慢雾余弦：Stake.com被盗或因私钥相关接口/服务被恶意利用

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，Stake.com被盗的几个热钱包还在愉快地运行着，如这个ETH地址累计资金又上千万美金了，看来私钥的问题，大概率是私钥有关的接口/服务被恶意利用了，否则早废弃这些私钥替换热钱包地址了。

9月4日消息，慢雾创始人余弦在社交媒体上发文表示，Stake.com被盗地址目前仍有资金不断进入，也许是Stake.com的服务没有停止，或者部份玩家仍不知情。

金色财经报道，慢雾创始人余弦在社交媒体上发文称，被恶意多签是Tron钱包地址较为特别的一点，只有助记词/私钥被盗才可能被恶意多签，此时权限仅掌握在攻击者手里。攻击者往往不着急转走其中资产，因为受害者不一定及时发现自己的钱包地址被恶意多签了，可能后续还会持续入账。为什么说Tron钱包地址较为特别，因为其允许不改变地址的前提下做权限/多签变更。其他类似的还有EOS、以太坊合约多签/AA等这类地址，都有这种被恶意利用的特性。助记词/私钥保管好才是这个问题的关键。

金色财经报道，慢雾创始人余弦在X平台发文表示，今天慢雾和MistTrack收到至少四起stETH被盗跨链到Blast主网的案子。其特征都是从明显有痕迹的地址（包括交易所）打一点ETH手续费到被盗地址，然后把stETH跨链到Blast主网并进行后续转移，最后将受害者地址剩余的一点点ETH转移到不同的ETH地址上。已知损失超100枚stETH，恐怕是群体事件。这些受害者的助记词/私钥肯定是泄露了，攻击者埋伏到Blast主网启动。 此前消息，Scam Sniffer监测显示，某地址因交互（点击了签名授权）虚假Blast空投网站损失了逾10枚质押在Aave上的BTC以及一些PANDORA，损失总额约为717,817美元。

金色财经报道，慢雾创始人余弦在 X 平台发文表示，又收到一起用户 CEX 账号被恶意对敲盗走百万美元资产的事件，团队正在跟进分析中。 据余弦表示：针对 CEX Web 端的攻击手法挺多，比如之前那种恶意扩展拿走 Cookies 的方式，还可以做剪贴板攻击、表单篡改、请求篡改等。除了恶意扩展，反向代理钓鱼、木马病毒等都是某种可行方式。Web 端的木桶短板本就多，这块风控策略肯定要高于 App 端。

金色财经报道，区块链安全研究员 dm 在 X 平台发文表示：“下载和运行 Github 上的 Web3 项目要小心了，今天偶尔看到的一个开源项目发现是偷用户 Solana 私钥的，checkrug.py 用 base64/zlib 循环编码然后偷偷执行：hxxps://github.com/HELIPOX/solana-sniper-bot。” 对此，慢雾创始人余弦在 X 平台发文评论：“这个开源 bot 有偷私钥后门代码，如果你不熟悉代码，看到花里胡哨的代码（“乱码”）就需要警惕了，可能偷偷藏了什么猫腻。Crypto 都讲究开源，开源了，巴不得提供高可读性代码，谁还整这些花里胡哨的代码。另外，作者似乎删除了后门文件。有下载使用这个 bot 的玩家可以联系。”