SlowMist：Libbitcoin Explorer 3.x库中新发现的漏洞已导致比特币用户超过90万美元被盗

8月11日消息，CZ在社交平台上表示，支持自托管钱包，但前提是自己了解操作。Libbitcoin Explorer 3.x版本的加密货币钱包存在的漏洞源于32位助记词的随机数生成器，这在现代破解技术（如GPU）面前并不足够随机。Trustwallet和Binance 钱包并未在助记词生成中使用此方法。

金色财经报道，据慢雾区消息，Distrust 发现了一个严重的漏洞，影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器（PRNG）来访问钱包的私钥，目前已在现实世界中造成了实际影响。 漏洞详情：该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器（PRNG）实现。该实现使用了 Mersenne Twister 算法，并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。 影响范围：该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户，以及使用 libbitcoin-system 3.6 开发库的应用。 已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。 风险评估：由于该漏洞的存在，攻击者可以访问并控制用户的钱包，从而窃取其中的资金。截至 2023 年 8 月，已有超过 $900,000 美元的加密货币资产被盗。 解决方案：我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包，并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。

金色财经报道，根据Visa开发的一项新指标，超过90%的稳定币交易量并非来自真实用户，这表明此类加密代币可能还远未成为常用的支付方式。Visa和Allium Labs的仪表板旨在剔除机器人和大型交易者发起的交易，以隔离由真人发起的交易。 Visa表示，4月份约2.2万亿美元的交易总额中，只有 1,490亿美元来自有机支付活动。 Visa的发现挑战了稳定币支持者的观点，即与美元等资产挂钩的代币有望彻底改变150万亿美元的支付行业。对于稳定币，交易通常可能会重复计算，具体取决于用户将资金转移到的平台。 Visa加密货币主管Cuy Sheffield表示，例如，在去中心化交易所Uniswap将100美元的Circle Internet Financial Ltd.的USDC转换为PayPal的PYUSD，将导致链上记录200美元的稳定币总交易量。

金色财经报道，ZachXBT向社区发出针对Coinbase用户的社会工程骗局的警报。截至2月16日，该骗局已导致超过1,400个以太坊被盗，价值约400万美元。ZachXBT表示，该计划被称为 Coinbase 重置欺诈，涉及加密诈骗者收集用户的个人信息，欺骗他们重置其Coinbase登录凭据。 ZachXBT建议用户添加安全密钥作为2FA，不要使用相同的电子邮件或密码等信息。

3月22日消息，苹果公司M系列芯片中新发现的漏洞或造成钱包密钥泄露。该漏洞是一个侧通道，当苹果芯片运行加密钱包时，它允许端到端的密钥提取，但这个缺陷无法直接修补，因为它源于芯片本身的微架构设计。相反，只能通过在第三方加密软件中建立防御措施来缓解这一问题，这些软件在执行加密操作时会大幅降低 M 系列的性能，尤其是在早期的 M1 和 M2 代产品上。当目标加密操作和具有正常用户系统权限的恶意应用程序在同一 CPU 集群上运行时，该漏洞就会被利用。

10月28日消息，浏览器安全插件 Pocket Universe 发推称，Opensea 旧合约上发现一个新漏洞，可用于窃取用户的 NFT，一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前在 Opensea 上列出的任何 NFT（也即 Seaport 升级之前），主要涉及 Wyvern 协议，它授予了代理合约撤回用户 NFT 的权利，而这个新的漏洞利用会诱使用户签署交易，让攻击者拥有用户的代理合约的所有权。