慢雾余弦：Twitter漏洞需要警惕

金色财经报道，慢雾创始人余弦在 X 平台分享了推特用户@0xMaxLin 遭遇求职诈骗的经历，警告社区注意假冒视频会议软件，这些软件用于诱骗潜在受害者下载恶意应用程序，窃取加密资产。 maxlin.eth 报告了一起求职诈骗，骗子假装来自基础设施开发公司 xLabs，通过 Telegram 接触受害者，诱导其下载恶意软件。该诈骗者以提供营销专员职位为名，利用 Zoom 进行假面试，降低受害者的警惕。面试快结束时，骗子要求用户下载名为 Meetly 的会议软件。安装后，软件出现故障，最终用户发现该链接为诈骗网站。用户及时将资产转移至其他钱包，成功避免了潜在的盗窃风险。

金色财经报道，区块链安全研究员 dm 在 X 平台发文表示：“下载和运行 Github 上的 Web3 项目要小心了，今天偶尔看到的一个开源项目发现是偷用户 Solana 私钥的，checkrug.py 用 base64/zlib 循环编码然后偷偷执行：hxxps://github.com/HELIPOX/solana-sniper-bot。” 对此，慢雾创始人余弦在 X 平台发文评论：“这个开源 bot 有偷私钥后门代码，如果你不熟悉代码，看到花里胡哨的代码（“乱码”）就需要警惕了，可能偷偷藏了什么猫腻。Crypto 都讲究开源，开源了，巴不得提供高可读性代码，谁还整这些花里胡哨的代码。另外，作者似乎删除了后门文件。有下载使用这个 bot 的玩家可以联系。”

金色财经报道吗，慢雾创始人余弦在 X 平台发文提醒，@CCyber_rescue打着可以帮被盗用户追回/恢复资金的名义行骗，用了某知名钱包的 bug，让用户以为真的收到了损失资金，慢雾会考虑揭露，在这之前大家还是提高警惕，以免二次被盗。

金色财经报道，慢雾创始人余弦在X平台发文表示，“最近有人说中招了Easy to Use Arbitrage MEV Bot for Uniswap，所谓的Uniswap套利MEV机器人，很容易就会将打入的套利本金流入骗子钱包地址里。请用户提高警惕。”

金色财经报道，慢雾科技首席信息安全官23pds发文表示，Authy，仅次于Google Authenticator的流行2FA服务遭到黑客攻击，泄露3300万用户的电话号码。如果您是Authy用户，请警惕网络钓鱼攻击。 目前官方开发商Twilio已经确认了漏洞，加密货币行业有大量从业者使用此款2FA软件，请注意资产安全。

金色财经报道，慢雾创始人余弦在社交媒体上发文称，铭文这个问题被分配了个CVE编号，这是釜底抽薪了，态度鲜明地定性漏洞了：CVE 编号不是什么新鲜事，许多安全团队/个人都可以申请，CVE 编号在安全行业是最知名的漏洞证明之一。