第 1000 次安全提醒...😭別讓牛市與你無關...

大家注意下，最近郵箱裡經常會收到 New login to X From XXX 的郵件，大多都繞過了 Gmail 垃圾郵件風控會正常顯示出來。內容基本都是提醒你的 X 被異常登錄了，然後你如果按提醒文案去 Change your password 或者 Review the apps，那麼你將被引導到 X 官方的第三方應用授權頁面，一旦授權，你的 X 如下關鍵權限就在釣魚騙子那了： Post and repost for you. 未來你的 X 上就會出現莫名其妙不是你自己發的推文…😅 cc @SlowMist_Team

看來 ETH 熱度是起來了，該用戶遭遇兩筆 Approve+Permit 的授權釣魚，損失超 110 萬美金。

⚠️ 安全事件更新： - 所有私鑰保持安全 - 我們的團隊正在與 @SlowMist_Team 積極合作，以追蹤攻擊者的地址並監控任何資金動向 - 系統恢復正在進行中。我們會持續更新您 感謝您的耐心和支持

🚨SlowMist TI 警報🚨 交易所 @BigONEexchange 因供應鏈攻擊而遭到利用，損失超過 2700 萬美元。生產網絡遭到破壞，與帳戶和風險控制相關的伺服器操作邏輯被修改，使攻擊者能夠提取資金。值得注意的是，私鑰並未洩露。 駭客地址： 🔹 以太坊 & BSC：0x9Bf7a4dDcA405929dba1FBB136F764F5892A8a7a 🔹 Solana: HSr1FNv266zCnVtUdZhfYrhgWx1a4LNEpMPDymQzPg4R 🔹 比特幣: bc1qwxm53zya6cuflxhcxy84t4c4wrmgrwqzd07jxm 🔹 龍: TKKGH8bwmEEvyp3QkzDCbK61EwCHXdo17c 我們正在密切跟進此案件。請持續關注更多更新。 🔗

Secure by Design 一個重要的安全思想及實踐建議，感興趣的可以自行搜索學習。 圖是 ChatGPT 4o 創作，生圖時容易有錯別字…不過圖做的還不錯，我提示詞給的還行。

還有一類像我們這種白帽黑客，從 17 年入場開始研究 Blockchain/Crypto/Web3 各類的鏈上鏈下安全威脅，比如單一個假充值問題，我們的研究跨度就從比特幣、門羅幣到以太坊、Token、L2、Solana、Move 系、TON 網絡等等。 如果是釣魚技巧，那又更多，如果是各種被盜被黑踩坑，那真的是只要玩家們在哪，哪裡就有需要去探索真相的我們...我們場內活躍度也達 100%... 順便多說點... 當白帽挑戰大，防禦需要面面俱到，還需要有黑帽視角。有些人直接選擇當黑帽，有些人選擇中間態，當個灰帽。這種選擇，我沒什麼好評價的，只能說人各有志，各自承擔各自的風險、收益及因果。 如果要給這個生態搞個食物鏈金字塔，黑帽黑客贏了，站在最頂端，詐騙、釣魚、五花八門的項目方依此往下，底層的角色包括安全公司在內的偏合規類的角色。 不過吧，這個圖看如何解讀了，也可以解讀成安全公司在內的角色在做生態基建...反正苦活累活為主，沒毛病...😂

感謝 @MYX_Finance 的信任與認可！❤️ 在7月9日，SlowMist 團隊收到了 MYX 的緊急求助請求。我們立即啟動了應急響應🚨，迅速分析了受影響的協議，制定了救援計劃🛡️，並成功協助 MYX 確保了風險資金並減輕了漏洞。截至目前，所有協議資金都安全無虞。🔒 這次事件充分展示了白帽社群與安全團隊之間的專業性和高效合作。我們也想對所有參與此次救援行動的白帽夥伴和安全團隊表示感謝——我們共同保護了用戶的資產和更廣泛的生態系統。💪 SlowMist 始終致力於為 Web3 行業提供專業的安全服務。隨時歡迎與我們聯繫——我們期待共同建立一個更安全、更值得信賴的加密生態系統。🚀

沒精細地算，如果大差不差是這樣的話，GMX 一分沒虧，黑客也拿走了 500 萬美金賞金，轉白帽成功…這種神奇結果，除了黑客自己的操作之外，得感謝 ETH 這兩天漲的不錯…🤣

[5/5] 感謝名單 • @SlowMist_Team 不斷進行的緊急處理與修補 • @dedaub、@pcaversaccio 和 @seal_911 的戰情室進行了 36 小時的代碼檢查 • @etherscan 進行了閃電般快速的 UI 清理 • 再次感謝 @deeberiroz、@VennBuild、@davidberiro—你們的提醒拯救了這一天 💙