Loopring：正与慢雾及其他安全专家和相关机构合作，继续调查漏洞攻击事件

金色财经报道，据慢雾区消息，Nuxt.js远程代码执行漏洞(CVE-2023-3224) PoC在互联网上公开，目前已出现攻击案例。Nuxt.js是一个基于Vue.js的轻量级应用框架，可用来创建服务端渲染(SSR) 应用，也可充当静态站点引擎生成静态站点应用，具有优雅的代码结构分层和热加载等特性。Nuxt中存在代码注入漏洞，当服务端以开发模式启动时，远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中，Nuxt == 3.4.0，Nuxt == 3.4.1，Nuxt == 3.4.2 均受到影响。加密货币行业有大量平台采用此方案构建前后端服务，请注意风险，并将Nuxt升级到3.4.3或以上版本。

金色财经报道，据慢雾区消息，Nacos 出现远程代码执行漏洞攻击案例。Nacos 是 Alibaba 开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台，帮助用户快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在处理某些基于 Jraft 的请求时，采用 Hessian 进行反序列化，但并未设置限制，导致应用存在远程代码执行（RCE）漏洞。其中，1.4.1 <= Nacos < 1.4.6，使用 cluster 集群模式运行受影响；1.4.0、2.0.0 <= Nacos < 2.2.3，任意模式启动均受到影响。加密货币行业有大量平台采用此方案，请注意风险，并将 Nacos 升级到官方最新新版本。

金色财经报道，以太坊 Layer 2 协议 Loopring 在社交媒体上发文表示，Loopring 智能钱包遭到攻击，几个小时前，一些 Loopring 智能钱包遭遇安全漏洞攻击。此次攻击专门针对仅有一个 Guardian 的钱包，尤其是使用 Loopring 官方 Guardian 的钱包。黑客启动了恢复流程，冒充钱包所有者重置所有权并提取资产。 这次攻击成功地破坏了路印协议的 2FA 服务，使黑客能够冒充钱包所有者并获得官方监护人的恢复批准。随后，攻击者将资产从受影响的钱包中转移出来。 我们正在与 Mist 安全专家积极合作，以确定我们的 2FA 服务是如何受到损害的。为了保护我们的用户，我们暂时停止了 Guardian 相关和 2FA 相关操作。此举后，攻击已停止。路印协议正在与执法部门和专业安全团队合作追查攻击者。一旦调查取得进展，我们将继续提供最新情况。

金色财经报道，慢雾科技首席信息安全官23pds发文表示，Authy，仅次于Google Authenticator的流行2FA服务遭到黑客攻击，泄露3300万用户的电话号码。如果您是Authy用户，请警惕网络钓鱼攻击。 目前官方开发商Twilio已经确认了漏洞，加密货币行业有大量从业者使用此款2FA软件，请注意资产安全。

据慢雾区消息，受 Mina JavaScript client-sdk v1.0.1 之前版本的弱熵问题影响，目前社区已有多人反馈钱包私钥被窃取，慢雾安全团队经过调查发现：使用 Clorio Wallet v0.1.1，Clorio Wallet v0.1.0 版本创建的钱包将存在被盗风险。 建议有使用 Clorio Wallet v0.1.1，Clorio Wallet v0.1.0(2021 年 5 月 28 日)创建钱包的用户确保将钱包更新到最新版本(Clorio Wallet v1.0.0)，并且重新创建新的钱包地址，将资金转移到新创建的钱包地址上以保证资产安全。 存在漏洞的钱包版本：Clorio Wallet < v0.1.2 存在漏洞的 client-sdk 版本：o1labs/client-sdk < 1.0.1。

金色财经报道，根据慢雾发布的11月安全报告，2023年11月区块链领域出现了大量安全漏洞。总共记录了47 起不同的事件，累计造成的巨额损失估计约为3.49亿美元。 11月份，仅Poloniex和Heco Bridge事件造成的损失就达到2.43亿美元，约占11月份安全事件总损失的69%。Rug Pull事件24起，占安全事件总数的51%。用户参与前应充分了解项目背景和团队，谨慎投资选择，两起涉及流动性攻击的事件给项目运营商造成约5499万美元的损失。