TRA:被黑推特賬號數量持續增加，推特官方回應稱正在調查并限制發布推文功能

鏈聞消息，據福布斯報道，被黑客襲擊的推特賬號數量持續增加，包括蘋果公司、特斯拉CEO埃隆·馬斯克克、比爾·蓋茨、美國前總統奧巴馬、美國總統候選人拜登等推特賬戶都發布了相關的數字貨幣釣魚騙局信息。不過，這些釣魚信息在發布幾分鐘后就會被刪除。鏈聞查詢發現，截至目前，詐騙者共收到12.86枚比特幣。推特官方對此回應稱，已意識到系統出現了安全性問題，正在調查該事件并采取措施。在調查過程中，用戶可能無法發布推文和重設密碼。40分鐘之前，推特稱目前還在調查中，繼續限制發布推文等功能。鏈聞此前報道，Coinbase、幣安及其創始人趙長鵬、Gemini、Kucoin等加密貨幣領域官方推特賬號也均被攻擊。根據相關推文信息顯示，被盜的賬號發布了一條與名為CryptoForHealth合作贈送比特幣相關的釣魚騙局信息。

安全團隊：跨鏈DEX聚合器Transit Swap因任意外部調用問題被黑，被盜資金規模超2300萬美元:10月2日消息，據慢霧安全團隊情報，2022年10月2號跨鏈DEX聚合器TransitSwap項目遭到攻擊，導致用戶資產被非預期的轉出。慢霧安全團隊分析評估此次被盜資金規模超過2300萬美元，黑客地址為0x75F2...FD46和0xfa71...90fb。接著對此次攻擊過程進行了分析：

1. 當用戶在Transit Swap進行swap時，會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨后路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的 claimTokens 函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。

2. 而 claimTokens 函數是通過調用指定代幣合約的 transferFrom 函數進行轉賬的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入，本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。

3. 路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣后會調用兌換合約進行具體的兌換操作，但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入，路由橋合約并未對解析后的兌換合約地址與調用數據進行檢查。

4. 而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自于用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的 calldata 內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址，未對 calldata 數據進行具體檢查。

5. 因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造后的數據調用路由橋合約的 callBytes 函數。callBytes 函數解析出攻擊者指定的兌換合約與兌換數據，此時兌換合約被指定為權限管理合約地址，兌換數據被指定為調用 claimTokens 函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。

此次攻擊的主要原因在于 Transit Swap 協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對Transit Swap授權的代幣。

截止到目前，黑客已將 2,500 BNB 轉移到 Tornado Cash，剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現，黑客存在從 LATOKEN 等平臺存提款的痕跡。慢霧 MistTrack 將持續跟進被盜資金的轉移以及黑客痕跡的分析。[2022/10/2 18:37:27]

動態 | 日本講談社Twitter被黑 要求粉絲向其匯款:據日本時事通訊社消息，日本講談社的漫畫Twitter“Komikku DAYS”被黑客劫持，發布文字要求粉絲用數字貨幣對其匯款。另外，還發布多個消息自稱是特朗普，附上二維碼并稱，發送3枚比特幣即可獲得30枚比特幣的回報。

投資有風險，入市須謹慎。

本資訊不作為投資理財建議。[2018/11/13]

動態 | 區塊鏈游戲Last Winner最后7754.7ETH大獎被黑客奪走:據安比（SECBIT）&AnChain.ai聯合實驗室發現，剛剛結束的Last Winner游戲，最后大獎被BAPT-LW20黑客團伙奪走。據之前安比（SECBIT）&AnChain.ai聯合實驗室研究，該黑客團隊，控制了5個地址，通過自動腳本，不斷對Last Winner發動大規模攻擊，從游戲的空投獎金池中獲利5194ETH，加上最后的大獎，該黑客團伙共獲利12948.7ETH。最新上線的Last Winner第二輪游戲，已經遭受該黑客團伙的持續攻擊，廣大游戲參與者請看清形勢，不要造成不必要的損失。[2018/8/18]

Tags：TRASWAPTRANSRANTrade Genius AiLoopSwapTranslatixCranberrySwap

FIL幣