ChainCatcher 消息，Hedgey Finance 在社交平台表示，最近的安全漏洞仅涉及 Hedgey 的平台，并未影响 NobleBlocks。参与 PinkSale 代币销售的用户未受影响。 据悉，此次事件导致价值 190 万美元的 NOBL 代币丢失。Hedgey 表示，公司正全力支持社区，并与执法部门合作追踪和追回资金。

ChainCatcher 消息，科技网站蓝点网在 X 平台发文表示，即时通讯工具 Telegram 出现高危安全漏洞，攻击者只需要向用户发送特制的图片、视频或文件，在无需交互的情况下即可触发漏洞。 该漏洞属于 0day 和 0click 漏洞范畴，危害程度极高，建议用户立即关闭自动下载功能。

ChainCatcher 消息，据 Cointelegraph 一份研究报告，通过对 3 月 19 日至 25 日期间在 Base 链上推出的 1000 个新 Meme 币进行样本安全分析，发现该网络上的绝大多数 Meme 币都存在可能使用户遭受巨大损失的安全漏洞，几乎有五分之一的 meme 币是蓄意作恶，它们使用各种手段来窃取用户资金。 交易分析平台 DEXTools 上的自动审计员对这些代币进行分析，以确定每个项目是否实施了三项基本安全措施：锁定流动性、验证合约和不存在蜜罐骗局。分析显示，908个项目（占抽样代币的 90.8%）至少不符合其中一项安全条件。安全公司 Halborn 的首席运营官 David Schwed 表示：“这种情况凸显了那些可能没有资源聘请安全专家或对其智能合约进行独立评估的项目所面临的挑战。”他补充说，许多项目只是复制和粘贴现有代币，这意味着缺陷会被复制。 据分析显示，有 16.9% 的项目因涉嫌通过夸大销售“税费”或设置阻止所有者出售代币的条件等恶意手段来实施诈骗而遭到怀疑。共发现 121 个可能存在诈骗性质的项目。另有 48 个项目的销售税费高达 100%，这无异于明火执仗的抢劫。值得注意的是，meme 币骗局的形式多种多样，自动审计员可能会误标一些代币，甚至遗漏一些别出心裁的骗局。至于其他 230 个没有锁定流动性或验证合约的代币，MYSTCL 创始人 Vesper 表示，“代币的合约未经验证是没有正当理由的。”而 Coinbase 对此现象给出了一个相当模板化的回答，指出 Base 是无需许可的。

ChainCatcher 消息，GAMEE Token 发推称，Polygon 上 GMEE 代币合约在几个小时前遭到未经授权的 GitLab 访问，导致 6 亿枚 GMEE 代币被盗，随后攻击者将代币兑换为以太坊和 MATIC。 官方表示该漏洞仅影响专有团队代币储备，无社区拥有资产被盗。目前团队已屏蔽所有对代币合约未经授权的访问。

ChainCatcher 消息，GoPlus 在社交媒体上发布风险提示表示，Chrome 高危零日漏洞（CVE-2024-0519）已修复，请用户及时更新至最新版本。 据悉，该漏洞可被攻击者利用来访问超出内存缓冲区的数据，从而获取敏感信息或引发崩溃，或结合其他漏洞执行代码。

ChainCatcher 消息，Blockfence 发布提醒称，由于安全漏洞被频繁利用，苹果已发布 macOS、iOS、iPadOS、tvOS和watchOS 的紧急更新。尽快更新到以下版本：iOS 17.2.1、iPadOS 17.2、macOS 14.2.1、tvOS 17.2、watchOS 10.2。

ChainCatcher 消息，Paradigm 研究员 Samczsun 于社交平台发文表示，Twitter 今晨通报的安全漏洞现已修复，技术摘要如下：Twitter 子域中的反射型 XSS 和 CORS/CSP 绕过允许作为本地经过身份验证的用户进行对 Twitter API 的任意请求。 ChainCatcher 此前报道，Paradigm 研究员 @samczsun 指出，Twitter 中存在一个严重错误，黑客只需单击链接即可获得对帐户的完全访问权限。这意味着黑客可以进行推文、转推、点赞、屏蔽等操作，但无法更改用户密码。在此问题得到解决之前，为了保护自己的账户安全，建议用户安装广告拦截器uBlock Origin，以减少遭受此类攻击的风险。

ChainCatcher 消息，链上数据显示，某用户向 Venus 存入 0.5 BNB 后借出一系列资产，包括 stkBNB、ankrBNB 等，该用户将其兑换为 116.45 枚 ETH 资产后转移至其他账户。

ChainCatcher 消息，Web3 反诈骗平台 Scam Sniffer 表示，主网上似乎有 515 种代币受到 Thirdweb 相关漏洞影响，其中 3 个已被攻击。攻击者获利约 21.8 万美元。

