ChainCatcher 메시지, Spectral 공식은 X 플랫폼에서 출시된 Syntax 플랫폼의 일부 토큰이 거래 중 보안 취약점이 존재한다고 밝혔습니다. 이 취약점으로 인해 약 20만 달러의 유동성이 제거될 것입니다. 이 문제에 대해 Spectral 팀은 플랫폼과 사용자의 안전을 보장하기 위해 신속하게 조치를 취했습니다. 조치 내용은 다음과 같습니다:Syntax 애플리케이션의 접근 권한을 일시적으로 비활성화;추가 프로그램 상호작용을 방지하기 위해 모든 스마트 계약을 중단.현재 Spectral 팀은 업계 최고의 보안 전문가와 협력하여 문제의 근본 원인을 파악하고, 플랫폼의 정상 운영을 조속히 복구하기 위한 수정 방안을 마련하고 있습니다. Syntax 팀은 이러한 조치가 커뮤니티의 이익을 보호하는 가장 효과적인 방법이라고 밝혔으며, 신속하게 자세한 후속 업데이트를 제공할 것을 약속했습니다.

ChainCatcher 메시지, 신원 및 접근 관리 소프트웨어 제공업체 Okta 공식 발표에 따르면, 2024년 10월 30일 내부에서 AD/LDAP DelAuth 캐시 키 생성 시 존재하는 취약점을 발견했습니다. Bcrypt 알고리즘이 캐시 키 생성을 위해 사용되며, 여기서 우리는 userId + 사용자 이름 + 비밀번호의 조합 문자열에 대해 해시 처리를 수행합니다. 특정 조건에서, 이는 사용자가 사용자 이름에 이전에 성공적으로 인증된 저장된 캐시 키를 제공함으로써 인증을 받을 수 있게 합니다.이 취약점의 전제는 매번 사용자에 대해 캐시 키를 생성할 때, 사용자 이름이 52자 이상이어야 한다는 것입니다. 영향을 받는 제품 및 버전은 2024년 7월 23일 기준의 Okta AD/LDAP DelAuth이며, 이 취약점은 2024년 10월 30일 Okta의 생산 환경에서 해결되었습니다.

ChainCatcher 메시지에 따르면, Bedrock 공식 소식으로 uniBTC 보안 취약점 사건에 대한 분석 보고서가 발표되었습니다. 주요 내용은 다음과 같습니다:계약 취약점이 확인되었으며 해결되었습니다;모든 자산은 안전합니다;에어드랍 계획: 모든 uniBTC 보유자는 100 diamonds 에어드랍을 신청할 수 있으며, 향후 TGE 커뮤니티 에어드랍이 0.5% 증가할 것입니다;계약 시작 시간은 공식 공지를 기다려야 합니다.

ChainCatcher 메시지에 따르면, Arbitrum 개발자들은 Arbitrum One, Nova 및 Sepolia가 ArbOS 32 업그레이드를 완료했다고 밝혔습니다. 노드 운영자는 노드를 최소 Arbitrum Nitro v3.2.0 버전으로 업그레이드해야 하며, 검증자 노드는 v3.2.1 버전으로 업그레이드해야 합니다.이번 업그레이드는 보안 위원회와 협력하여 진행되었으며, 다음과 같은 긴급 조치를 승인했습니다: Arbitrum Stylus의 잘못된 가격 책정 문제로 인해 서비스 거부 공격이 발생할 수 있습니다; 악의적인 계약으로 인해 노드가 충돌하는 문제; SLOAD 작업으로 인해 Stylus 계약이 과도하게 청구되는 잘못된 가격 책정 문제. 어떤 자금도 위험에 처해 있지 않습니다. 또한 팀은 곧 전체 분석 보고서를 발표할 예정입니다.

ChainCatcher 메시지에 따르면, Pendle을 기반으로 구축된 생익 자산 수익 집계기 Penpie가 보안 취약점으로 인해 모든 입금 및 출금 작업을 중단했다고 발표했습니다. Penpie 팀은 이 문제를 해결하기 위해 전력을 다하고 있습니다.

ChainCatcher 메시지, 느린 안개 기술의 최고 정보 보안 책임자 23pds가 X 플랫폼에서 언급했습니다. 다크웹의 한 취약점 판매자가 iOS RCE를 판매하고 있다고 주장하며, 이 취약점은 사용자 상호작용이 필요 없고(0 Click) iOS 17.xx 및 iOS 18.xx를 실행하는 장치를 완전히 제어할 수 있다고 합니다. 현재 이 취약점이 실제로 사용 가능한지 검증할 수 없으니, 모두 iOS 시스템을 신속하게 업그레이드하시기 바랍니다.

