ChainCatcher 消息，三名程序員因在 iToken 錢包應用中植入"後門"非法獲取用戶數字錢包私鑰和助記詞，被判處有期徒刑三年，並處罰金各 3 萬元人民幣。經鑑定，三人共非法獲取 27,622 條助記詞、10,203 條私鑰，成功轉換數字錢包地址 19,487 個。三名被告分別負責編寫請求邏輯代碼、搭建後端伺服器以及域名購買和私鑰加密等工作。法院同時裁定，三人自刑罰執行完畢后三年內禁止從事網絡安全管理和網絡運營及相關工作。

ChainCatcher 消息，据 Decrypt 報導，網絡安全專家近日發現一起針對加密貨幣行業內外用戶的雙重惡意軟件攻擊。網絡情報公司 Silent Push 在最新報告中揭露了名為 PoisonSeed 的惡意活動，該活動先偽造 Mailchimp 和 SendGrid 等批量郵件服務提供商的登錄頁面竊取用戶憑證。攻擊者發送虛假郵件，謊稱用戶賬戶受限，誘騙其登錄高仿網站，輸入憑證後，攻擊者迅速自動導出郵件訂閱列表。隨後，攻擊者利用竊取的訂閱列表，冒充 Coinbase 向受害者聯絡人發送釣魚郵件，稱交易所"正過渡至自托管錢包"，並附帶 12 詞助記詞，誘騙用戶導入錢包，實則讓黑客掌控資產。

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 發文警示，Phantom 錢包最新版本或存在安全漏洞，受害者已經解釋了 Phantom Profile 風險：當用戶導入未知來源的助記詞時，若該助記詞已關聯 Phantom Profile，錢包會自動登錄該賬戶系統，使用戶資產面臨被盜風險。根據受害者描述，當未開啟 Phantom Profile 的用戶導入這類助記詞時，錢包會自動登錄預先設置的攻擊者賬戶系統，而非僅導入單個錢包地址。由於 Phantom 最新版採用統一賬戶系統（Unified Profile System），這一操作會使攻擊者獲得用戶設備的關聯權限，從而監控用戶後續的存款行為並實施盜幣。

ChainCatcher 消息，据 Cointelegraph 報導，加密貨幣錢包服務商 Tangem 因應用程式漏洞收集用戶助記詞，引發用戶批評。該公司於 12 月 30 日確認問題，稱漏洞源於應用日誌處理錯誤，導致用戶私鑰被記錄並可能被支持團隊訪問。儘管 Tangem 已及時修復並刪除了所有相關日誌，但用戶對其反應冷淡表示不滿，認為公司未能妥善應對。Tangem 表示，此漏洞僅影響少數用戶，並已主動聯繫受影響者。所有用戶被建議立即更新應用以避免潛在的助記詞洩露。

ChainCatcher 消息，据 CoinDesk 報導，安全公司 Kaspersky 最新報告顯示，一種針對加密貨幣竊賊的新型詐騙手法在 YouTube 上流行。騙子偽裝成新手，故意在評論區"不小心"分享錢包助記詞，誘使其他人嘗試盜取錢包中價值 8,000 美元的 USDT。然而，這些錢包實際是多重簽名錢包，當竊賊支付 TRX 作為 gas 費用嘗試轉帳時，這些 TRX 會被自動轉入騙子控制的另一個錢包。由於大多數區塊鏈的 gas 費用不到 10 美元，這種詐騙主要針對小額盜竊者，而非大規模作案。

ChainCatcher 消息，加密投資組合管理平台 CoinStats 首席執行官 Narek Gevorgyan 發布安全事件更新，其中所有錢包被盜的總金額約為 200 萬美元，包括 2 個錢包將其助記詞導入 CoinStats 錢包，損失約 80 萬美元。此前，Narek Gevorgyan 就最近發生的安全事件發文表示，團隊正在採取一切安全措施來恢復正常環境，以確保隔離攻擊者，預計需要 24 小時。另一方面，團隊正在推動 CEX 將已在 Etherscan 上被標記的攻擊者地址列入黑名單。

