DIS:安全公司 Dedaub 发现 Solidity 编译器存在漏洞，多数已部署合约中的死代码极大增加 Gas 费成本

安全公司Dedaub团队发现以太坊编程语言Solidity编译器存在漏洞，导致已部署的合约字节码中包括死代码，致使部署和操作智能合约时极大地增加了Gas费成本。Dedaub表示，团队在评估开源二进制分流器Gigahorse时发现了这个错误。当库方法只被合约的构造器调用时，该漏洞就会出现。

安全公司：DegenClub_DMC项目损失约1.9万美元:2月6日消息，据区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示，2023年2月6日， DegenClub_DMC项目遭受黑客攻击，Beosin安全团队分析发现，攻击原因为项目方的DMC代币合约中存在外部可调用的mintFromStaking函数，它允许任意人都可以通过该函数增加指定地址的余额，攻击者通过mintFromStaking函数增加指定地址的余额，再通过交易对中把DMC代币兑换成WBNB实现获利。

累计造成损失约1.9万美元，Beosin Trace追踪发现目前获利资金已被攻击者转移至Tornado.cash中。[2023/2/6 11:49:51]

通过Gigahorse分析，Dedaub发现至少35%合约上存在一些死代码，其中33%占据其运行的大部分字节码。这些结果以NFT代理为主导，但其他代理合约也有同样问题。对于大型合约，该问题可以被忽略，但大多数已部署的合约都是小型合约。Dedain团队在去年11月就已经发现了这个错误，并提醒Solidity团队确认该问题。

安全公司：恶意npm包试图窃取Discord令牌:12月10日消息，DevOps安全公司JFrog在npm（Node.js包管理器）存储库中发现17个新的恶意软件包，这些软件包故意试图攻击和窃取用户的Discord令牌。JFrog安全研究高级主管Shachar Menashe和Andrey Polkovnychenko解释说，劫持用户的Discord令牌（用户凭据）使攻击者能够完全控制用户的账户。

Menashe表示，“如果执行得当，这种类型的攻击会产生严重的影响，在这种情况下，公共黑客工具使这种攻击变得足够容易，即使是新手黑客也可以执行。我们建议各组织采取预防措施并管理其使用npm进行软件管理，以降低将恶意代码引入其应用程序的风险。”

两人解释说，这些软件包的有效负载各不相同，从信息窃取者到完全远程访问后门。他们补充说，这些软件包有不同的感染策略，包括键入错误、依赖性混淆和特洛伊木马功能。这些软件包已经从npm存储库中删除，JFrog安全研究团队表示，它们“在获得大量下载之前”就被删除了。

JFrog指出，由于Discord平台是一款流行的视频/语音/文本聊天应用程序，目前已拥有超过3.5亿注册用户，因此旨在窃取Discord令牌的恶意软件有所增加。（ZDNet）[2021/12/10 7:31:29]

动态 | 网络安全公司在Make-A-Wish基金会网站上检测到加密恶意软件:据cointelegraph消息，近日，网络安全公司Trustwave发布的一份报告称，黑客已经通过加密劫持恶意软件感染了全球非营利组织Make-A-Wish基金会的网站。据Trustwave研究人员称，加密恶意软件设法将一个JavaScript（JS）矿工CoinImp纳入域名worldwish.org，以便非法挖掘以隐私为特点的加密货币 Monero（XMR）。与臭名昭着的Monero采矿软件CoinHive类似，CoinIMP据报道利用网站访问者的计算能力挖掘加密货币。

根据该报告，CoinImp脚本通过drupalupdates.tk域感染了该网站，该域与另一个自2018年5月以来利用关键Drupal漏洞破坏网站的广告系列相关联。研究人员指出，最近检测到的活动部署了许多技术来逃避检测，包括改变其已经混淆的域名，以及WebSocket代理中的不同域和IP 。Trustwave联系了Make-A-Wish以报告加密劫持攻击，但基金会没有回应。在Trustwave试图访问基金会后不久，恶意注入的脚本被删除。[2018/11/21]

标签：OINSCORDISSCObitcoin币价格ScorumMDISScoobi Doge

狗狗币价格热门资讯