STA:安全公司：安卓漏洞StrandHogg可竊取加密錢包信息_STAK

12月2日，挪威應用安全公司Promon發現一個名為StrandHogg的危險Android漏洞。據報道，該漏洞已經感染了所有版本的Android，并將排名前500位的最受歡迎應用置于危險之中。StrandHogg偽裝成受感染設備上的任何其他應用程序，欺騙用戶，讓他們相信自己使用的是一個合法的應用程序。然后，該漏洞允許惡意應用程序通過顯示惡意和虛假的登錄屏幕來偽裝用戶的憑證。據報道，除了竊取加密錢包登錄憑證等個人信息外，StrandHogg還可以通過麥克風監聽用戶的聲音，讀取和發送短信，訪問設備上的所有私人照片和文件，以及其他一些不法行為。Promon研究人員進一步指出，他們已經在去年夏天向谷歌透露了他們的發現。然而，盡管谷歌確實刪除了受影響的應用程序，但它似乎并沒有針對任何版本的Android修復該漏洞。

安全公司：Apache NFT SalesRoom發生Rug Pull，部署者獲利68萬美元:金色財經報道，據Beosin Alert監測，BNB Chain鏈上Apache NFT SalesRoom（ASN）發生Rug Pull，部署者獲利約68萬美元。部署者將大量代幣轉移到地址0xdc8開頭地址，現在該地址已以68萬美元的BSC-USD價格拋售了100萬枚ASN。[2023/8/3 16:16:06]

CoinMarketCap集成區塊鏈安全公司CertiK的安全評分功能:金色財經報道，加密貨幣排名平臺CoinMarketCap宣布已完成區塊鏈安全機構CertiK旗下安全評分功能的集成，使用戶能夠快速了解其平臺上列出的加密項目安全性。另據披露數據顯示，在CoinMarketCap上排名前500的Web3項目中， 截至目前CertiK已完成了約70%的審計工作。（globenewswire）[2023/5/22 15:19:07]

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

Tags：STAANDSTAKKETAllStars DigitalUltramanDogeSTAKDTokenPocket

中幣交易所