慢霧CISO：Telegram官方一個拼寫錯誤導致另一文件格式繞過執行漏洞

4月12日消息，慢霧首席信息安全官（CISO） 23pds 在 X 平臺發文表示，Telegram 官方一個拼寫錯誤，導致的另一個文件格式繞過執行漏洞。請用戶注意更新、注意安全。

其它快訊：

慢霧安全預警：Solana出現惡意合約授權釣魚事件 可轉走用戶全部原生資產:3月5日消息，Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投 NFT (圖 1) ，用戶通過空投 NFT 描述內容里的鏈接 (www_officialsolanarares_net) 進入目標網站，連接錢包(圖 2)，點擊頁面上的“Mint”，出現批準提示框(圖 3)。注意，此時的批準提示框并沒有什么特別提示，當批準后，該錢包里的所有 SOL 都會被轉走。當點擊“批準”時，用戶會和攻擊者部署的惡意合約交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

該惡意合約的功能最終就是發起“SOL Transfer”，將用戶的 SOL 幾乎全部轉走。從鏈上信息來看，該釣魚行為已經持續了幾天，中招者在不斷增加。

提醒：1. 惡意合約在用戶批準(Approve)后，可以轉走用戶的原生資產(這里是 SOL)，這點在以太坊上是不可能的，以太坊的授權釣魚釣不走以太坊的原生資產(ETH)，但可以釣走其上的 Token。于是這里就存在“常識違背”現象，導致用戶容易掉以輕心。

2. Solana 最知名的錢包 Phantom 在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試)，沒有給用戶完備的風險提醒。這非常容易造成安全盲區，導致用戶丟幣。（慢霧區）[3/5/2022 12:21:43 AM]

聲音 | 慢霧：EOS假充值紅色預警后續:慢霧安全團隊今早發布了 EOS 假充值紅色預警后，聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現：從昨日開始，存在十幾個帳號利用這類攻擊技巧對數字貨幣交易所、錢包等平臺進行持續性攻擊，并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防御措施，嚴格校驗發送給自己的轉賬交易在不可逆的狀態下確認交易的執行狀態是否為 executed。除此之外，確保以下幾點防止其他類型的“假充值”攻擊： 1. 判斷 action 是否為 transfer 2. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約 3. 判斷代幣名稱及精度 4. 判斷金額 5. 判斷 to 是否是自己平臺的充幣賬號。[3/12/2019 12:00:00 AM]

動態 | 慢霧區發布XRP假充值漏洞預警:據慢霧區披露，瑞波幣(XRP)存在假充值漏洞（類似于之前披露的 USDT 及以太坊代幣假充值漏洞），已有真實攻擊在發生，一旦攻擊成功，會非常嚴重。[7/30/2018 12:00:00 AM]