慢霧：使用ledgerhq/connect-kit版本>1.1.4的Dapp均受影響

金色財經報道，2023年12月14日 8:33 PM 慢霧安全威脅情報發現 @ledgerhq/connect-kit 遭受供應鏈攻擊，攻擊者在 @ledgerhq/connect-kit >1.1.4 的版本中植入了惡意的JS代碼從而對加密貨幣用戶發起釣魚攻擊。使用 @ledgerhq/connect-kit 版本 >1.1.4 的 Dapp 均受到影響，請注意排查代碼中是否有使用到如下受影響版本。

影響版本范圍：

@ledgerhq/connect-kit 1.1.5 (攻擊者在代碼中進行留言)

@ledgerhq/connect-kit 1.1.6 (攻擊者在代碼中進行留言并植入惡意的JS代碼)

@ledgerhq/connect-kit 1.1.7 (攻擊者在代碼中進行留言并植入惡意的JS代碼)

慢霧安全團隊建議，在沒有官方明確修復前，請謹慎使用DApp進行交互操作。

其它快訊：

慢霧：TrustPad遭受攻擊是由于獲取錯誤的LockStartTime導致鎖定時間被篡改:金色財經報道，據SlowMist發文表示，TrustPad質押合約遭受攻擊事件更新：根據分析，由于獲取了錯誤的LockStartTime，鎖定時間被篡改。

早些時間報道，跨鏈融資平臺TrustPad在社交平臺上表示，一個質押合約遭受攻擊。目前正在全力進行調查。[2023/11/7 17:44:42]

慢霧：BXH 第一次被盜資金再次轉移，BTC 網絡余額超 2700 BTC:金色財經報道，10月8日凌晨（UTC+8），慢霧監控到 BXH 第一次被盜資金再次出現異動，經慢霧 MistTrack 分析，異動詳情如下：

黑客地址 0x48c9...7d79 將部分資金（213.77 BTCB，5 BNB 和 1 ETH）轉移至新地址 0xc01f...2aef，接著將資金兌換為 renBTC 跨鏈到 BTC 網絡，跨鏈后地址為 1JwQ...u9oU。1JwQ...u9oU 在此次轉移中接收到的總資金為 204.12 BTC。截止目前，BXH 第一次被盜事件在 BTC 網絡共有 4 個黑客地址，總計余額為 2701.3 BTC，暫未進一步轉移。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/10/8 12:49:28]

動態 | 慢霧：9 月共發生 12 起較典型的安全事件，供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件，包括：EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外，慢霧區塊鏈威脅情報(BTI)系統監測發現，針對區塊鏈生態的供應鏈攻擊越來越多，形如：去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊，還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入，進行實施盜幣攻擊。[2019/10/1]