慢霧首席信息安全官：注意UniSat Wallet升級釣魚風險

金色財經報道，據慢霧首席信息安全官23pds在社交媒體上發文表示，注意UniSat Wallet升級釣魚風險，近日我們注意到unisat wallet提醒用戶升級\"The current version(1.1.33) is no longer maintained. To ensure the security of your assets, please upgrade to version 1.2.4 as soon as possible.\"

但是大量用戶在插件市場或群聊留言不知道如何升級此錢包，這就給釣魚團伙有可乘之機，伺機釣魚。我們提醒廣大用戶請到官網或官方Github重新下載最新版安裝，不要輕信任何群聊或不明安裝鏈接。

其它快訊：

慢霧余弦：自動化平臺/工具確實方便，但使用時務必有能力駕馭:金色財經報道，慢霧創始人余弦在社交媒體上表示，前幾天有人玩Atomicals資產ATOM被盜，原因是因為一些人在推特大力宣傳使用Replit這個在線編程平臺來運行atomicals-js方便自動化做Atomicals資產相關操作。

Replit本身看似沒問題，這種宣傳看似也沒什么問題，但問題出在Replit平臺的公開性及玩家的安全意識匱乏，你用的atomicals-js任何人都可以看到，包括你在其中配置的助記詞/私鑰/地址等信息。

于是通過簡單的Google Hacking等技巧就可以發現這些泄露，導致資產被盜。需要注意的是，自動化平臺或工具確實方便，使用時務必有能力駕馭。這里影響的不僅是一些玩家的Atomicals資產，我們還看到了其他鏈的銘文資產。[2023/12/13 19:06:10]

慢霧：Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道，據慢霧消息，Grafana發布嚴重安全提醒，其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128)，目前PoC在互聯網上公開，已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺，用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上，配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時，這可能會使Grafana賬戶被接管和認證繞過。其中，Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況，請注意風險，并將Grafana升級到最新版本。[2023/6/25 21:58:31]

慢霧安全工程師：安全審計是目前保護DeFi項目安全最高性價比的方式:12月30日，在慢霧科技主辦的Hacking Time區塊鏈安全攻防峰會上，慢霧科技高級安全工程師yudan和Kong根據bZx最早期的兩次閃電貸攻擊案例，介紹了閃電貸基本的攻擊形式——代幣價格操縱，詳細講述了基于價格操縱的閃電貸的防御方案以及在其價格無法被操縱的情況下，如何利用閃電貸另辟蹊徑，通過操縱 LP Token的單價來進行獲利。并通過慢霧被黑檔案庫與大家一起回顧了2020 DeFi被黑事件。

yudan和Kong認為，DeFi安全形勢嚴峻，安全審計是目前保護項目安全最高性價比的方式。在當下DeFi黑暗森林里我們在臨淵而行，需如履薄冰。[2020/12/30 16:04:29]