安全团队：发现Circom验证库漏洞CVE-2023-33252

金色财经报道，网络安全解决方案提供商 Check Point Research 发现了一种名为 Styx Stealer 的新型恶意软件。该软件可以通过一种称为“剪切（clipping）”的机制窃取大量材料，包括加密货币。它可以在开发者的网站上免费出租。 拥有最新操作系统的 Windows 用户不会面临风险，因 Styx Stealer 依赖于微软 Windows Defender 的一个漏洞，该漏洞去年已被修补。 Check Point Research 确定了 8 个钱包，这些钱包可能属于总部位于土耳其的 Styx Stealer 开发者，这些钱包在恶意软件运营的前两个月收到了大约 9500 美元的加密货币作为支付。安全团队还获得了开发者的 Telegram 账户、电子邮件地址、电话号码和联系方式。

据CertiK官方推特表示，社区成员正就虚假审计网站与他们联系，CertiK官方表示与“https :// manapool-eth[.]net/ ”没有任何关系，希望用户认准certik.com网址，保持警惕。

8月11日消息，据慢雾安全团队，近期slack团队修复了用户在创建或撤销其工作区的邀请链接时会将用户的密码哈希发送给其他工作区的成员的漏洞。此漏洞影响了在2017年4月17日至2022年7月17日期间进行创建或撤销其工作区的邀请链接操作的所有用户。 目前slack团队已经强制重置了受影响用户的密码，慢雾安全团队提醒相关slack使用者注意关于此事件相关的邮件钓鱼、撞库等风险，及时修改与slack使用的密码一致的其他账户密码。

11月11日消息，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DFX Finance 项目遭到攻击，攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下： 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数，在该函数中会将第二步中借来的资金转移回 Curve 合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中，使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

金色财经报道，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DexFinance 项目遭到攻击，攻击者获利约 231,138 美元。

12月5日消息，Web3 开发工具平台 Thirdweb 在其官方博客中称，11 月 20 日 18:00 发现多个 Web3 智能合约（包括 Thirdweb 的一些预构建智能合约）的常用开源库中存在安全漏洞，包括 AirdropERC20（v1.0.3 及更高版本），ERC721（v1.0.4 及更高版本），ERC1155（v1.0.4 及更高版本）等。除了智能合约受影响外，包括钱包、支付和基础设施服务，均未受到影响，正常运作。 2022 年 8 月，Thirdweb 以 1.6 亿美元估值完成了 2400 万美元融资，由 Haun Ventures 领投，Coinbase Ventures、Shopify、Protocol Labs、Polygon、Shrug VC、亿万富翁 Joseph Lacob 等参投。