ChainCatcher 메시지에 따르면, Optimism 거버넌스 정보에 의하면 OP Labs 프로토콜 엔지니어 Mofi가 Granite Network Upgrade라는 업그레이드 제안을 발표했습니다. 이 제안은 Spearbit, Cantina 및 Code4 rena가 일련의 제3자 보안 감사에서 발견한 보안 취약점에 대응하기 위한 것으로, 관련 취약점은 모두 악용되지 않았으며 사용자 자산도 한 번도 위협받지 않았습니다. 제안서에 따르면, 이번 업그레이드는 감사에서 발견된 취약점을 수정하기 위한 일련의 스마트 계약 업그레이드와 L2 하드 포크를 포함하여 오류 방지 시스템의 안정성과 성능을 향상시키는 것을 목표로 하고 있습니다. 신중한 고려로 인해 취약점을 수정하는 동안 발생할 수 있는 잠재적인 불안정 요소를 피하기 위해 허가된 롤백 메커니즘이 시작되었습니다.이 제안이 투표를 통해 통과되면, Granite Network Upgrade는 UTC 시간 9월 10일 16:00에 진행될 예정이며, 이번 업그레이드는 Base 및 Conduit와 조정하여 내부 개발 네트워크와 Sepolia Superchain에서 시작될 것입니다.

ChainCatcher 메시지에 따르면, 마이크로소프트 공식 페이지에서 최근 Windows 시스템에서 심각한 보안 취약점이 발견되었으며, 번호는 CVE-2024-38063입니다. 이 취약점은 Windows 11, Windows 10 및 여러 버전의 Windows Server를 포함한 모든 지원되는 Windows 버전에 영향을 미칩니다. 취약점의 CVSS3.1 점수는 9.8로 "중요" 수준에 해당하며, 공격자는 특수 제작된 IPv6 데이터 패킷을 통해 원격으로 장치를 침입하고 임의의 코드를 실행할 수 있습니다. 이 취약점은 Windows의 TCP/IP 네트워크 스택에 존재하며, 심각한 원격 코드 실행 취약점입니다. 공격자는 Windows 장치에 특수 제작된 IPv6 데이터 패킷을 반복적으로 전송하여 취약점을 유발하고 원격으로 코드를 실행할 수 있으며, 사용자 상호작용이나 인증이 필요하지 않습니다. 마이크로소프트는 모든 사용자에게 가능한 한 빨리 최신 Windows 버전으로 업데이트할 것을 강력히 권장합니다. 마이크로소프트는 이 취약점을 수정하기 위해 관련 패치를 배포하고 있으며, IPv6를 비활성화하면 취약점이 악용되는 것을 일시적으로 방지할 수 있습니다.

ChainCatcher 메시지에 따르면, The Block은 Solana 개발자, 검증자 및 클라이언트 팀이 심각한 보안 취약점을 해결하기 위해 협력했다고 보도했습니다.Solana 검증자 Laine은 이 과정이 8월 7일에 시작되었다고 밝혔습니다. 당시 Solana 재단은 유명한 네트워크 운영자에게 비공식적으로 연락을 취했습니다. 이번 연락은 취약점이 어떤 방식으로든 악용되는 것을 방지하기 위한 비밀 패치 전략의 일환이었습니다. 해당 패치는 Anza 엔지니어의 GitHub 저장소를 통해 제공되어 운영자가 변경 사항을 독립적으로 검증하고 적용할 수 있도록 했습니다. UTC 시간 8월 8일 목요일 14:00 기준으로 패치 적용에 대한 세부 사항이 이해관계자에게 배포되었으며, 최종적으로 66.6%의 네트워크 지분이 확보되었습니다. 70%의 네트워크가 패치를 적용한 후에야 이 취약점이 공개적으로 밝혀졌습니다.

ChainCatcher 메시지에 따르면, The Block은 Terra 블록체인이 네트워크에 보안 취약점이 존재하여 토큰이 도난당했다고 보고했습니다. 한 명의 알려지지 않은 공격자가 IBC hooks라는 이름의 제3자 모듈과 관련된 알려진 취약점을 이용하여 크로스 체인 계약 호출 및 토큰 이동을 구현하는 데 도움을 주었습니다.범죄자는 이 취약점을 이용하여 USDC 스테이블코인과 Astroport 토큰을 포함한 브릿지 자산의 가치를 도난당했습니다. 초기 추정에 따르면, 약 300만 달러의 가치가 있는 토큰이 영향을 받을 수 있습니다.이 사건이 발견된 후, Terra는 긴급 조치를 시행하였고, Terra 체인은 블록 높이 11430400에서 잠시 중단되어 이 기간 동안 거래를 처리하지 않을 것입니다. Terra는 Terra (phoenix-1)에서 검증자와 협력하여 의심스러운 취약점을 수정하기 위해 긴급 패치를 적용할 것입니다.

