漏洞

ChainCatcher 消息，Genius 在 X 平台发现宣布，针对社区反馈的平台交易问题，目前部分漏洞已修复，包括： 1、Gas 费用大幅降低：修复了 EIP-1559 链上 Gas 限制估算过高以及 maxPriorityFeePerGas 设置过高的问题； 2、优化 BNB 跨链兑换：添加了少量 Gas 缓冲，以防止 Gas 不足导致的交易失败，同时不会大幅增加 Gas 费用； 3、使用 EIP-7702 修复了跨链交易费用赞助问题：更新了流程，可以正确执行由第三方赞助的跨链交易（不再出现旧版执行问题）。

ChainCatcher 消息，区块链安全机构 BlockSec 发文称，部署于 Arbitrum 上的 FutureSwap 协议在四天前遭首次攻击后，再次被黑客利用重入漏洞攻击，损失约 7.4 万美元。 攻击者先在 3 天前通过重入函数 0x5308fcb1 超额铸造 LP 代币，待冷却期结束后赎回超额抵押资产实现获利。

ChainCatcher 消息，SVM Layer 1 项目 Fogo 在 X 平台发文称：“我们已察觉到一个漏洞，该漏洞导致第一赛季 Flames EVM 钱包分无法正确显示。目前正在对此进行调查，请在 24 小时后再查看，如果问题提前得到解决，我们会及时更新说明。”

ChainCatcher 消息，据 Cointelegraph 报道，开发人员周四在 GitHub 上发布的一篇帖子中表示，比特币质押协议 Babylon 中新披露的一处软件漏洞，可能使恶意验证者破坏网络的部分共识流程，在关键时期潜在地减缓区块生成速度。 该漏洞影响 Babylon 的区块签名方案，即 BLS 投票扩展方案，该方案用于证明验证者已就某个区块达成一致。该漏洞使恶意验证者在发送投票扩展时能够故意省略区块哈希字段，而这可能导致在网络 epoch 边界期间出现验证者共识问题。区块哈希字段用于告知验证者在共识过程中他们实际投票支持的是哪些区块，而该漏洞允许省略此字段。 通过这一漏洞，理论上，恶意验证者可在阶段边界的关键共识检查期间使其他验证者崩溃，如果多个验证者受到影响，将导致区块生成速度放缓。目前尚未有该漏洞被积极利用的描述，但开发人员警告称，若不解决，该漏洞可能会被滥用。

ChainCatcher 消息，据市场消息，攻击者通过 Synnax 合约在 SEI 链上发起闪电贷，借出 196 万枚 WSEI（约 24 万美元）并未归还。此次攻击由三区块前一笔误操作触发：地址 0x9748…a714 错误将资金转入合约，意外为攻击提供了资金支持。攻击路径涉及 TX1 与 TX2 交易，显示链上误操作在 DeFi 攻击中仍可能构成关键风险点。

ChainCatcher 消息，慢雾团队安全研究员 23pds 转发研究员 Adam Chester 报告，在 Anthropic 的 Claude Code 中发现一项提权与命令执行漏洞，攻击者无需用户授权即可实现命令执行，漏洞编号 CVE-2025-64755，相关 PoC 已公开。 该问题被指与此前 Cursor 工具中披露的同类漏洞相似。23pds 称已有钓鱼黑客利用相关漏洞攻击加密用户。

ChainCatcher 消息，据市场消息，Bitcoin Core 通告，30 与 30.1 版本在迁移旧版（BDB 格式）钱包时存在严重漏洞，极少数情况下可能导致节点中所有钱包文件被误删，若无备份，恐造成资金永久丢失。仅影响遗留钱包迁移流程，常规使用及现有钱包不受影响。官方将于 30.2 版本修复该漏洞，在此之前请勿进行钱包迁移操作。

ChainCatcher 消息，慢雾在 X 平台发文表示，MistEye 检测到与 Fusion 相关的潜在可疑活动。根本原因为项目团队通过 EIP-7702 控制的 EOA 账户所委托的基础合约存在漏洞，该漏洞允许任意外部调用，导致攻击者能够为 PlasmaVault 创建并配置恶意熔断合约，从而从合约中提取资金。

ChainCatcher 消息，Fusion 发布安全更新：IPOR USDC Fusion Optimizer 存在 Arbitrum Vault 漏洞，IPOR 团队接到通知，其发现一个漏洞导致价值 33.6 万美元的 USDC 损失。 该漏洞利用针对的是特定的旧版 Fusion Vault。由于其独特的配置，这是唯一一个容易受到这种特定攻击途径影响的保险库。损失仅占 Fusion 所担保资金总额的不到 1%。其正在与 Security Alliance 合作追踪和追回资金。IPOR DAO 将从财库中弥补资金缺口。所有受影响的存款人都将得到全额补偿。

