周四，黑客在加密钱包公司Ledger维护的广泛使用的区块链软件Connect Kit的Github库中插入恶意代码后，窃取了48.4万美元。使用该库的几个主要的去中心化金融（DeFi）协议受到影响，用户被警告不要在这些协议更新之前使用去中心化应用程序（dApps）。Ledger的Connect Kit是一段代码，允许DeFi协议连接到加密硬件钱包。这个漏洞可能会影响所有使用Connect Kit的协议的前端，其中包括Sushi、Lido、Metamask和Coinbase等。虽然Ledger已经更新了自己的代码，但是每个使用Ledger的Connect Kit的协议都必须手动更新其库的版本才能完全减轻风险。

Safe(前身Gnosis Safe)在X平台发文表示，Ledger Connect漏洞已得到解决。安全没有受到影响。Safe并未受到该漏洞的影响。安全应用程序和WalletConnect功能已恢复，为了增强安全性，攻击者的帐户已在UI中进行标记和标记。

安全公司MetaTrust Alert监测显示，OKX DEX漏洞利用造成的总损失现已达到270万美元。

据慢雾区消息，OKX DEX 合约疑似出现问题，慢雾分析后发现：用户进行兑换时会授权给 TokenApprove 合约，DEX 合约通过调用 TokenApprove 合约转移用户代币。DEX 合约存在 claimTokens 函数，允许可信的 DEX Proxy 进行调用，其功能是调用 TokenApprove 合约的 claimTokens 函数转移已授权用户的代币。可信的 DEX Proxy 由 Proxy Admin 进行管理，Proxy Admin Owner 可以通过 Proxy Admin 升级 DEX Proxy 合约。 Proxy Admin Owner 在 2023-12-12 22:23:47 通过 Proxy Admin 升级了 DEX Proxy 合约到新的实现合约，新的实现合约功能是直接调用 DEX 合约的 claimTokens 函数转移代币。随后攻击者开始调用 DEX Proxy 窃取代币。Proxy Admin Owner 在 2023-12-12 23:53:59 再次升级了合约，实现功能与先前类似，升级后继续窃取代币。截止现在获利约 43 万 U。 该攻击或为 Proxy Admin Owner 私钥泄漏，目前 DEX Proxy 已被移出受信列表。

12月13日消息，Paradigm研究员samczsun发文称，社交媒体X（原Twitter）出现一个关键漏洞，该漏洞允许黑客通过仅点击一个链接就能获得用户账户的完全访问权限。这意味着黑客可以进行推文、转推、点赞、屏蔽等操作，但无法更改用户密码。在此问题得到解决之前，为了保护自己的账户安全，建议用户安装广告拦截器uBlock Origin，以减少遭受此类攻击的风险。uBlock Origin 是一款有效的浏览器扩展，能够阻挡恶意链接和广告，从而提高用户在使用 X等社交平台时的网络安全。

慢雾创始人余弦在社交媒体上表示，比特币序号铭文被扣个CVE编号本来一个社区争议的问题，但是争议方把这事提交给CVE这种影响力深远的漏洞平台，NVD（许多人说的美国政府机构）等漏洞平台也是采纳CVE编号，整个安全甚至IT行业都认这些标准。但是有一个客观事实：CVE漏洞不代表都一定会或有必要修复，尤其是漏洞评分等级不高的，比如比特币序号铭文这个，5.3分（满分10分），中危漏洞，我们如果看细节，影响这个最终分数有好几个指标，其中有的指标是0分，Impact这个“影响”指标也才1.4分。如果是这种情况，最终修复与否还真要看Bitcoin Core的态度，修复后执行与否还得看矿池们、看有影响力的各位的态度。

SlowMist在社交媒体上发布每周(2023年12月3日-12月9日)安全报告，上周总损失约为191万美元，按受损资金量排名前三的包括： 1.Xai网络钓鱼事件：374枚ETH损失，价值约84.58万美元。 2.AbattoirofZir(DIABLO)崩溃：235,705美元的损失。 3.Time合约漏洞：190,000美元的损失。

Web3安全平台Ancilia在X平台发文表示，ERC2771漏洞正在多个网络上被攻击者利用，包括Base、BSC等。

CertiK Alert在X平台发文称，发现一个漏洞导致 FCN-TRUST(FCN)代币下跌约99%，BSC：0x0fEA057dB0e6b45fa1A0065Cd512150987F2AF08，漏洞利用者窃取了约50万美元，并存入Tornado Cash。