慢霧余弦：Ledger代碼庫攻擊團伙在 ledgerhq/connect-kit 1.1.5版本就已開始篡改

金色財經報道，慢霧創始人余弦在社交媒體上發文表示，從代碼編輯頁面來看，本次 Ledger 代碼庫攻擊團伙在 ledgerhq/connect-kit 1.1.5 版本就開始篡改了，但沒有植入惡意代碼，僅寫入一些嘲諷信息。1.1.6 版本開始植入惡意代碼，但可能有點問題，隨后發布了 1.1.7 帶惡意代碼的版本。最終，黑客留言感謝了前段時間宣布停止服務的網絡釣魚工具包 Inferno Drainer。

其它快訊：

慢霧余弦：friend.tech相關工具潛藏風險，使用時需高度謹慎:金色財經報道，慢霧創始人余弦在社交媒體上發文提醒公眾，要謹慎使用與 friend.tech 相關的工具，尤其是那些直接請求私鑰或要求用戶通過 friend.tech 賬號（如手機號）和獨立密碼（friend.tech 的 2FA）登錄的工具。他警告稱，這些服務后臺可以通過反向代理與 friend.tech 交互，從而有可能操縱用戶資金。

余弦強調，這種風險與 friend.tech 本身無關，而是中心化服務普遍存在的問題。他還提到，這種高級釣魚手法在 Web2 時代已經十分普遍，在 Web3 時代仍然有效。[2023/10/17 16:58:12]

慢霧余弦：沒驗證過的安全機制不是靠譜的安全機制:金色財經報道，慢霧創始人余弦在X平臺（原推特）表示，Vitalik推特號還真是被SIM Swap攻擊了，幾個細節：手機SIM卡是T-Mobile的，這個在暗網可能5K美金就可以做一次SIM Swap攻擊；這個手機號雖然沒拿來做 2FA，但是被用于重置了推特權限，之前他沒意識到還能這樣；他忘記什么時候添加的手機號。

從這可以學習到：沒驗證過的安全機制不是靠譜的安全機制；任何人都有踩坑的時候；人會撒謊，更別提代表人的社交賬號，可能你看到的賬號動態已經不是這個人本身的意愿，一定要保持懷疑且持續驗證，尤其看到一個陌生鏈接。[2023/9/12 11:26:49]

聲音 | 慢霧余弦：研究加密貨幣是出于技術熱愛:區塊鏈安全公司慢霧創始人余弦發微博稱，研究加密貨幣是出于技術熱愛，這些年其實研究了不少主流幣種還有些小幣種，多少都發現了些問題，其中有不少是安全問題。后來聯合創建了慢霧科技 ，致力于做好區塊鏈生態的安全。我提 MimbleWimble 的隱私與安全問題，不代表我不喜歡 Grin 和 BEAM，反而我在持續持有，就好像我很早就研究門羅幣、Zcash 的安全問題，我也在持續持有它們。有漏洞根本不是什么大問題，不改進不進化才是大問題。我盡量客觀做好安全技術研究，輸出的觀點千萬不要過度解讀，尤其不要解讀出“做多做空”，投資加密貨幣的討論，我一概不參與、不站臺、不背書。[2019/3/24]