ChainCatcher 消息，慢霧創始人餘弦在社交平台表示，用系統自帶輸入法是一種減少攻擊面的好習慣（當然，如果系統輸入法被發現有風險而遲遲不解決，那也得注意）。另外，助記詞/私鑰這種超敏感信息就不應該觸網。此前報導，神魚在社交平台表示，多達十億用戶的雲輸入法可能已泄露輸入內容。如果用戶通過百度、榮耀、華為等輸入法輸入過助記詞或其他敏感信息，請立即採取措施降低風險。

ChainCatcher 消息，一用戶 flippen.eth 在 X 平台發文稱，自己將助記詞存儲於在線密碼管理平台 LastPass 上，一夜之間從熱錢包中丟失了 20 多枚以太坊，他表示："這個問題似乎很普遍，如果你曾經使用過 LastPass，注意密碼並放弃錢包以及存儲在那裡的助記詞了。"

ChainCatcher 消息，支付公司 Eco 在 Web3 風險投資公司的支持下，創建了一個名為 Beam 的新錢包，使用戶無需種子字就能生成一個 Optimism 地址。該錢包可使用 Twitter 登錄備份，無需下載，用戶亦無需擁有以太坊即可在 Optimism 上發送交易。據悉，Beam 也將於八月在 Coinbase 的 Base 網絡上推出，兩個網絡上的用戶餘額將在APP中以總和形式顯示。

ChainCatcher 消息，推特名為 HGE.ABC 的用戶發推稱，比特幣錢包 Xverse 的助記詞以純文本的方式存儲在硬碟中，若用戶的電腦中了木馬病毒，則攻擊者可以輕易訪問助記詞。HGE.ABC 表示已將該漏洞反饋給了 Xverse 團隊，Xverse 團隊正在進行調查。（來源鏈接）

ChainCatcher 消息，幣安發布 Binance DeFi 錢包，該錢包支持無助記詞、錢包恢復等功能。目前支持 BNB Chain 和以太坊，未來將支持更多鏈。（來源鏈接）

ChainCatcher 消息，NFT GOD （@NFT_GOD）發推稱，過去 24 小時內因黑客入侵其 Twitter、Substack、Gmail、Discord 和錢包，使其失去了其全部加密資產和 NFT，且黑客通過盜取來帳號發布了詐騙鏈接。NFT GOD 表示被黑客成功攻擊的原因是，此前在新設備上把 Ledger 設置為熱錢包而不是冷錢包，助記詞在聯網電腦上的錢包導入使用了，而後昨日在下載視頻流軟件 OBS 進行遊戲直播後，點擊了谷歌上的贊助商鏈接，並下載了惡意軟件，致使黑客可以訪問其資金。（來源鏈接）

ChainCatcher 消息，近日一段在推特上流傳的視頻顯示，兩名美國內華達州警察在搜查嫌疑人的汽車時發現了兩張紙，其中一張紙上包含助記詞，本次搜查行動讓嫌疑人的助記詞成為公共信息。據悉，該視頻引發許多加密用戶對於最佳存儲助記詞方式的討論，幣安首席執行官趙長鵬對此評論：支持自由選擇存儲助記詞方式，但要了解每種方法的風險。（Cointelegraph）

ChainCatcher 消息，Aptos 生態錢包 Petra 公告稱，Aptos Labs 團隊在 10 月 20 日發現 Petra 存在 Bug，該 Bug 與現有錢包內的帳戶創建有關，頁面上顯示的助記詞可能會不準確。訪問準確的12個助記詞短語的過程為，設置、管理帳戶、輸入密碼，然後單擊顯示密鑰恢復短語。Petra 表示已修復該 Bug，新版本將很快發布到 Google App Store。（來源鏈接）