ChainCatcher 메시지에 따르면, 블록체인 플랫폼 Casper Network 팀은 보안 취약점을 발견한 후 신속하게 조치를 취하고 Casper Association, Casper Labs 등 검증자 커뮤니티와 협력하여 네트워크를 일시 중지했습니다. 보안 취약점의 영향을 최소화하고 잠재적인 악용을 방지하기 위해 네트워크를 일시 중지하여 취약점이 완전히 해결될 때까지 어떤 거래도 처리할 수 없도록 했습니다.Casper 공식 성명에 따르면, 보안 취약점은 통제되고 있습니다. 블록 3,329,418(14544)에서 검증자는 모든 거래를 중지했으며, 여기에는 송금, 채굴 및 스테이킹이 포함되어 활동이 사실상 동결되었습니다.

ChainCatcher 메시지, 커뮤니티에 "LI.FI: 또 4개의 보안 취약점을 발견했습니다. LI.FI 프로토콜과 상호작용하는 모든 사용자 자금이 위험에 처해 있습니다"라는 메시지가 나타났습니다. 확인 결과, 관련 메시지는 피싱 사기의 가짜 계정에서 게시된 것이며, LI.FI 공식 메시지가 아닙니다. 사용자에게 상호작용하거나 클릭하지 말 것을 경고합니다.

ChainCatcher 메시지에 따르면, Cointelegraph는 Bitcoin Core 개발자들이 비트코인 보안 취약점에 대한 보다 효과적인 소통을 목표로 "Critical Bug" 공개 정책을 도입했다고 보도했습니다.Bitcoin Core 개발자 Antoine Poinsot와 다른 다섯 명은 7월 3일 Bitcoin Development 메일링 리스트 회원들에게 보낸 편지에서 다음과 같이 말했습니다: "이 프로젝트는 외부 보고서든 기여자가 발견한 것이든 보안 중요한 취약점을 공개적으로 드러내는 데 항상 좋지 않은 성과를 보였습니다. 사람들은 Bitcoin Core에 버그가 없다는 위험한 인식을 가지고 있으며, 이는 위험할 뿐만 아니라 불행히도 정확하지 않습니다."

ChainCatcher 메시지에 따르면, Cointelegraph의 보도에 의하면, 암호화폐 포트폴리오 관리 회사 CoinStats가 1590개의 암호화 지갑이 보안 취약점의 영향을 받은 후 사용자 활동을 일시 중단했습니다.CoinStats는 6월 22일 기사에서 "공격이 완화되었으며, 우리는 보안 사건을 격리하기 위해 애플리케이션을 일시적으로 종료했습니다."라고 썼습니다.이어 "CoinStats 팀의 즉각적인 사건 대응 덕분에 영향을 받은 CoinStats 지갑은 1.3%에 불과하며, 총 1,590개의 지갑이 영향을 받았고, 연결된 지갑과 CEX는 영향을 받지 않았습니다."라고 덧붙였습니다.CoinStats는 자사 웹사이트에서 "연결된 암호화 지갑에 대한 읽기 전용 접근을 요구하기 때문에" 사용자의 자산은 "어떠한 경우에도 완전히 안전하다"고 밝혔습니다. 이 플랫폼은 사용자가 모든 지갑을 연결하고 이를 전체 암호화 투자 포트폴리오 추적기로 사용하여 모든 지갑을 한 곳에서 볼 수 있도록 허용합니다.CoinStats는 현재 영향을 받은 모든 암호화 지갑을 나열한 Google 문서를 발표했습니다. 문서에서는 조사 진행에 따라 이 목록이 "변경될 수 있다"고 언급했지만, 큰 변화는 없을 것으로 예상된다고 전했습니다. 또한 "귀하의 지갑 주소가 이 영향을 받은 목록에 있다면, 즉시 개인 키를 사용하여 자금을 이전하십시오."라고 밝혔습니다.

ChainCatcher 메시지, 블록체인 보안 기관 CertiK가 소셜 플랫폼에서 Kraken 거래소에서 수억 달러의 잠재적 손실을 초래할 수 있는 일련의 심각한 취약점을 발견했다고 발표했습니다.CertiK의 조사에 따르면, Kraken의 입금 시스템은 서로 다른 내부 이체 상태를 효과적으로 구분할 수 없으며, 악의적인 행위자가 입금 거래를 위조하고 위조 자금을 인출할 위험이 존재합니다. 테스트 기간 동안 수백만 달러의 허위 자금이 Kraken 계좌에 입금될 수 있었고, 100만 달러 이상의 위조 암호화폐가 유효 자산으로 전환되어 인출될 수 있었으며, Kraken 시스템은 어떤 경고도 발생하지 않았습니다.CertiK가 Kraken에 통보한 후, Kraken은 취약점을 "심각" (Critical)으로 분류하고 문제를 초기 수정했습니다. 그러나 CertiK는 Kraken 보안 팀이 이후 CertiK 직원에게 위협을 가하며 불합리한 시간 내에 일치하지 않는 암호화폐를 반환할 것을 요구했으며, 반환 주소를 제공하지 않았다고 지적했습니다. 사용자 안전을 보호하기 위해, CertiK는 이 사건을 공개하기로 결정하고 Kraken이 화이트 해커에 대한 모든 위협을 중단할 것을 촉구하며, 협력을 통해 위험에 대응하고 Web3의 미래를 공동으로 보장할 것을 강조했습니다.

