[BRC-20 Token ORANGE发布钓鱼链接,提醒用户防范风险]6月9日消息,BRC-20 Token ORANGE 在其推特帐号和 Discord 社区发布的铸币链接系虚假钓鱼网址,提醒用户防范风险。Ordinals Launchpad Luminex 也表示 ORANGE 与 Luminex 没有官方合作关系,提醒用户保持安全,并在采取行动之前始终核实信息。
慢雾安全预警:Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产:3月5日消息,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ,用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站,连接钱包(图 2),点击页面上的“Mint”,出现批准提示框(图 3)。注意,此时的批准提示框并没有什么特别提示,当批准后,该钱包里的所有 SOL 都会被转走。当点击“批准”时,用户会和攻击者部署的恶意合约交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
该恶意合约的功能最终就是发起“SOL Transfer”,将用户的 SOL 几乎全部转走。从链上信息来看,该钓鱼行为已经持续了几天,中招者在不断增加。
提醒:1. 恶意合约在用户批准(Approve)后,可以转走用户的原生资产(这里是 SOL),这点在以太坊上是不可能的,以太坊的授权钓鱼钓不走以太坊的原生资产(ETH),但可以钓走其上的 Token。于是这里就存在“常识违背”现象,导致用户容易掉以轻心。
2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试),没有给用户完备的风险提醒。这非常容易造成安全盲区,导致用户丢币。(慢雾区)[2022/3/5 13:39:42]
声音 | 慢雾安全团队:建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道,针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时,应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。[2018/12/19]
动态 | 慢雾安全团队推出 EOS 合约验证平台:据IMEOS报道,慢雾安全团队推出 EOS 合约验证平台,希望借此为区块链世界构建一个更加安全的生态环境。该功能包括:
1.用户可对已验证 EOS 合约账户的源代码进行查询;
2.项目方可自行上传源代码进行一致性校验。[2018/8/14]
郑重声明: BRC-20 Token ORANGE发布钓鱼链接,提醒用户防范风险版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。