慢霧首席信息安全官：Pegasus組織正在使用零點擊漏洞

金色財經報道，慢霧首席信息安全官23pds在社交媒體X（原推特）上稱，虛擬貨幣行業從業者請立即更新您的apple產品。Pegasus組織正在使用零點擊漏洞：攻擊者使用iMessage帳戶發送給受害者惡意圖像的PassKit附件來觸發攻擊。目前利用鏈已經公開，受害者在無需點擊交互的情況下最新的iOS系統即可被感染。目前漏洞已經被利用，蘋果已經緊急發布更新補丁。

其它快訊：

慢霧首席信息安全官：警惕知名項目方推特下方的留言釣魚:金色財經報道，據慢霧首席信息安全官23pds在社交媒體發文表示，警惕任何知名項目方推特下方的留言釣魚。近期慢霧團隊陸續收到被盜求助，分析被盜后發現多數原因是知名項目方推特下方的留言釣魚導致。

釣魚團伙擁有成熟的黑市、購買認證過的項目方名稱類似的推特賬號、自動化機器人盯盤知名項目方動態、項目方發布推特，黑產機器人自動化第一時間留言（確保占位第一條留言位置） 。加之用戶不注意區分釣魚推特名稱，打開、授權、簽名然后被盜。[2024/1/24 17:29:25]

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

慢霧MistTrack：DeFi項目Pickle Finance pDAI池被盜資金再次發生異動，多次使用Uniswap進行兌換:據慢霧MistTrack監測信息顯示，2020-11-22 攻擊 pickle pDAI池的黑客地址（0x701781...7a4E08）繼1月8日異動后，再次于1月14日發生異動。此前黑客地址轉移了1500萬DAI到五個新地址，現除了地址5（0x64bA3e...fF62DB），其余四個地址均發生異動，其中地址1（0x607d65...04e461）和地址2（0x17d4fe...2b7a39）分別向另一個地址3（0x157b0f...862a01）轉入400萬DAI。除此之外，慢霧MistTrack監測到1月9日、11日，黑客均向地址3（0x157b0f...862a01）分別轉入176萬DAI、300萬DAI，緊接著地址3（0x157b0f...862a01）于當天通過Uniswap、1inch將一部分DAI兌換成CORN或COMP，另一部分DAI轉到地址1（0x607d65...04e461）、地址2（0x17d4fe...2b7a39）。

目前地址1（0x607d65...04e461）有1億9千萬cDAI，地址2（0x17d4fe...2b7a39）有4億3千萬cDAI，地址3（0x157b0f...862a01）有32萬DAI，地址5（0x64bA3e...fF62DB）有400萬 DAI。[2021/1/15 16:15:10]