慢雾：从未审计比特币L2跨链协议oooo

金色财经报道，慢雾推出HKSFC合规安全审计服务，目前慢雾安全团队已经为多家香港申请牌照的加密货币交易平台提供服务，包括：已完成申牌的HashKey Pro，正在申牌的HKBGE以及拟申牌的MEEX等平台。 慢雾安全团队根据HKSFC最新的要求以及OWASP国际标准，结合慢雾的安全能力整理了面向HKSFC合规安全审计的Checklist。通过深入分析HKSFC的Circular to licensed corporations Review of internet trading cybersecurity和Guidelines for Virtual Asset Trading Platform Operators要求，并结合多年的区块链安全从业经验，制定了面向HKSFC的合规安全审计项，另外根据OWASP国际标准以及慢雾独家的安全能力整理了Web,iOS,Android的安全审计项，在保证项目方符合HKSFC的要求后也能适配OWASP国际标准，包含以下内容： HKSFC23大合规要求； OWASPWeb13大合规要求； OWASPAndroid7大合规要求； OWASPiOS7大合规要求； 慢雾整理的170+安全审计项。

金色财经报道，加密安全公司慢雾官方宣布升级Web3钱包安全审计项，具体包括针对浏览器扩展钱包的安全审计项、针对移动端和桌面端钱包的安全审计项，旨在尽可能地保证 Web3 钱包客户端上的安全，降低加密货币资产被盗的风险。此外，慢雾安全团队提出用户交互过程的安全审计，包含：WYSIWYS（所见即所签策略）；AML 策略；anti-phishing 策略；pre-execution 策略等多个策略来抵御黑客的攻击。

7月11日消息，针对今日媒体报道慢雾安全审计了遭受重入攻击的DeFi平台Parallel Finance项目智能合约一事，慢雾安全再次声明，近日发生重入攻击的项目是Omni Protocol，该项目是Parallel Finance项目的另一个项目，慢雾审计的是Parallel Finance在波卡生态里的项目代码，具体的审计报告可见原文链接。针对上述事件，慢雾将保留依法追究名誉侵犯的权利。 此前消息，DeFi平台Parallel Finance遭受重入攻击，导致了约200万美元的损失。

金色财经报道，慢雾科技首席信息安全官23pds发文表示，Authy，仅次于Google Authenticator的流行2FA服务遭到黑客攻击，泄露3300万用户的电话号码。如果您是Authy用户，请警惕网络钓鱼攻击。 目前官方开发商Twilio已经确认了漏洞，加密货币行业有大量从业者使用此款2FA软件，请注意资产安全。

3月29日消息，比特币Layer 2项目Taprootchain宣布，安全公司慢雾已完成对Taproot Chain跨链桥模块智能合约的代码审计。审计报告显示，在修复了一个风险漏洞并采纳了6个改进建议后，慢雾给出的审计意见为低风险。 此前，Taprootchain曾公告，主网已于3月28日上线，首期白名单空投活动已经圆满结束。跨链功能即将开启，白名单用户可以在开放后在官网领取白名单资格。

据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因： 1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。 2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。 3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。 4.最后将LP发送至DEX中移除流动性获利。 本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。