ChainCatcher 메시지, Blast 생태계 프로젝트 YOLO GAMES는 소셜 플랫폼에서 Bazaar LBP 스마트 계약에 보안 취약점이 존재하여 YOLO LBP 판매가 조기 종료되었다고 발표했습니다. 사용자들은 더 이상 LBP에 참여할 수 없습니다. 판매 기간 동안 rYOLO를 구매한 사용자들은 지출한 금액에 따라 ETH 환불을 받을 것이며, 향후 며칠 내에 정리될 예정입니다.팀은 Bazaar 및 Blast 팀과 함께 해당 문제를 계속 조사할 것이며, 추가 업데이트를 제공할 것입니다.

ChainCatcher 메시지, 기술 웹사이트 블루닷넷이 X 플랫폼에 게시한 내용에 따르면, 즉시 메시징 도구인 텔레그램에서 고위험 보안 취약점이 발견되었으며, 공격자는 사용자에게 특수 제작된 이미지, 비디오 또는 파일을 전송하기만 하면 상호작용 없이도 취약점을 유발할 수 있습니다.이 취약점은 0day 및 0click 취약점 범주에 속하며, 위험 정도가 매우 높으므로 사용자에게 즉시 자동 다운로드 기능을 비활성화할 것을 권장합니다.

ChainCatcher 메시지에 따르면, Cointelegraph의 연구 보고서에 의해 3월 19일부터 25일 사이에 Base 체인에서 출시된 1000개의 새로운 Meme 코인에 대한 샘플 보안 분석을 통해, 해당 네트워크의 대부분의 Meme 코인에서 사용자에게 큰 손실을 초래할 수 있는 보안 취약점이 발견되었으며, 거의 5분의 1의 meme 코인이 악의적으로 설계되어 사용자 자금을 훔치기 위한 다양한 수단을 사용하고 있습니다.거래 분석 플랫폼 DEXTools의 자동 감사자는 이러한 토큰을 분석하여 각 프로젝트가 세 가지 기본 보안 조치를 시행했는지 여부를 확인합니다: 유동성 잠금, 계약 검증 및 허니팟 사기가 없음. 분석 결과, 908개 프로젝트(샘플링된 토큰의 90.8%)가 최소한 하나의 보안 조건을 충족하지 않는 것으로 나타났습니다. 보안 회사 Halborn의 COO David Schwed는 "이러한 상황은 자원을 가지고 보안 전문가를 고용하거나 스마트 계약에 대한 독립적인 평가를 받을 수 없는 프로젝트가 직면한 도전을 강조합니다."라고 말했습니다. 그는 또한 많은 프로젝트가 기존 토큰을 단순히 복사하고 붙여넣기만 했으며, 이는 결함이 복사된다는 것을 의미한다고 덧붙였습니다.분석에 따르면, 16.9%의 프로젝트가 판매 "세금"을 과장하거나 소유자가 토큰을 판매하지 못하도록 하는 조건을 설정하는 등의 악의적인 수단을 통해 사기를 저지른 것으로 의심받고 있습니다. 총 121개의 사기성이 의심되는 프로젝트가 발견되었습니다. 또 다른 48개의 프로젝트는 판매 세금이 100%에 달하며, 이는 명백한 강도와 다름없습니다. 주목할 점은, meme 코인 사기의 형태가 다양하여 자동 감사자가 일부 토큰을 잘못 표시하거나 독창적인 사기를 놓칠 수 있다는 것입니다. 유동성이 잠금되지 않거나 계약이 검증되지 않은 다른 230개의 토큰에 대해 MYSTCL의 창립자 Vesper는 "토큰의 계약이 검증되지 않은 것은 정당한 이유가 없습니다."라고 말했습니다. 반면 Coinbase는 이 현상에 대해 상당히 정형화된 답변을 제시하며, Base는 허가가 필요 없는 플랫폼이라고 지적했습니다.

ChainCatcher 메시지, Blockfence에서 보안 취약점이 자주 악용되고 있다는 경고를 발표하며, 애플이 macOS, iOS, iPadOS, tvOS 및 watchOS의 긴급 업데이트를 발표했습니다. 가능한 한 빨리 다음 버전으로 업데이트하세요: iOS 17.2.1, iPadOS 17.2, macOS 14.2.1, tvOS 17.2, watchOS 10.2.