漏洞修復

ChainCatcher 消息，据 PMX 官方公告，其 Polycule 交易機器人昨夜被黑客利用漏洞攻擊，導致用戶資金被盜。目前漏洞源已定位，修復補丁與審計將於本週末上線。官方表示僅約 23 萬美元用戶資金受影響，待系統恢復後，將通過金庫補償 Polygon 鏈上受損用戶，並使其餘額回到被攻擊前水平。

ChainCatcher 消息，Flow 基金會更新漏洞事件後的修復進展。Flow 核心開發團隊已找到在 Cadence 修復工作進行期間恢復 EVM 功能的方案，EVM 網絡預計將在 24 小時內恢復上線。當前正繼續第二階段（Cadence）和第三階段（EVM）的並行修復，隨後進入第四階段恢復橋接和交易所功能。

ChainCatcher 消息，Flow 區塊鏈遭遇安全漏洞攻擊，約 390 萬美元資產被轉移出網絡，驗證者隨即執行協調暫停。Flow 基金會目前正與驗證者、核心開發者及生態系統合作夥伴密切協作，制定網絡恢復方案。官方確認用戶資金安全未受影響，技術修復步驟正在驗證中。預計生態系統協調階段將在 2-3 小時內完成，下一步狀態更新將於太平洋時間 12 月 29 日下午 6 點發布。基金會表示，延長協調時間是為確保網絡能穩定有序地恢復運行。

ChainCatcher 消息，以太坊聯合創始人 Vitalik Buterin 在 X 平台發文稱："我對去中心化開源加密文檔工具 Fileverse 印象深刻。其每個月都有更多漏洞被修復，最近它終於達到了一個讓我能放心地把文檔發出去供他人評論或協作的程度，而且事情基本不會出岔子。我認為，運營出色的案例比人們意識到的要多，而且 Fileverse 還有一個優勢，就是它對網絡效應的依賴程度要低得多。"

ChainCatcher 消息，据市場消息，Typus Finance 公告，團隊已完成針對前日披露漏洞的內部代碼修復，目前正等待獨立安全專家審查後再重新部署。Typus 強調，在合約暫停期間，所有永續合約倉位不會被清算，用戶抵押資產安全且可在安全檢查完成後恢復取回。官方同時表示，資金追蹤工作正與合作夥伴及執法機構協調進行，資產回收方案仍在內部制定中。團隊重申將持續保持透明，並在關鍵進展後及時通報用戶。

ChainCatcher 消息，Trust Wallet 中文頻道發文稱，團隊就社區近期關於 2018 年早期錢包版本漏洞的討論作出澄清。該漏洞源自當時業內普遍採用的第三方開源隨機數庫，已於 2018 年 7 月修復並開源記錄於 Wallet Core 庫中。官方表示，約 1 萬名早期用戶曾受影響，均已獲通知並完成資產遷移，未造成任何損失。自 2018 年 7 月起，新創建錢包均不受影響。目前 Trust Wallet 已採用經審計的加密庫及高強度隨機數算法，並持續通過獨立安全審計及漏洞懸賞計劃強化安全。團隊還將推出"錢包安全認知系列"，科普助記詞與隨機數安全原理，重申其"透明與安全是核心承諾"。

ChainCatcher 消息，据兩位不願透露姓名的消息人士透露，Unity 遊戲引擎正在悄悄推出一個漏洞修復程序，該漏洞允許第三方代碼在基於 Android 的手機遊戲中運行，這可能會針對移動加密錢包。據消息人士透露，該漏洞影響了 2017 年以來的項目，並補充說該漏洞主要影響 Android，但 Windows、macOS 和 Linux 系統也受到不同程度的影響。Unity 已開始向選定的合作夥伴私下分發修復程序和獨立修補工具，但預計要到下週一或週二才會發布公開指導。

ChainCatcher 消息，TON 核心開發團隊表示，區塊生產已恢復，已發布了一個快速修復補丁，僅更新少數主鏈驗證節點就足以恢復區塊生產。此次問題事件與主鏈調度隊列處理中的一個錯誤有關。TON 核心開發團隊將在稍後發布該事件的技術報告。

ChainCatcher 消息，TonBit 團隊近期發現並協助修復了 TON 虛擬機中的兩個關鍵漏洞。其中一個漏洞可能會被惡意合約利用，觸發虛擬機的異常崩潰，從而影響網絡的穩定性。Ton 官方開發團隊在最新版的 Github Release 中調整了虛擬機的內部處理方式，防止此類攻擊發生。

ChainCatcher 消息，Ordinals 創始人 Casey 在 X 平台發布提醒，呼籲用戶儘快將 ord 錢包升級至 0.21.2 版本。此次更新修復了一個嚴重漏洞，該漏洞可能導致在使用"ord wallet send"功能時，由於未正確創建找零輸出，造成符文意外丟失。Casey 解釋，當輸入 UTXO 包含多個符文（A 和 B）時，在發送符文 A 的過程中可能會導致符文 B 被誤發送。此次更新還新增了錢包地址消息簽名功能，並修復了鑄造進度顯示問題。目前尚未收到用戶因該漏洞造成資產損失的報告。

