慢霧：Telegram機器人FriendSniperBot要求用戶直接導入私鑰，存在作惡風險

11月6日消息，慢霧首席信息安全官23pds在社交媒體上發文表示，名為FriendSniperBot的Telegram bot要求用戶直接導入私鑰，存在較大風險。

另據一社區成員反饋，該bot已經存在盜取用戶私鑰的先例，但23pds表示目前尚無相關確鑿證據，慢霧團隊正在持續跟進中。

其它快訊：

慢霧：上周Web3領域發生安全事件7起，共損失約7577萬美元:金色財經報道，據慢霧區塊鏈被黑檔案庫統計，2023年9月10日至9月16日，共發生安全事件7起，總損失約7577萬美元，與前幾周相比，對加密貨幣交易所和知名人士的攻擊有所增加，主要原因是CoinEx遭到了價值7000萬美元的大規模攻擊。具體事件如下：

1、CoinEx：由于熱錢包私鑰泄露，損失7000萬美元。慢霧分析師認為，此次攻擊可能與朝鮮黑客組織Lazarus Group有關。

2、Remitano：加密貨幣交易所受到攻擊，造成270萬美元損失。據稱錢包被盜。

3、Mark Cuban錢包被盜，導致多種加密貨幣損失87萬美元。

4、Milady內部操縱導致100萬美元損失，事件涉及一名開發人員挪用公司財務。

5、Paxos：在一次轉賬中出現漏洞，導致損失50萬美元，以交易費的形式支付。

6、Vitalik Buterin：X賬戶遭到黑客攻擊，并發布了釣魚鏈接，導致損失70萬美元。

7、Lido：代幣合約在處理轉賬時表現出異常行為，但未報告經濟損失。[2023/9/19 11:49:16]

慢霧：Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道，據慢霧消息，Grafana發布嚴重安全提醒，其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128)，目前PoC在互聯網上公開，已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺，用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上，配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時，這可能會使Grafana賬戶被接管和認證繞過。其中，Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況，請注意風險，并將Grafana升級到最新版本。[2023/6/25 21:58:31]

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]