10 月 29 日,Web3 大会在上海外滩茂悦隆重举行!本次大会持续两天,至 30 日结束。除了数十位来自全球学术界、互联网、开源社区、风险投资、数字艺术和媒体社区的嘉宾,大会还集结了数百名开发者、研究人员和创业者,齐聚上海外滩茂悦,分享新思潮,为大家带来一场数字资产行业的"饕鬄盛宴”。
这是一场真正的 Web3.0 盛会
这是 Web3 大会首次来到中国上海举办,旨在为去中心化项目团队搭建协作与交流的桥梁。Web3 大会围绕着一句号召组织而成:促进运转良好的、用户友好的 Web3.0 网络。这也是 Web3.0 的愿景 —— 创造新一代互联网,让每个用户掌握自己的数据、身份和命运。
慢雾:共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息,慢雾首席信息安全官23pds发推表示,针对共享Apple ID导致资产被盗现象,核心问题是应用没有和设备码绑定,目前99%的钱包、交易App等都都存在此类问题,没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行,攻击者在配合其他手法如社工、爆破等获取的密码,导致资产被盗。23pds提醒用户不要使用共享Apple ID等,同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]
Web3 大会由 Web3 基金会主办,Web3 基金会旨在促进加密和去中心化软件、协议、创新技术和应用,开发第三代互联网 Web3.0。核心是研究、开发、部署、资助和维护 Web3 技术。
本次大会嘉宾的邀请沿袭了“Web3 大会”价值观:欢迎所有协议项目、所有开发者、所有来自不同背景和持有各色观点的人参与其中。本次大会主题讲座主要围绕区块链技术与 Web3 相关倡导计划。
慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。
据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]
余弦:区块链安全,永无止境的战争
作为区块链安全技术领域的资深专家,中国计算机学会计算机安全专委会委员,知名黑客,网络空间搜索引擎 “ZoomEye(钟馗之眼)” 创建者,Joinsec 创始人、前知道创宇技术副总裁、404 团队 Leader,慢雾科技创始人余弦受邀于 10 月 30 日进行《区块链安全,永无止境的战争》的主题演讲,与现场的各位业界先锋共同围绕『区块链安全』这一话题,开展了一场深度的探讨。
慢雾:警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道,近期,慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试,通过一个如图这样的“Root 签名”即可以极低成本(特指“零元购”)钓走目标用户在 Blur 平台授权的所有 NFT,Blur 平台的这个“Root 签名”格式类似“盲签”,用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕,当发现来非 Blur 官方域名(blur.io)的“Root 签名”,一定要拒绝,避免潜在的资产损失。[2023/3/7 12:46:39]
慢雾:pGALA合约黑客已获利430万美元:11月4日消息,安全团队慢雾在推特上表示,pGALA合约黑客已将大部分GALA兑换成13,000枚BNB,获利超430万美元,该地址仍有450亿枚Gala,但不太可能兑现,因为资金池基本已耗尽。此外,黑客的初始资金来自几个币安账户。
今日早些时候消息,一个BNB Chain上地址在BNB Chain上地址凭空铸造了超10亿美元的pGALA代币,并通过在PancakeSwap上售出获利。pNetwork表示此为跨链桥配置错误所致,GALA跨链桥已暂停,请用户不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]
余弦指出,DeFi 安全不仅仅是指智能合约安全,还包括区块链基础安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合规安全。他还表示,在区块链的世界里,作恶成本低到令人发指。目前已披露的被盗数字资产价值已超 135.67 亿美元,未披露的数量可能比已披露的多一倍。
慢雾:Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用:据慢雾区情报消息,2月14日,BSC链上的Titano Finance项目遭受攻击,损失约190万美元,最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。[2022/2/14 9:51:14]
具体可参考慢雾 Hacked 档案库:https://hacked.slowmist.io/
值得一提的是,余弦认为 “代码即法律” 是一句不切实际且不负责任的话。他认为区块链安全远不止发生在区块链上,矿池、交易所、钱包等都存在被攻击的风险。他最后强调,信息边界在哪,战争就在哪。
以下为余弦关于《区块链安全,永无止境的战争》演讲内容:
参考来源:
https://forum.web3.foundation/
https://mp.weixin.qq.com/s/wMHpocjXaV1DPME329nwyw
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。