#区块链[超话]# 【慢雾安全预警：Solana 授权钓鱼猖獗，请勿掉以轻心】

据慢雾区情报，Solana 上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ，用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站，连接钱包(图 2)，点击页面上的“Mint”，出现批准提示框(图 3)。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包里的所有 SOL 都会被转走。当点击“批准”时，用户会和攻击者部署的恶意合约交互：
3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
该恶意合约的功能最终就是发起“SOL Transfer”，将用户的 SOL 几乎全部转走。从链上信息来看，该钓鱼行为已经持续了几天，中招者在不断增加。

慢雾在此提醒：
1. 恶意合约在用户批准(Approve)后，可以转走用户的原生资产(这里是 SOL)，这点在以太坊上是不可能的，以太坊的授权钓鱼钓不走以太坊的原生资产(ETH)，但可以钓走其上的 Token。于是这里就存在“常识违背”现象，导致用户容易掉以轻心。
2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试)，没有给用户完备的风险提醒。这非常容易造成安全盲区，导致用户丢币。

#英伟达通过加密回击了勒索软件攻击者#
分享恶意软件和病毒样本的团体Vx-underground在Twitter上报告曾，NVIDIA勒索软件攻击是由一个名为LAPU$的南美团体实施的。据称，该组织对英伟达内部服务器进行了勒索软件攻击并已渗出超过1TB的数据。

尽管目前就这一说事件尚未得到英伟达的证实，因为该公司前面只是承担正在调查这一事件。不过根据昨天彭博社援引他们自己的消息来源证实，英伟达确实受到了勒索软件的攻击，这部分证实了vx-underground的消息。

而英伟达有关方面消息称，通过试图加密被盗数据来回击该组织，然而该组织在虚拟机器环境中复制了一份数据，这意味着英伟达这样的反击措施将是不成功的。并且改黑客组织还发布了英伟达驱动的源代码，但这次攻击的真正范围目前还不清楚。

今天在推上看到一个新式攻击，攻击者在github 上提 PR 但悄悄把 yarn.lock里的服务器换成他们自己的服务器，这样恶意代码就到了依赖里

而 yarn.lock 因为大且乱，review也不太有人看所以非常容易混进去导致攻击成功… 这还是有点吓人，开源软件也不都那么安全的

#互联网创业##程序员##卡拉云##互联网科技# https://t.cn/R2WxsCs