慢雾余弦：没验证过的安全机制不是靠谱的安全机制

金色财经报道，慢雾创始人余弦在 X 平台发文表示，“新机制肯定会带来新的安全风险，如果一个协议没处理好 ERC404 这种硬币双面机制就可能带来意想不到的后果。还有需要注意的是，ERC404 还不是个成熟的标准，看了几个项目的合约代码，多少会有一些改造，所以这也是可能的风险，差异导致的安全风险。”

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，硬件安全密钥(Security Key)是安全认证的标配之一，在2FA场景下可以很好对抗钓鱼网站，因为服务端可以验证签名是否来自预期内的域名。这种安全机制比其他类似的2FA靠谱多了。安全性：Security Key 2FA > Authenticator 2FA > SMS 2FA。虽然便利性是倒过来的。

6月20日消息，针对Kraken和CertiK之间的安全漏洞报告争议，慢雾科技首席信息安全官23pds在X平台表示，先不论对错，从测试角度出发：1.安全测试，可以小额充值测试，证明可行性即可。2.如果是为了验证风控机制，可以获取平台授权的情况下，单笔测试，验证完成，立即联系平台退还，并保留与平台沟通完整记录。3.给平台相应解决方案，双方协商赏金等后续事宜。针对此事件谁对谁错，23pds建议两家把沟通记录发出来就能得到证明。

据慢雾区消息，受 Mina JavaScript client-sdk v1.0.1 之前版本的弱熵问题影响，目前社区已有多人反馈钱包私钥被窃取，慢雾安全团队经过调查发现：使用 Clorio Wallet v0.1.1，Clorio Wallet v0.1.0 版本创建的钱包将存在被盗风险。 建议有使用 Clorio Wallet v0.1.1，Clorio Wallet v0.1.0(2021 年 5 月 28 日)创建钱包的用户确保将钱包更新到最新版本(Clorio Wallet v1.0.0)，并且重新创建新的钱包地址，将资金转移到新创建的钱包地址上以保证资产安全。 存在漏洞的钱包版本：Clorio Wallet < v0.1.2 存在漏洞的 client-sdk 版本：o1labs/client-sdk < 1.0.1。

10月10日消息，慢雾创始人余弦发文称，测试了下 friend.tech 新增的 2FA 机制，这个 2FA 实际上是让用户设置了个独立的密码，当用户在进行买卖 key、提现资金、导出私钥等资金有关操作时，需要验证一次这个独立密码，用户一定要保管好这个独立密码，否则等于你的资金就没了。 金色财经今日报道，friend.tech 新增支持 2FA 密码功能，friend.tech 强调官方和 Privy 团队都无法重置这些密码，因此用户使用此功能时请小心。

7月11日消息，针对今日媒体报道慢雾安全审计了遭受重入攻击的DeFi平台Parallel Finance项目智能合约一事，慢雾安全再次声明，近日发生重入攻击的项目是Omni Protocol，该项目是Parallel Finance项目的另一个项目，慢雾审计的是Parallel Finance在波卡生态里的项目代码，具体的审计报告可见原文链接。针对上述事件，慢雾将保留依法追究名誉侵犯的权利。 此前消息，DeFi平台Parallel Finance遭受重入攻击，导致了约200万美元的损失。