第 1000 次安全提醒...😭别让牛市与你无关...

大家注意下，最近邮箱里经常会收到 New login to X From XXX 的邮件，大多都绕过了 Gmail 垃圾邮件风控会正常显示出来。内容基本都是提醒你的 X 被异常登录了，然后你如果按提醒文案去 Change your password 或者 Review the apps，那么你将被引导到 X 官方的第三方应用授权页面，一旦授权，你的 X 如下关键权限就在钓鱼骗子那了： Post and repost for you. 未来你的 X 上就会出现莫名其妙不是你自己发的推文…😅 cc @SlowMist_Team

看来 ETH 热度是起来了，该用户遭遇两笔 Approve+Permit 的授权钓鱼，损失超 110 万美金。

⚠️ 安全事件更新： - 所有私钥保持安全 - 我们的团队正在与 @SlowMist_Team 积极合作，追踪攻击者的地址并监控任何资金动向 - 系统恢复正在进行中。我们会保持更新 感谢您的耐心和支持

🚨SlowMist TI 警报🚨 交易所 @BigONEexchange 因供应链攻击而遭到利用，损失超过 2700 万美元。生产网络被破坏，账户和风险控制相关服务器的操作逻辑被修改，使攻击者能够提取资金。值得注意的是，私钥并未泄露。 黑客地址： 🔹 以太坊 & BSC：0x9Bf7a4dDcA405929dba1FBB136F764F5892A8a7a 🔹 Solana: HSr1FNv266zCnVtUdZhfYrhgWx1a4LNEpMPDymQzPg4R 🔹 比特币: bc1qwxm53zya6cuflxhcxy84t4c4wrmgrwqzd07jxm 🔹 波场: TKKGH8bwmEEvyp3QkzDCbK61EwCHXdo17c 我们正在密切关注此案。请继续关注更多更新。 🔗

Secure by Design 一个重要的安全思想及实践建议，感兴趣的可以自行搜索学习。 图是 ChatGPT 4o 创作，生图时容易有错别字…不过图做的还不错，我提示词给的还行。

还有一类像我们这种白帽黑客，从 17 年入场开始研究 Blockchain/Crypto/Web3 各类的链上链下安全威胁，比如单一个假充值问题，我们的研究跨度就从比特币、门罗币到以太坊、Token、L2、Solana、Move 系、TON 网络等等。 如果是钓鱼技巧，那又更多，如果是各种被盗被黑踩坑，那真的是只要玩家们在哪，哪里就有需要去探索真相的我们...我们场内活跃度也达 100%... 顺便多说点... 当白帽挑战大，防御需要面面俱到，还需要有黑帽视角。有些人直接选择当黑帽，有些人选择中间态，当个灰帽。这种选择，我没什么好评价的，只能说人各有志，各自承担各自的风险、收益及因果。 如果要给这个生态搞个食物链金字塔，黑帽黑客赢了，站在最顶端，诈骗、钓鱼、五花八门的项目方依此往下，底层的角色包括安全公司在内的偏合规类的角色。 不过吧，这个图看如何解读了，也可以解读成安全公司在内的角色在做生态基建...反正苦活累活为主，没毛病...😂

感谢 @MYX_Finance 的信任和认可！❤️ 在7月9日，SlowMist团队收到了来自MYX的紧急求助请求。我们立即启动了应急响应🚨，迅速分析了受影响的协议，制定了救援计划🛡️，并成功协助MYX确保了面临风险的资金并减轻了漏洞。截至目前，所有协议资金都安全无虞。🔒 这一事件充分展示了白帽社区与安全团队之间的专业性和高效合作。我们还要感谢所有参与此次救援行动的白帽合作伙伴和安全团队——我们共同保护了用户的资产和更广泛的生态系统。💪 SlowMist始终致力于为Web3行业提供专业的安全服务。请随时与我们联系——我们期待共同构建一个更安全、更值得信赖的加密生态系统。🚀

没精细地算，如果大差不差是这样的话，GMX 一分没亏，黑客也拿走了 500 万美金赏金，转白帽成功…这种神奇结果，除了黑客自己的操作之外，得感谢 ETH 这两天涨的不错…🤣

[5/5] 感谢名单 • @SlowMist_Team 不断进行的紧急处理和修补 • @dedaub, @pcaversaccio 和 @seal_911 战情室进行的 36 小时代码审查 • @etherscan 进行的闪电般快速的 UI 清理 • 再次感谢 @deeberiroz, @VennBuild, @davidberiro——你们的提醒拯救了这一天 💙