onekey:安全公司Unciphered破解OneKey制造的加密硬件钱包

金色财经报道，根据官方公告，安全公司Unciphered成功破解了OneKey制造的加密硬件钱包，OneKey是一家总部位于香港的公司，去年筹集了2000万美元。在硬件钱包中，授予对加密资产访问权限的私钥离线存储并受物理设备保护，这使得它们更不容易受到黑客攻击或盗窃，但是Unciphered能够绕过OneKeyMini中的硬件安全机制，该公司成功实施了“中间人”钱包黑客攻击，它能够通过利用漏洞从OneKeyMini硬件钱包中提取助记种子短语。OneKey承认了该漏洞，表示其硬件团队已经更新了安全补丁，没有任何人受到影响，团队还向Unciphered支付了漏洞赏金，以感谢他们对OneKey安全性的贡献。

安全公司：已阻止一次攻击并帮助0xsifu挽救100 ETH:4月9日消息，安全公司BlockSec发推称，已成功阻止一个攻击交易并挽救100 ETH，0xsifu可以与其联系。

据此前报道，派盾发推称，SushiSwap RouteProcessor2合约存在与Approve相关漏洞，导致Frog Nation前CFO 0xsifu损失超过330万美元（约1900 ETH）。派盾提醒用户尽快撤销0x044b7开头合约相关权限以避免遭受损失。

此前推特用户Trust表示，自己已进行白帽黑客攻击并转移0xsifu的100 ETH，希望将其归还给0xsifu，0xsifu可以私信联系自己。Trust之后发推称，“这太疯狂了。在我拯救一切之前，MEV机器人已经部署合约并复制了攻击。”[2023/4/9 13:53:12]

安全公司：The Sevens系列NFT合约中包含可以将持有者NFT转移的函数:金色财经消息，BlockSec在推特上表示，The Sevens系列NFT合约中包含“takeToken”函数，它要求msg.sender是一个状态变量staking Contract，该函数可以将该系列NFT进行转移而无论持有者是谁。此外，合约所有者可以将staking Contract修改为任意地址。[2022/4/25 14:47:57]

安全公司：YFV项目勒索事件根本原因在于没有做好上线前的代码审计工作:今日早间，基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。

成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的 lastStakeTimes“stakeFor”= block.timestamp; 语句会更新用户地址映射的laseStakeTimes“user”。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes“account”+72小时。

综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。根据链上信息，我们找到了两笔疑似攻击的交易，两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。[2020/8/25]

标签：STASTAKONEonekeyEnjinstarterNFT2Stakeonekey实体卡苹果电脑能下载onekey插件吗

pepe最新价格热门资讯