Trust Wallet插件钱包安全漏洞，导致600万资金被盗 Trust Wallet 浏览器扩展程序 2.68 版本存在安全漏洞 使用 2.68 版本的用户应禁用该版本并升级至 2.69 版本 受损的用户可以到官方链接登记索赔

We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69. Please refer to the official Chrome Webstore link here: chrome.google.com/webstore/d… Please note: Mobile-only users and all other browser extension versions are not impacted. We understand how concerning this is and our team is actively working on the issue. We’ll keep sharing updates as soon as possible.

Case 22/100 > 地址投毒损失5000万美金 事件详情： 受害者向正确地址发送小额测试交易之后，骗子曾多次利用高仿地址向受害者钱包发送小额转账，以让伪造地址进入交易历史。 等待受害者进行大额转账时从历史记录中复制假的地址，受害者终于疏忽了一次，导致近5000万美元直接转给诈骗者。 SA： 1.每次转账必须逐字符验证完整地址，绝不能只看首尾几位 2.为常用收款地址建立地址簿或白名单功能 3.使用实时安全工具如Web3 Antivirus，提前检测可疑地址相似模式 4.大额转账时，优先使用ENS名称、扫码等多重验证或离线二次确认，避免直接从交易历史复制

扳手攻击，对加密资产持有者的攻击成本更低

Coinmarketcap的网站被攻击，请不要通过CMC网站链接钱包

安卓手机上这个盗助记词/私钥的技巧，许多人大概率忽略了，如果细看还是值得警惕的。 不需要 root 权限的情况下，如果你安装了个恶意 App，恶意 App 请求无障碍权限 (AccessibilityService)，你打开钱包 App，当屏幕上出现助记词/私钥信息时，恶意 App 会通过 Accessibility 获取界面内容，并用正则表达式筛选出助记词/私钥信息回传给攻击者服务器... 于是你就是冤大头了，之后你的钱包怎么被盗的都不知道... 警惕下，总有在你视野盲区里的攻击手法出现。

⚠️⚠️⚠️ @osiris_guard 这个所谓的 Web3 安全扩展，这是个恶意扩展 如果 Chrome 上安装了，它会通过替换链接方式，将用户下载的知名程序变成木马程序

Usual 的一个 USD0 投资金库遭遇了 43,000 美元的仲裁漏洞，该漏洞利用了一种在存入投资基金时将 USD0 解包为 USD0 的上限方式。 用户资金未受影响，无资金损失，Usual Core 协议未暂停。

Case 21/100 > 伪造的Ledger Live应用程序 暗网论坛上关于“反Ledger”功能的讨论日益增多，显示攻击者对 Ledger 用户的兴趣持续上升。 2024年8月以来，网络犯罪分子针对 macOS 用户，通过伪装成 Ledger Live 的恶意软件克隆版本发起攻击。 攻击者通过 DMG 文件分发伪装成 Ledger Live 的恶意克隆应用。这些文件能绕过 macOS 的 Gatekeeper 安全机制，安装到受害者设备上。 恶意软件通过至少 2800 个被黑客入侵的网站传播。 恶意软件在设备上运行后，Ledger Live 会显示伪造的“关键错误”或“应用程序损坏”提示，诱导用户输入 24 字助记词，声称这是修复问题或验证钱包的必要步骤。 用户输入助记词后，恶意软件通过特定的 URL 结构（如 /ledger-seed/<USER>/<SEED>）将用户名和助记词发送到攻击者的命令与控制（C2）服务器。助记词一旦泄露，攻击者即可立即访问并转移受害者的加密货币资产。 SA： 1.对任何要求输入 24 字助记词的弹出窗口或页面保持怀疑，Ledger 官方绝不会通过应用或网站要求用户输入助记词，助记词仅用于在物理 Ledger 设备上恢复钱包。 2.永不分享助记词，无论界面看起来多么可信，切勿将助记词输入任何网站或应用程序。 3.保持设备更新，使用最新的 macOS 系统和安全软件，以减少被恶意软件感染的风险。 moonlock.com/anti-ledger-mal…

