慢霧創始人余弦：硬件安全密鑰是安全認證的標配之一

金色財經報道，慢霧創始人余弦在社交媒體上發文表示，硬件安全密鑰(Security Key)是安全認證的標配之一，在2FA場景下可以很好對抗釣魚網站，因為服務端可以驗證簽名是否來自預期內的域名。這種安全機制比其他類似的2FA靠譜多了。安全性：Security Key 2FA > Authenticator 2FA > SMS 2FA。雖然便利性是倒過來的。

其它快訊：

慢霧：使用ledgerhq/connect-kit版本>1.1.4的Dapp均受影響:金色財經報道，2023年12月14日 8:33 PM 慢霧安全威脅情報發現 @ledgerhq/connect-kit 遭受供應鏈攻擊，攻擊者在 @ledgerhq/connect-kit >1.1.4 的版本中植入了惡意的JS代碼從而對加密貨幣用戶發起釣魚攻擊。使用 @ledgerhq/connect-kit 版本 >1.1.4 的 Dapp 均受到影響，請注意排查代碼中是否有使用到如下受影響版本。

影響版本范圍：

@ledgerhq/connect-kit 1.1.5 (攻擊者在代碼中進行留言)

@ledgerhq/connect-kit 1.1.6 (攻擊者在代碼中進行留言并植入惡意的JS代碼)

@ledgerhq/connect-kit 1.1.7 (攻擊者在代碼中進行留言并植入惡意的JS代碼)

慢霧安全團隊建議，在沒有官方明確修復前，請謹慎使用DApp進行交互操作。[2023/12/14 19:10:31]

慢霧：Solana公鏈上發生大規模盜幣，建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息，據慢霧區情報，Solana公鏈上發生大規模盜幣事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤分析：

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行，從交易特征上看，攻擊者在沒有使用攻擊合約的情況下，對賬號進行簽名轉賬，初步判斷是私鑰泄露。不少受害者反饋，他們使用過多種不同的錢包，以移動端錢包為主，我們推測可能問題出現在軟件供應鏈上。在新證據被發現前，我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置，等待事件分析結果。[2022/8/3 2:55:22]

動態 | 慢霧安全團隊發現新型公鏈攻擊手法“異形攻擊”:慢霧安全團隊發現針對公鏈的一種新型攻擊手法“異形攻擊”（又稱地址池污染），是指誘使同類鏈的節點互相侵入和污染的一種攻擊手法，漏洞的主要原因是同類鏈系統在通信協議上沒有對非同類節點做識別。這種攻擊在一些參考以太坊通信協議實現的公鏈上得到了復現，以太坊同類鏈，由于使用了兼容的握手協議，無法區分節點是否屬于同個鏈，導致地址池互相污染，節點通信性能下降，最終造成節點阻塞、主網異常等現象。相關公鏈需要注意持續保持主網健康狀態監測，以免出現影響主網穩定的攻擊事件出現。[2019/4/18]