推特用户：Saddle Finance的合同中存在一个的漏洞请立即取款

12月29日消息，币安创始人CZ社交媒体上发表了对10月份事件的新猜测，他表示，“我有理由相信交易机器人平台3Commas存在广泛的API密钥泄漏，如果你曾将API密钥放入3Commas（来自任何交易所），请立即禁用它”。 据3Commas发言人的电邮也证实了该消息，表示看到了黑客的消息，并确认发布文件中的数据是真实的，“我们已经要求币安、KuCoin和其他支持的交易所撤销所有连接到3Commas的密钥，我们正在启动涉及执法的全面调查”。 此外，3Commas还表示，目前还没有发现“内部人员作案”的证据。该发言人表示，“只有少数技术员工可以访问基础设施，我们自11月16日起已采取行动，取消了他们的访问权限。从那时起，我们实施了新的安全措施，不会就此止步。我们正在展开涉及执法部门的全面调查”。

11月11日消息，随着推特高管的离职，Elon Musk警告称，虽然他正努力控制推特的财务状况，但该平台仍然存在破产的可能性。 此外，美国联邦贸易委员会（FTC）表示正在密切关注推特最新动态，因为根据推特于2011年签署的同意协议承诺会保护用户数据，该监管机构也将持续对其进行监督。（金融时报）

1月12日消息，推特隐私中心昨日发布“关于推特用户数据被在线出售事件”的更新，称针对近期媒体报道的推特用户数据被网络出售一事，推特进行了彻底调查，没有证据表明近期被出售的数据是利用推特系统漏洞获取的。这些数据可能是收集的公开数据，它们来自不同的信息源。 公告称，2022年8月，推特告知用户其2022年1月通过“漏洞赏金计划”得知一漏洞的存在，该漏洞泄露了推特用户账户，用户的邮箱地址、手机号码被窃取，目前该漏洞已修复。不过推特当时确认有不良行为者在问题得到解决之前利用了该漏洞后，及时通知了受影响的用户和相关部门 此前1月5日消息，安全公司称，2亿多个推特账户数据已被发布在某黑客论坛并可被免费下载，这与2022年12月报道的影响超过4亿个账户的数据泄露事件相同，系删除了重复项而产生。

11月11日消息，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DFX Finance 项目遭到攻击，攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下： 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数，在该函数中会将第二步中借来的资金转移回 Curve 合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中，使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

11月12日消息，此前一项美国联邦贸易委员会(FTC)下令对推特进行的隐私和数据控制审查并没有发现后来被举报人曝光的失误，引起了对主要技术平台监督的质疑。安永会计师事务所2021年外部审计结论是，推特有适当的保障措施，其“安全控制达到或超过了FTC根据2011年的同意法令要求的保护措施”。而此后数月，推特网络安全主管离职并声称推特的做法存在“严重的缺陷”。这不是第一次发生FTC下令进行的审计忽略了安全方面弱点这样的事件。2015年和2017年，FTC下令对Meta旗下Facebook进行审计，但没有发现该公司的问题，导致剑桥分析公司的数据泄露。Uber和Alphabet旗下谷歌也曾收到FTC的命令。(金十)

10月25日消息，特斯拉CEO埃隆·马斯克发推表示，推特应该成为一个公平的论坛，让分歧很大的信仰之间进行活跃的辩论，即使偶尔会有敌意。(金十)