慢霧安全預警：Nuxt.js出現遠程代碼執行漏洞攻擊案例，請相關方及時升級

金色財經報道，據慢霧區消息，Nuxt.js遠程代碼執行漏洞(CVE-2023-3224) PoC在互聯網上公開，目前已出現攻擊案例。Nuxt.js是一個基于Vue.js的輕量級應用框架，可用來創建服務端渲染(SSR) 應用，也可充當靜態站點引擎生成靜態站點應用，具有優雅的代碼結構分層和熱加載等特性。Nuxt中存在代碼注入漏洞，當服務端以開發模式啟動時，遠程未授權攻擊者可利用此漏洞注入惡意代碼并獲取目標服務器權限。其中，Nuxt == 3.4.0，Nuxt == 3.4.1，Nuxt == 3.4.2 均受到影響。加密貨幣行業有大量平臺采用此方案構建前后端服務，請注意風險，并將Nuxt升級到3.4.3或以上版本。

慢霧安全：黑客通過繞過未被驗證的賬號，非法增發20億個CASH:據慢霧區情報消息，Solana上的穩定幣項目Cashio遭遇黑客攻擊。據慢霧安全團隊初步分析，黑客通過繞過一個未被驗證的賬號，非法增發了20億個CASH代幣，并通過多個應用將CASH代幣轉化為 8,646,022.04 UST 17,041,006.5 USDC 和26,340,965.68 USDT-USDC LP，獲利總價值：52027994.22 USD（5000多萬美金）。目前官方@CashioApp已發出公告讓用戶暫停使用合約，并發布臨時補丁修復了漏洞。[2022/3/23 14:14:07]

慢霧安全：警惕Big Data Protocol合約相關風險:據慢霧區消息，知名DeFi項目Big Data Protocol因項目自身代碼Bug出現無法正常領取獎勵的問題。經慢霧安全團隊分析，此問題系Big Data Protocol的BDP代幣合約在mint函數中對seePoolAmount變量做了錯誤的校驗，導致合約功能無法正常執行。目前合約用戶只能通過緊急提現函數對資金進行提現。但緊急提現函數無法同時提現挖礦收益。

慢霧安全團隊提醒用戶注意Big Data Protocol合約風險，如有參與，可通過emergency Withdraw函數將資金安全取出。[2021/3/12 18:40:04]

動態 | 慢霧安全團隊發布Mosaic 匿名幣市場研究報告:慢霧安全團隊今日發布Mosaic匿名幣市場研究報告，其中暗網里的結論和我們的研究有些差距，不過整體可做參考（和覆蓋面及暗網的理解有關），比如這里的分析是暗網里的商戶網站（大概 44 個流行的）98% 都接收比特幣，10 家（23%）接收門羅幣，9 家接收比特幣現金，7 家接收萊特幣，4 家接收達世幣，4 家接收以太坊，2 家接收大零幣(Zcash)。這只是暗網商戶的數據統計。

暗網還有類、獨立研究類、黑客組織類、暗網服務類等等。暗網不一定都在 Tor 里，也有在 I2P 里，在獨立的匿名協議應用里，甚至有的表面掛在明網里（但背后許多操作走了 Tor 以保證匿名不可追溯）。

暗網和明網并非都是完全隔離，已經存在許多組合和銜接。暗網的生態應該把這些都考慮進去。如果把惡意蠕蟲的地下世界也考慮進去，會發現有一類蠕蟲叫挖礦蠕蟲，主要挖的幣就是門羅幣，這是因為門羅幣的生態價值及 GPU/CPU 挖礦友好性，導致許多服務器、個人電腦、嵌入式設備都可以拿來挖門羅幣。挖礦出來產生的交易也考慮在內的話，門羅幣在暗網世界的活躍度與生態是第一。Mosaic的研究報告詳情可見原文鏈接。[2019/7/18]