慢雾：昨日MEV机器人攻击者恶意构造无效区块建议中继运营者及时升级

金色财经报道，慢雾创始人余弦在X平台发文表示，“最近有人说中招了Easy to Use Arbitrage MEV Bot for Uniswap，所谓的Uniswap套利MEV机器人，很容易就会将打入的套利本金流入骗子钱包地址里。请用户提高警惕。”

金色财经 报道，慢雾安全提醒，近期有攻击者利用 WordPress 插件漏洞攻击正常的站点，然后在站点中注入恶意的 js 代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行 Web3 钱包签名，从而盗取用户的资产。 建议有使用WordPress插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及 Web3 签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。

金色财经报道，据慢雾区消息，Nuxt.js远程代码执行漏洞(CVE-2023-3224) PoC在互联网上公开，目前已出现攻击案例。Nuxt.js是一个基于Vue.js的轻量级应用框架，可用来创建服务端渲染(SSR) 应用，也可充当静态站点引擎生成静态站点应用，具有优雅的代码结构分层和热加载等特性。Nuxt中存在代码注入漏洞，当服务端以开发模式启动时，远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中，Nuxt == 3.4.0，Nuxt == 3.4.1，Nuxt == 3.4.2 均受到影响。加密货币行业有大量平台采用此方案构建前后端服务，请注意风险，并将Nuxt升级到3.4.3或以上版本。

金色财经报道，据慢雾区消息，Nacos 出现远程代码执行漏洞攻击案例。Nacos 是 Alibaba 开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台，帮助用户快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在处理某些基于 Jraft 的请求时，采用 Hessian 进行反序列化，但并未设置限制，导致应用存在远程代码执行（RCE）漏洞。其中，1.4.1 <= Nacos < 1.4.6，使用 cluster 集群模式运行受影响；1.4.0、2.0.0 <= Nacos < 2.2.3，任意模式启动均受到影响。加密货币行业有大量平台采用此方案，请注意风险，并将 Nacos 升级到官方最新新版本。

金色财经报道，SlowMist发布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻击，利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日，利用者发起了20提案，并在提案中说明20提案是对16提案的补充，具有相同的执行逻辑。但实际上，提案合约多了一个自毁逻辑，其创建者是通过create2创建的，具有自毁功能，所以在与提案合约自毁后，利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是，社区没有看到拟议合约中的犯规行为，许多用户投票支持该提案。 在5月18日，利用者通过创建具有多个交易的新地址，反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性，利用者在5月20日7:18（UTC）销毁了提案执行合约，并在同一地址部署了一个恶意合约，其逻辑是修改用户在治理中锁定的代币数量。 攻击者修改完提案合约后，于5月20日7:25（UTC）执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的，因此，该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后，攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽，同时利用者控制了治理。

金色财经报道，慢雾创始人余弦在社交媒体就Ledger漏洞发文表示，1. Ledger模块ledgerhq/connect-kit被投毒问题基本得到了缓解，但被投毒代码可能还在浏览器缓存着，如果不是特别确定，一定清除下浏览器缓存（包括在用钱包 App 内置浏览器缓存）；2. 用户一定要再三确认钱包的每一笔待签名内容；3. Ledger钱包本身不受影响；4. 这次供应链攻击细节很耐人寻味，这样的猎手在这个黑暗森林里并不稀有；5.Tether 出手及时，冻结了钓鱼获利的 USDT，对比起来，USDC 一如既往的无视。