Cointime

Cointime

扫码下载App
iOS & Android
首页 / 安全

Paradigm研究员:Twitter安全漏洞现已修复

Paradigm 研究员 Samczsun 于社交平台发文表示,Twitter 今晨通报的安全漏洞现已修复,技术摘要如下:Twitter 子域中的反射型 XSS 和 CORS/CSP 绕过允许作为本地经过身份验证的用户进行对 Twitter API 的任意请求。BlockBeats 此前报道,今日早些时候,fuzzland 联创、加州伯克利分校博士研究生 Chaofan Shou 发文称,Twitter 出现一个关键漏洞,该漏洞允许黑客通过仅点击一个链接就能获得用户账户的完全访问权限。这意味着黑客可以进行推文、转推、点赞、屏蔽等操作,但无法更改用户密码。

Twitter X
评论

所有评论

推荐阅读

  • 慢雾安全提醒:警惕恶意攻击者利用 WordPress 插件漏洞发起的水坑攻击

    近期有攻击者利用 WordPress 插件漏洞攻击正常的站点,然后在站点中注入恶意的 js 代码,发起水坑攻击,在用户访问站点时弹出恶意弹窗,骗取用户执行恶意的代码或进行 Web3 钱包签名,从而盗取用户的资产。建议有使用 WordPress 插件的站点注意排查是否存在漏洞,及时更新插件,避免被攻击;用户在访问任何站点的时候,要仔细识别下载的程序以及 Web3 签名的内容,避免下载到恶意程序或因授权了恶意的签名导致资产被盗。

  • 未经验证的Ember Sword NFT拍卖合约漏洞已造成近20万美元损失

    据Certik监测,其发现未经验证的Ember Sword NFT拍卖合约漏洞,已从159名批准该合约的受害者那里获利60 WETH(约19.5万美元)。Certik提醒用户撤销对Polygon上相关合约的批准。

  • BSC链上的某未知合约和Polygon链上Ember Sword项目合约存在可疑交易

    BlockSec Phalcon在X平台表示,位于BSC链上的未知合约和位于Polygon链上Ember Sword项目合约存在可疑交易,请立即撤销对BSC链上0x389开头合约地址和Polygon链上的0x6f7开头合约地址。

  • 诈骗者利用伪造的USDT余额来欺骗加密货币用户

    慢雾与Imtoken合作,揭露了一种利用离线交易并使用USDT的新加密货币骗局,诈骗者操纵以太坊RPC来伪造受害者钱包中的USDT余额。骗子诱骗受害者将他们的以太坊RPC URL更改为他们控制的URL,让受害者看起来像是存入了USDT资金,结果却让受害者在尝试交易时空手而归。此外,该骗局还通过小额转账欺骗用户以获得信任,然后操纵账户余额和合约信息,给毫无戒心的用户带来严重风险,并与更广泛的生猪屠宰骗局活动有关。

  • 萨尔瓦多官方比特币钱包反驳其被黑客攻击的谣言

    萨尔瓦多官方加密货币钱包 Chivo Wallet 否认了有关其软件源代码和与 KYC 程序相关的 500 多万用户数据遭到黑客攻击的报道。该钱包的管理部门澄清道,其数据安全性没有受到损害,泄露数据并非来自他们的系统。此外,Chivo 表示,唯一泄露的文件来自一台于 2023 年 3 月 21 日被盗的 Chivo ATM 机。这些文件包含的信息与 ATM 机的操作严格相关,不包括任何个人用户数据。(fFnance Feeds)此前 4 月初消息,据黑客称,自上周六以来,超过 500 万萨尔瓦多人的个人信息遭泄露,成为该国历史上最严重的数据安全事件。被盗信息包括姓名、生日、电话、地址等,甚至高清无水印的头像也一并曝光。这一泄露牵涉到绝大多数萨尔瓦多成年人。泄露数据从 8 月起以 250 美元售价在暗网流通,但据称黑客未能收到赎金,因此决定免费发布数据。

  • Merlin Chain官方Discord疑似被黑

    据社区成员反馈,Merlin Chain 官方 Discord 疑似被黑,某管理账户发布带有钓鱼链接的通知内容。Odaily 提醒用户注意资产安全。

  • Alliance of 314:X314合约疑似存在隐藏增发开关,开发者应注意验证

    Alliance of 314发文称,某314项目方合约未于区块链开源,至于其他平台是否开源,这里有一个误区,其他平台的开源都是自行提交,并不意味这就是链上所部署合约,所以是否有隐藏增发未知。另某314项目表示即将上线交易所,登陆中心化交易所第一点要求即为合约开源,而开源对于任何项目方来说都是保证投资者信心的第一件事,参考之前的0.1,0.5,0.9版本开源,由此断定X314合约内存在隐藏代码,故而不敢开源。 最大风险提示:经过ethervm反编译查询,高度怀疑某314有隐藏增发开关用以增加矿池产出及套利。字段如下:0x40c10f19mint(address,uint256)请广大开发者验证。一般普通开发者并不会设置此项开关,该风险警戒级别为最高等级

  • Magpie Protocol:发现合约存在漏洞,建议用户尽快取消授权

    跨链基础设施 Magpie Protocol 在 X 平台表示合约存在漏洞,并督促曾对授权过其合约且钱包内仍持有资金的用户尽快取消各条链上的相关合约授权。

  • 慢雾揭秘新型骗局:恶意修改RPC节点链接骗取资产

    慢雾安全团队发文揭露一种新型的加密货币骗局。该骗局利用修改以太坊节点的远程过程调用(RPC)功能进行资金诈骗。骗子的具体作恶流程如下:诱导用户下载 imToken 钱包,并用 1 USDT 以及少量 ETH 为诱饵来取得用户的信任。然后,骗子引导用户更改其 ETH 的 RPC 网址到骗子控制的节点,该节点利用 Tenderly 的 Fork 功能造假用户的 USDT 余额。用户在看到错误的余额后,可能会进行转账尝试,而此时骗子已消失。据慢雾科技报道,此类骗局利用了用户的信任和疏忽,导致资产损失。慢雾安全团队提醒用户在交易时应保持警惕,避免使用不可信的 RPC 节点。

  • Elon Musk:X平台投资人将拥有四分之一xAI

    Elon Musk在X平台发文称,X平台投资人将拥有25%的xAI,xAI上Elon Musk旗下人工智能公司。

每日必读

热门标签

Cointime
即时新闻
内容
RSS
公司