知。360作為全球最大互聯網安全企業，致力于提供區塊鏈相關安全解決方案，為區塊鏈行業客戶及互聯網用戶提供安全保障。[2018/5/19]

Tags：EOSSINRubicRUBneos幣什么情況BUSINESSES價格RUBY

火必