ChainCatcher 消息，近日，Bitslab 旗下品牌 MoveBit 成功發現並協助修復了 Aptos 網絡中的一個重大拒絕服務（DoS）漏洞，定級為"高危"。該漏洞因內存池交易驅逐機制不完善，可能導致多達 90%的正常交易被節點拒絕。Aptos 團隊已在最新版本中修復了該漏洞，並在官方發布說明中感謝 MoveBit 的貢獻。此舉再次彰顯了 MoveBit 在區塊鏈安全領域的技術實力，鞏固了其行業領先地位。MoveBit 是 BitsLab 旗下專注於 Move 生態的安全團隊，致力於構建安全標準並提供安全審計，保障 Move 生態的安全性。

ChainCatcher 消息，區塊鏈安全公司 Asymmetric Research 披露，其在 Cosmos 網絡上發現了 Circle 的 Noble-CCTP（USDC USDC 跨鏈傳輸協議的一個組成部分）中的一個關鍵漏洞，並已私下通知 Circle。該漏洞已被及時修復，沒有用戶資金損失或發生惡意攻擊。安全公司發現，惡意行為者可能會避開該跨鏈傳輸協議的消息發送者驗證過程，在 Noble 橋上偽造 USDC。更具體地說，在沒有首先檢查橋接消息是否從初始鏈上經過驗證的"TokenMessenger"地址發送的情況下，Noble-CCTP"ReceiveMessage"處理程序接受來自任何發送方的"BurnMessages"。不過，儘管漏洞最初看起來像是一個無限鑄造的缺陷，但由於 Noble 大約 3500 萬枚 USDC 的鑄造限制，實際影響有限。

ChainCatcher 消息，Terra 發推稱，Terra 鏈在區塊高度 11430400 處短暫停止，在此期間將不會處理交易。Terra 將與 Terra (phoenix-1) 上的驗證者合作，隨後應用緊急補丁來修復可疑漏洞。

ChainCatcher 消息，Jupiter 官方在社交媒體上發文表示，該平台此前出現的價格顯示錯誤問題已被修復。此前消息，Jupiter 官方早些時候在社交媒體上發文表示，由於 Openbook crank 問題，現在該 dApp 顯示的價格是錯誤的。Swap 和所有其他操作不受影響。項目方正通過在 Openbook crank 死機時阻止引用來解決該問題，修復程序將很快部署。

ChainCatcher 消息，比特幣核心開發人員 Luke Dashjr 在 X 的評論回覆中確認，此前其披露的 Bitcoin Core 漏洞如果修復，意味著 Ordinals 和 BRC-20 將不復存在。另一條評論表示"如果'銘文'想要繼續下去，一個更環保的方法就是創建一個'銘文鏈'，類似於以太坊的 Layer 2，這個鏈只需要定期向比特幣提交哈希值就可以運行了，對嗎？"Luke Dashjr 回覆，"是的，那行得通。然後它甚至根本不需要有區塊大小限制，每個節點都可以設定自己的限制（或沒有）"。

ChainCatcher 消息，MetaMask 團隊稱修復了 MetaMask 移動應用程序 v7.9.0 中的一個錯誤，如果用戶還沒有升級手機客戶端，請立即升級到最新版本 7.10.0。 該漏洞將使移動應用程序 v7.9.0 的小部分用戶的某些交易可能無法按預期執行，可能發生在不同的鏈上。此外，MetaMask 表示，若用戶在 MetaMask Mobile 上的交易視圖顯示已提交舊交易或已不再可見；以及交易從未出現在 Etherscan 上，則可能受到該錯誤影響。

ChainCatcher 消息，Mixin Kernel 發推稱，2023 年 9 月 23 日凌晨，Mixin Network 雲服務商資料庫遭到黑客攻擊，導致主網部分資產丟失。團隊已聯繫谷歌和慢霧團隊協助調查。經初步核實，涉案資金約為 2 億美元。Mixin Network 充值和提現服務已暫停。經過所有節點討論並達成共識，一旦漏洞得到確認並修復，這些服務將重新開放。在此期間，轉帳不受影響。Mixin 團隊將在之後公布處理損失資產的解決方案，Mixin 創始人馮曉東將於北京時間 9 月 25 日 13:00 在公開直播中解釋該事件。

ChainCatcher 消息，Worldcoin 在官方博客公布了安全審計報告。從 2023 年 4 月開始，審計公司 Nethermind 和 Least Authority 對該協議進行了兩次獨立的安全審計。其中 Nethermind 重點審計該協議的智能合約，共發現 26 項問題。其中 92.6%（24 項）在驗證階段後已修復，一項已得到緩解，其餘一項已得到確認。Least Authority 重點審計該協議對密碼學的使用，共發現了 3 個問題並提出六項建議。所有問題"已經解決或已計劃解決"。

ChainCatcher 消息，比特幣錢包 Xverse 官方發布聲明表示，我們修復了一個錯誤，該錯誤導致錢包種子短語未加密地存儲在設備上，所有用戶應該在 Chrome 擴展的最新版本發布後更新到該版本，目前正在等待 Google 的批准。此外，Xverse 表示，如果確認沒有種子短語離開用戶的本地設備，這個錯誤帶來的風險將很小。但如果用戶擔憂風險，可將資產遷移到新生成的錢包。（來源鏈接）