慢雾余弦：Tron钱包允许不改变地址做权限/多签变更可能导致恶意利用

9月5日消息，慢雾创始人余弦在社交媒体上发文表示，Stake.com 不仅 ETH 热钱包被黑，BSC/Polygon 热钱包也一样，目前至少超过 4130 万美元被盗。被盗与私钥出问题有关，可能不一定是私钥被盗走，也可能是私钥有关的接口/服务被恶意利用。 此前报道，加密博彩平台 Stake.com 昨晚疑似遭遇黑客攻击。链上侦探 ZachXBT 表示，Stake.com 在以太坊上被盗 1570 万的同时，也在 BSC 和 Polygon 网络被盗价值 2560 万美元的加密资产。今日早间，加密博彩平台 Stake.com 发布公告称，平台所有服务已恢复，所有货币的存提款都在即时处理。

金色财经报道，X平台用户@BTW0205发文表示存在一种恶意行为，买家发起超低Gas的交易购买铭文，使得短期内无法成交，上涨后加速交易，下跌后取消交易。 对此，慢雾创始人余弦表示，由于交易平台使用的PSBT签名机制，确实可以恶意霸占该笔交易一定时间。可以使用RBF加速交易成功，不会加速交易取消（取消的实际是成功前的那笔低Fee交易，但理论上最终会有个按卖家PSBT约定的成功交易）。

金色财经报道，慢雾创始人余弦在X平台发文表示，X广告泛滥的钓鱼Chrome都看不下去了，直接屏蔽提醒钓鱼，钓鱼钱包地址与Ace Drainer钓鱼团伙有关。各方如果能及时屏蔽这些钓鱼，中招的人也就少了。

金色财经报道，近期，慢雾安全团队发现有黑客组织利用Calendly的功能，使用“添加自定义链接”在事件页面上插入恶意链接发起钓鱼攻击。Calendly 是一款非常受欢迎的免费日历应用程序，用于安排会议和日程，通常被组织用于预约活动或发送即将到来的活动的邀请。黑客组织通过Calendly发送恶意链接与大多数受害者的日常工作背景很好地融合在一起，因此这些恶意链接不容易引起怀疑，受害者容易无意中点击恶意链接，在不知觉中下载并执行恶意代码，从而遭受损失。 慢雾安全团队提醒大家在使用Calendly的时候，如果发现界面上有链接，请注意识别链接的来源和域名，避免遭受攻击。可以在点击链接之前将鼠标移到文本上方，此时在浏览器的左下方会展示文本对应的链接地址，在点击之前请仔细核对好链接地址，避免访问到钓鱼链接。

金色财经报道，SlowMist发布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻击，利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日，利用者发起了20提案，并在提案中说明20提案是对16提案的补充，具有相同的执行逻辑。但实际上，提案合约多了一个自毁逻辑，其创建者是通过create2创建的，具有自毁功能，所以在与提案合约自毁后，利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是，社区没有看到拟议合约中的犯规行为，许多用户投票支持该提案。 在5月18日，利用者通过创建具有多个交易的新地址，反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性，利用者在5月20日7:18（UTC）销毁了提案执行合约，并在同一地址部署了一个恶意合约，其逻辑是修改用户在治理中锁定的代币数量。 攻击者修改完提案合约后，于5月20日7:25（UTC）执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的，因此，该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后，攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽，同时利用者控制了治理。

金色财经报道，慢雾创始人余弦表示，比特币技术门道确实很多，如果你的比特币资产（铭文/BRC-20这些本质都是BTC或者说UTXO，只是铭刻在具体sat上的价值资产）被盗，主要有三种可能： -助记词/私钥被盗，或弱随机数导致被破解； -被钓鱼诱骗发送； -做了SIGHASH_NONE这类签名，之前说过，这意味着这笔资产谁都可以拿走。