安全公司：一黑客声称其可通过KodexGlobal调取币安、Coinbase用户数据

2月5日消息，网络犯罪解决方案提供商Hudson Rock周日披露，一名化名为“Tamagami”的黑客声称其入侵了KodexGlobal，这是监管机构和执法机构之间通信的安全网络，也是谷歌、Meta和TikTok等知名科技公司以及币安、Coinbase、Chainlink、Discord、Fintech等加密项目的执法请求系统，该黑客在breakachforums上出售KodexGlobal账户的访问权限，允许买家调取这些公司用户信息。该黑客受买家委托在KodexGlobal上发出紧急数据请求 (EDR) 时每条收取300至500美元之间的费用，并承诺只要支付500美元，感兴趣的买家就可以“调取任何TikTok账户，并在8小时内获得其想要的数据”。Tamagami接受任何类型的加密支付。对于元数据请求，同样适用500美元的EDR费用。

币安发言人表示，Hudson Rock的调查结果并不一定代表对流行加密货币交易所系统的破坏。该发言人表示：“通过完善的文档流程以及对任何受损帐户的持续监控，我们仍然致力于保护我们的用户数据免遭任何形式的未经授权的访问。”

其它快讯：

彭博社：今年风投公司对加密审计和安全公司的投资激增:8月23日消息，随着加密领域黑客攻击事件的增长，加密审计和安全公司行业引来了增长。CB Insights数据显示，今年到目前为止，风险投资公司已向加密审计和安全公司投入了2.57亿美元，高于2021年全年的1.85亿美元。其次，该行业审计需求也持续上涨。ConsenSys称，今年到目前为止，已有1161个外部项目要求ConsenSys审核其智能合约代码，接近2021年全年的数量，高于2020年的247个请求。客户花费高达320,000美元的审计来进行长达9个月的审计。其次，加密审计人员的薪资非常丰厚，加密招聘公司 Plexus Resource Solutions 的创始人 Zeth Couceiro 表示，经验丰富的区块链审计师的年薪可高达40万美元。他们的薪酬通常比专注于加密编程语言Solidity开发人员高20%左右。（彭博社）[2022/8/23 12:42:45]

安全公司：Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查:据慢雾区消息，去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击，慢雾安全团队以简讯形式将攻击原理分享如下：

1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作，将合约Forge角色设置为攻击者指定的地址。

2.随后攻击者为了最大程度的将合约中资金取出，其调用了invest函数将合约中的资金抵押至Compound中，以取得抵押凭证cToken。

3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。

4.withdrawToForge函数被限制只有Forge角色可以调用，但Forge角色已被重复初始化为攻击者指定的地址，因此最终合约管理的资产都被转移至攻击者指定的地址。总结：本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查，导致攻击者直接调用此函数进行重复初始化替换Forge角色，最终造成合约管理的资产被盗。

总结：本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查，导致攻击者直接调用此函数进行重复初始化替换 Forge 角色，最终造成合约管理的资产被盗。[2021/8/12 1:51:06]

动态 | 安全公司：OkCoin韩国站某平台接口未授权访问 导致内部敏感信息泄露:DVP漏洞平台安全研究员发现OkCoin韩国站某平台存在未授权访问，导致内部敏感信息和多个内部敏感接口泄露，攻击者可通过这些接口重置内部系统用户的密码和谷歌Key并可监控管理员的每次的操作请求，可截获每次请求的authkey从而伪造请求包。[2019/2/26]

相关资讯