ChainCatcher 消息，慢雾创始人余弦在 X 平台发文表示：“如果有项目使用 Thirdweb 平台开发智能合约，可能在影响之列（尤其是在 11 月 22 日之前），如果有用户交互（授权）了这些项目，这些用户的资产也可能受影响。可以按照官方建议检查，虽然官方说没发现真实攻击，但恐怕很快会有，毕竟开源 diff 分析相对容易。”

ChainCatcher 消息，Web3 开发者平台 Thirdweb 在社交媒体发文表示，北京时间 11 月 21 日 10:00，发现 Web3 行业常用开源库中存在安全漏洞。这会影响 Web3 生态系统中的各种智能合约，包括 Thirdweb 的一些预构建智能合约。 根据迄今为止的调查，该漏洞尚未在任何 ThirdWeb 智能合约中被利用。但是，智能合约所有者必须对北京时间 11 月 23 日 11:00 之前在 ThirdWeb 上创建的某些预建合约采取缓解措施。受影响的预建合约包括但不限于 DropERC20、ERC721、ERC1155 （所有版本）和 AirdropERC20 

ChainCatcher 消息，Safe 团队发布公告称，发现其 4337 Canonical 模块 v0.1.0 版本存在安全问题。官方紧急要求所有使用该版本的团队立即停用，并等待 v0.2.0 版本的审核完成。 据悉，v0.2.0 版本的审核预计将于下周完成，届时将带来额外的功能特性。

ChainCatcher 消息，Lido 官方表示，在过去的 24 小时内，Lido DAO 的贡献者被告知存在一个影响以太坊上 Lido 的主动节点运营商（InfStones）的平台漏洞，该漏洞在过去几个月内的某个时间被利用。这一漏洞于 2023 年 7 月由安全研究人员 dWallet Labs 向 InfStones 披露。节点运营商宣布漏洞已得到解决。 该漏洞涉及可能将 25 个验证服务器的根级访问权限暴露给可能与 Lido 协议无关的外部攻击者，其中可能包括关键材料。目前尚不清楚贡献者是否将与 Lido 验证器相关的服务器和/或密钥包括在受影响系统范围内。 Lido DAO 的贡献者就上述漏洞得出了以下结论：没有迹象表明任何密钥因该漏洞而被泄露；然而，作为预防措施，InfStones 自愿退出所有验证者并轮换到新密钥，等待 DAO 投票。来自退出验证者的所有 ETH 将通过提款流程流回 Lido 协议，随后将重新质押到缓冲区中的可用密钥中。

ChainCatcher 消息，安全公司 BlockSec 宣布获得 Uniswap 基金会资助，将使用其静态分析器支持 Uniswap V4 的安全操作。 BlockSec 表示，Uniswap v4 中新的“Hooks”功能显着增强了池的可扩展性和灵活性，同时也给合约安全带来了一定的挑战。通过该笔赠款，BlockSec 将提供一个静态分析器来识别 Uniswap v4 hook 合约中的漏洞和恶意行为，从而使开发人员和审计人员能够采取预防措施。

ChainCatcher 消息，据 The Block 报道，稳定币发行商 TrueUSD 遭遇第三方安全漏洞，导致其部分客户的个人身份信息泄露。客户地址、出生日期、银行名称、交易历史和区块链账户公共地址也被曝光。 据 The Block 看到的一封电子邮件，此次漏洞涉及 TrueUSD 前银行、客户入职和产品管理服务提供商 TrueCoin。 TrueCoin 通知 TrueUSD，2023 年 9 月 20 日，一家第三方供应商通知他们，"TrueCoin 的组织内部出现了异常的账户变更，而这是由一家受损的支持供应商所为"。TrueCoin 补充说，它没有攻击者从其系统中下载、更改或删除个人身份信息的记录。 电子邮件称，接到通知后，TrueCoin 的网络安全和工程团队立即展开调查，TrueCoin自身的内部系统并未受到损害。TrueUSD 补充说，鉴于此次事件，建议客户仔细监控其个人账户，以防任何可疑活动。

ChainCatcher 消息，基于 AVAX 网络的社交协议 Stars Arena 在 X 平台发文表示：“智能合约出现重大安全漏洞，我们正在检查该问题，请勿存入任何资金”。 链上信息显示，Stars Arena 已被利用，损失了 300 万美元。黑客将 266,103 枚 AVAX 发送到 0xa2Ebf3FCD757e9BE1E58B643b6B5077D11b4ad7A。

ChainCatcher 消息，针对“ LDO 的 Token 合约存在潜在的‘假充值’风险”一事，Lido Finance 表示，尽管黑客据称利用了 LDO 代币合约中已知的安全漏洞，但 LDO 和 stETH 代币仍然是安全的。 Lido 没有证实任何漏洞，但承认安全漏洞是已知的。 ChainCatcher 昨日消息，据慢雾安全团队链上情报， LDO 的 Token 合约存在潜在的“假充值”风险，恶意攻击者可能会尝试利用这一特性进行欺诈行为。