慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击

金色财经报道，近期，慢雾安全团队发现有黑客组织利用Calendly的功能，使用“添加自定义链接”在事件页面上插入恶意链接发起钓鱼攻击。Calendly 是一款非常受欢迎的免费日历应用程序，用于安排会议和日程，通常被组织用于预约活动或发送即将到来的活动的邀请。黑客组织通过Calendly发送恶意链接与大多数受害者的日常工作背景很好地融合在一起，因此这些恶意链接不容易引起怀疑，受害者容易无意中点击恶意链接，在不知觉中下载并执行恶意代码，从而遭受损失。 慢雾安全团队提醒大家在使用Calendly的时候，如果发现界面上有链接，请注意识别链接的来源和域名，避免遭受攻击。可以在点击链接之前将鼠标移到文本上方，此时在浏览器的左下方会展示文本对应的链接地址，在点击之前请仔细核对好链接地址，避免访问到钓鱼链接。

金色财经报道，慢雾科技首席信息安全官23pds发文表示，Authy，仅次于Google Authenticator的流行2FA服务遭到黑客攻击，泄露3300万用户的电话号码。如果您是Authy用户，请警惕网络钓鱼攻击。 目前官方开发商Twilio已经确认了漏洞，加密货币行业有大量从业者使用此款2FA软件，请注意资产安全。

金色财经报道，慢雾创始人余弦在社交媒体上表示，Twitter这个严重漏洞看起来很严重，需要警惕，你如果点击了黑客准备的链接，黑客就能完全访问你的Twitter账户，可以发推、转发、点赞、屏蔽等等，但无法更改用户密码。 看上去类似CSRF这类问题，也许还结合了OAuth2认证授权。目前没任何细节，等官方修复，等后续披露。

金色财经报道，据慢雾安全团队链上情报，LDO的token合约在处理转账操作时，如果转账数量超过用户实际持有的数量，该操作并不会触发交易的回滚。相反，它会直接返回一个`false`作为处理结果。这种处理方式与许多常见的ERC20标准token合约不同。 由于上述特性，存在一种潜在的“假充值”风险。恶意攻击者可能会尝试利用这一特性进行欺诈行为。 慢雾建议如下： 1. 在处理token到账的逻辑时，不仅仅依赖于交易的成功或失败，还需要根据token合约的实际返回值进行判断。 2. 请注意，市场上存在许多非ERC20标准的token合约。在接入新的token之前，务必对其合约代码进行深入的理解和分析，确保实现正确的入账逻辑。 3. 建议定期进行代码审计和安全检查，确保系统的健壮性和安全性。 Token合约的实现和行为可能因项目而异。为了确保资金的安全和交易的准确性，强烈建议在接入任何新的token之前，深入理解其合约逻辑并进行充分的测试。

金色财经报道，慢雾首席信息安全官23pds发推称，Mac用户请警惕名为Cuckoo的新恶意软件。 该恶意软件针对Intel和基于ARM芯片的Mac，它会窃取加密钱包和消息应用中的数据，通过音乐流媒体途径传播。

金色财经报道，SlowMist发布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻击，利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日，利用者发起了20提案，并在提案中说明20提案是对16提案的补充，具有相同的执行逻辑。但实际上，提案合约多了一个自毁逻辑，其创建者是通过create2创建的，具有自毁功能，所以在与提案合约自毁后，利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是，社区没有看到拟议合约中的犯规行为，许多用户投票支持该提案。 在5月18日，利用者通过创建具有多个交易的新地址，反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性，利用者在5月20日7:18（UTC）销毁了提案执行合约，并在同一地址部署了一个恶意合约，其逻辑是修改用户在治理中锁定的代币数量。 攻击者修改完提案合约后，于5月20日7:25（UTC）执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的，因此，该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后，攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽，同时利用者控制了治理。