CZ：已修复Fireblocks发现影响MPC钱包的漏洞

7月11日消息，区块链安全机构 Halborn 在 Twitter 上表示，在审计 Cadence 语言期间发现 Flow 编程语言 Cadence 中的高危漏洞，该漏洞使得 Cadence 可以允许访问被销毁的资源。该漏洞产生的原因是由于当资源被销毁时，解释器不会使对资源的引用无效，从而使得可以调用被销毁资源上的函数。目前 Cadence 解释器已更新，以便在创建对可选项的引用时检查内部值的类型。

金色财经报道，CertiK 发推称，其安全研究团队在 Wormhole 中检测到一个关键漏洞，该漏洞允许对关键函数进行未经授权的公共调用，可能导致数百万美元损失。据 Cointelegraph 报道，CertiK 发现该漏洞后向 Wormhole 报告，漏洞现已修复。

10月6日消息，Web3凭证数据网络Galxe发布公告称，已发现了一起影响到官网DNS记录的安全漏洞，该漏洞通过其Dynadot帐户进行了攻击。Galxe正在处理并采取纠正措施。请暂时避免访问该域名。

金色财经报道，CertiK在社交媒体X上发文称，在Cosmos生态系统内的智能合约平台CosmWasm中发现一个重大漏洞，此漏洞允许在20多个应用链上提交不受信任的Wasm。一旦被攻击，将破坏链上新交易的确认并导致潜在的全网中断。CertiK Skyfall团队及时报告了该漏洞（CWA-2023-004），并已与CosmWasm团队合作发布有效的补丁。

金色财经报道，Fireblocks研究团队最近在智能合约钱包UniPass中发现了一个ERC-4337帐户抽象漏洞。该漏洞允许攻击者对UniPass钱包进行完全帐户接管，通过替换钱包的可信入口点来激活帐户抽象模块。一旦帐户接管完成，攻击者就可以将钱包视为自己的钱包并耗尽其中的所有资金。钱包中激活了ERC-4337模块的数百名用户很容易受到这种攻击，区块链上的任何人都可以执行这种攻击。 该漏洞由3个不同的问题组成，这些问题无法单独利用，但组合起来后，可被利用以获得对钱包的所有者级访问权限。 1. 第一个问题是validateSignature 函数对于空签名返回“success=true”： 2. 第二个问题与计算调用合约本身的特权函数需要多少角色权重有关。 3. 第三个问题实际上并不是智能合约代码的问题；这是模块安装时的问题。当使用钱包的接口启用ERC-4337模块时，链上会调用addHook 4次来添加其功能。 在确认收到初始披露后的24小时内，UniPass团队立即成功执行了白帽操作，修补了所有易受攻击的钱包，并添加了缺失的“addPermission”调用，以便将来启用ERC-4337模块。

金色财经报道，据BeosinAlert监测，Beosin安全团队在Sui Network的p2p协议中发现了一个DoS漏洞，该漏洞可能导致Sui网络中的节点因内存耗尽而崩溃。这个拒绝服务漏洞是由“内存炸弹”引起的。Sui mainnet_v1.6.3（2023年8月1日）已修复该漏洞。