CertiK：發現Solana Phone關鍵漏洞，用戶資產可在數十秒內被竊取一空

金色財經報道，近日，CertiK發現了Solana Phone中的一個關鍵引導程序漏洞，CertiK測試專家在短短一分鐘之內成功越獄測試了該款手機，并在幾步操作內將其內所有資產“洗劫一空”。

該漏洞源于一種不安全的“引導程序解鎖”功能。除了竊取用戶資產外，它還會暴露設備上存儲的所有個人數據。自四月初以來已有超過2,100臺設備處于嚴重風險之中。

鑒于該漏洞的復雜性和物理訪問的必要性，CertiK已將漏洞告知Solana，并公開發布了此漏洞預警，以保護Web3用戶并促使他們采取有效措施來保護他們的資產安全。

CertiK于11月15日發布了一則視頻分析該漏洞的細節。他們強調，該漏洞并不僅限于Solana Phone，建議相關項目和開發者立即采取行動加強引導程序保護。

其它快訊：

CertiK：警惕社交媒體上假冒PePeCoin空投的虛假宣傳:金色財經消息，據CertiK官方推特發布消息稱，警惕社交媒體上假冒PePeCoin空投的虛假宣傳，請用戶切勿與相關互動，已知的假冒網站會連接到一個自動盜幣地址。[2023/8/19 18:10:26]

Balancer回應閃電貸攻擊：計劃將通縮代幣添至黑名單:Balancer兩個流動性礦池今晨被爆出遭到閃電貸攻擊，被轉移資產價值約為50萬美元。Balancer官方隨即對此事發布博客進行回應。此次攻擊讓攻擊者從STA和STONK兩個代幣池中獲取資金，遭遇攻擊的兩個代幣均為帶有轉賬費的代幣，也稱通縮代幣。Balancer還還原了此次攻擊的流程，黑客將通過閃電貸從dYdX借出ETH并轉換為WETH，不斷交易WETH和STA，在每筆交易中，STA都需要支付一筆轉賬費，該資金池將會在不收取費用的情況下獲得余額。調用足夠次數后，攻擊者調用gulp()，該操作會將代幣余額的內部池記帳同步到代幣追蹤合約中存儲的實際余額。最后由于STA的余額接近于零，因此其相對于其他代幣的價格非常高，此時攻擊者可使用STA以極低價交換代幣池中的其他資產。由于此類攻擊只限于通縮代幣，Balancer稱下一步會將通縮代幣添加到UI黑名單中。目前Balancer已經通過兩次全面審核，即將開始第三次協議審核。[2020/6/29]

動態 | NBA籃球運動員Spencer Dinwiddie對聯盟拒絕將其續約合同代幣化的決定感到失望:NBA籃球運動員Spencer Dinwiddie在社交平臺中對NBA以違反政策為由，拒絕將其續約合同代幣化的決定感到失望。他表示聯盟官員可能對他的要求存在誤解，并補充說他愿意溝通解決這個問題。據此前消息，Dinwiddie希望通過與加密公司Paxos合作將他三年期3450萬美元合同的第一年代幣化，來籌集1350萬美元。Dinwiddie還宣布推出一個名為Dream Fan Shares的區塊鏈新平臺，將其作為一種創新的投資工具，讓運動員和娛樂界人士能夠簽署他們的職業融資合同。[2019/9/29]