Exvul：多个Chrome插件钱包存在严重漏洞

2月8日消息，新加坡网络安全局 (CSA) 强调，Web开发平台WordPress的加密货币小工具插件“Cryptocurrency Widgets – Price Ticker & Coins List”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVE Program的说法，该插件是由名为“narinder-singh”的供应商提供的，2.0至2.6.5版本均被发现携带该漏洞。 上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中，从而从数据库中提取敏感信息。新加坡网络紧急响应小组 (SingCERT)发布的安全公告对该插件漏洞的评分9.8/10，属于“严重”级别。（Cointelegraph）

6月3日消息，Web3 钱包 Zerion 即将推出 Chrome 插件钱包。Zerion 在去年 11 月份表示计划推出浏览器插件版本，支持多种私钥保存形式，且可查看 NFT。

5月28日消息，Tree（@Tree_of_Alpha）发文表示，Chrome 商店中有一款恶意 Aggr 插件，好评如潮，它会窃取用户访问的所有网站上的所有 cookie，而 2 个月前有人付钱给一些有影响力的人来推销它。此前 @doomxbt 在币安上因此损失资金。 Tree 提醒，Chrome 插件几乎与直接运行可执行文件一样糟糕，并且只安装经过仔细审查的绝对需要的插件。

金色财经报道，加密钱包初创公司 Dfns 表示，越来越多的加密钱包和网络应用程序采用的无密码登录方法 Magic Links 存在严重漏洞，Dfns 将其发现的漏洞归类为“零日”漏洞利用。Dfns 在一份声明中表示，该漏洞可能“对全球经济的很大一部分构成相当大的风险。 受影响的服务表示，在 Dfns 发布详细介绍所谓的零日漏洞的博客文章之前，他们几乎没有收到任何通知。 Magic Links是由网站或应用程序生成的唯一的一次性 URL，用于验证用户身份而无需他们输入密码。当用户单击 Web 应用程序发送给他们的Magic Links时，它会验证他们的身份并将他们登录到他们的帐户中。

11月11日消息，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DFX Finance 项目遭到攻击，攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下： 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数，在该函数中会将第二步中借来的资金转移回 Curve 合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中，使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

金色财经报道，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DexFinance 项目遭到攻击，攻击者获利约 231,138 美元。