Case 20/100 > ⚠️VPN代理Clash存在一个One-Click远程代码执行漏洞 Clash Verge客户端（版本v2.2.4 alpha）存在一个One-Click远程代码执行（RCE）漏洞。攻击者可以通过构造特制的恶意网页，在用户访问该网页时触发漏洞，最终实现本地文件写入并进一步执行远程代码。 Clash Verge Rev的默认配置存在安全隐患，客户端在本地地址127.0.0.1:7897上开启了一个未经验证的API服务接口； 该接口没有设置访问控制（例如密码验证），任何本地进程都可以与之通信； 此外，该接口存在CORS（跨域资源共享）漏洞，允许外部来源（例如恶意网页）通过跨域请求与本地API交互； 攻击者可以通过API修改Clash核心的配置文件，利用配置文件中的某些字段绕过路径检查，从而实现任意本地文件写入； 运行Clash Verge客户端的时候，用户访问特定网页即可触发漏洞。 临时修复方法：为外部控制添加密码验证（点击设置、Clash 设置、外部控制、添加密码验证） 链接内有详细步骤。 zyen84kyvn.feishu.cn/docx/PX…

CETUS，Sui上的主要 LP 提供商遭到黑客攻击。 1100 万美元$SUI从 SUI/USDC 池中抽走，由于池子被清空，大多数代币下跌了 80% 以上。 累计损失超过2亿美金。

Case 19/100 > 加密用户也可能遇到的“扳手攻击” Jacob Irwin-Cline，来自美国俄勒冈州波特兰市，正在伦敦进行为期两天的中途停留。 5月9日，Irwin-Cline在夜店玩乐后通过Uber叫车，原本应乘坐一辆Toyota Prius（丰田普锐斯）； 一名假冒司机通过应用程序得知了Irwin-Cline的姓名，并在现场冒充Uber司机拦截了他； Irwin-Cline上了一辆深色轿车（与Uber应用显示车辆不符），司机递给他一根香烟（疑似含有镇静剂）； 在药物作用下，Irwin-Cline无意中透露了手机解锁密码，攻击者借此访问了他的Revolut账户和加密钱包； 最终，Irwin-Cline被丢弃在伦敦一个陌生地点，损失了价值超过12.3万美元的加密货币

某用户自述通过Apple ID登陆BYBIT账号的实名变成了别人，提币时候需要人脸识别导致无法提币。 Bybit 团队核查了以下信息： 1. KYC 信息未被篡改，确认用户的身份信息没有被恶意修改。 2. 通过区块链记录和账户日志，确认用户的资金没有被盗用或转移。 3. Bybit 检查了用户的登录设备和 IP 地址，确保没有异常行为（例如多地登录或设备切换）。 问题分析： 官方尚未披露该事件的最终报告，这是一个涉及通行密钥安全的问题，之前的帖子有做过分析（x.com/Larry_Basics/status/19… ） 目前推测有几种可能： 1. Bybit 的账户体系错乱所致。后端系统可能在处理 Apple ID 登录时，未能正确关联用户的 KYC 数据。 2. BYBIT系统数据同步存在延迟问题。如果 Bybit 的数据库在同步 Apple ID 登录信息和 KYC 数据时出现了延迟或错误，可能会导致认证失败。 3. 用户多账户混淆所致。用户可能在 Bybit 上注册了多个账号，或者之前使用其他方式（如邮箱或手机号）注册过账户，然后尝试用 Apple ID 登录。Apple ID 登录会生成一个唯一的用户标识，但如果用户之前使用其他方式注册过账户，Bybit 系统可能会将 Apple ID 登录的账户识别为一个新账户，而不是与已有账户绑定。 应该不是Apple通行密钥的问题，但具体是什么原因导致的还要等待官方给出更多的信息。