ChainCatcher 消息，美国社区银行正推动国会修订 GENIUS Act，以封堵其认为允许稳定币“变相付息”的监管漏洞。 American Bankers Association 旗下社区银行理事会在本周致信参议院称，部分稳定币发行方通过数字资产交易所等第三方间接向持币用户提供收益，削弱了法案中对稳定币付息的禁止条款。GENIUS 法案此前明确禁止稳定币发行方直接向持有人提供利息或收益，以避免与银行储蓄账户形成竞争。 社区银行理事会指出，当前包括 Coinbase、Kraken 在内的部分交易平台，仍向平台上的特定稳定币持有者提供奖励机制，可能对社区银行的存款与放贷能力产生影响。该组织呼吁在正在审议的加密市场结构立法中，明确禁止稳定币发行方的关联方或合作伙伴向持币人提供收益。 报道还提及，Banking Policy Institute 此前亦提出类似诉求，认为相关做法可能引发传统银行体系存款外流。与此同时，Crypto Council for Innovation 与 Blockchain Association 等加密行业组织则向参议院表示反对，称支付型稳定币并非用于发放贷款，进一步收紧规则可能抑制创新与消费者选择空间。

ChainCatcher 消息，Flow 网络遭遇针对 Cadence 虚拟机类型混淆漏洞的攻击，导致代币非法增发。攻击者利用复杂的“三部分漏洞链”绕过资源线性保证，将资源对象伪装成结构体进行复制。事件造成约 390 万美元的实际经济损失，资金已通过 Celer、deBridge 等跨链桥流出。 据 Flow 监测，攻击者共制造了 879.6 亿枚 FLOW 及多种代币，其中 10.94 亿枚 FLOW 被转入中心化交易所。由于验证者及时停机并与 OKX、Gate.io、MEXC 等合作，约 98.7% 的非法资产已被冻结在链上或交易所，并已销毁约 4.84 亿枚 FLOW。网络已于 12 月 29 日通过“隔离恢复计划”恢复，目前已部署涵盖参数校验、运行时检查及合约部署逻辑的全面补丁。

ChainCatcher 消息，据市场消息，Bitcoin Core 开发人员提醒用户，30 版和 30.1 版存在钱包迁移漏洞，该漏洞可能会删除文件并导致资金损失。这一问题在特定条件下才会出现，且会影响从未重命名或升级过的旧 Bitcoin Core 钱包的迁移。 Bitget 钱包市场分析师 Lacie Zhang 表示，当软件尝试迁移存储在自定义钱包目录（通常通过 “-walletdir” 设置来定义）中未命名的旧版 “wallet.dat” 文件，且同时启用了 pruning 功能时，就会触发该漏洞。在这种情况下，迁移看似成功完成，但清理逻辑会错误地删除整个钱包目录。Orbs 社区负责人 Shawn Odonaghue 表示，该漏洞主要影响 “非常老旧的钱包设置”，使用硬件钱包或现代钱包软件的用户不太可能遇到此类问题。 Bitcoin Core 30.1 版于 1 月 1 日发布，而钱包迁移漏洞于周一公开披露，开发人员已从官方下载网站撤回了 30 版和 30.1 版的二进制文件。该项目提醒用户，在修复版本 Bitcoin Core 30.2 版发布之前，不要使用钱包迁移工具，并强调未尝试迁移的现有用户可以继续正常运行其节点。

ChainCatcher 消息，据慢雾官方消息，该机构已发现 HitBTC 交易所存在潜在严重安全漏洞。SlowMist 表示已通过私信方式提前向 HitBTC 披露相关信息，但尚未收到回应。

ChainCatcher 消息，Flow 基金会更新漏洞事件后的修复进展。Flow 核心开发团队已找到在 Cadence 修复工作进行期间恢复 EVM 功能的方案，EVM 网络预计将在 24 小时内恢复上线。当前正继续第二阶段（Cadence）和第三阶段（EVM）的并行修复，随后进入第四阶段恢复桥接和交易所功能。

ChainCatcher 消息，据 CertiK Alert 监测，12 月加密领域因漏洞攻击造成的损失约 1.178 亿美元，其中，约 9,340 万美元源于钓鱼攻击，而钓鱼损失中约 5,180 万美元归因于地址投毒。

ChainCatcher 消息，Trust Wallet 官方发布安全警报，已确认 Trust Wallet 浏览器扩展 2.68 版本存在安全漏洞，使用 2.68 版本的用户应立即禁用该扩展并升级至 2.69，请通过官方 Chrome Web Store 链接进行升级。 此外，仅使用移动版的用户以及所有其他浏览器扩展版本不受影响。团队正在积极处理该问题，将尽快分享最新更新。

ChainCatcher 消息，据 The Block 报道，加密预测市场平台 Polymarket 于 12 月 24 日确认，多名用户账户因第三方认证提供商的安全漏洞而遭到黑客攻击。受影响用户在社交媒体上报告，即使启用了双重认证，资金仍被清空。该问题似乎与 Magic Labs 提供的电子邮件登录服务有关，这是许多首次使用加密货币的用户常用的注册方式。 Polymarket 表示已解决此安全问题，目前无持续风险，但未透露受影响用户数量及损失金额。

ChainCatcher 消息，慢雾余弦在 X 平台发文表示，慢雾团队发现两个交易平台的严重漏洞（直接影响资金安全的），联系不到人，公开联系也没反应。 余弦同时表示，这两个交易平台一个 24 小时交易量 37 亿美元，一个 2.4 亿美元。慢雾团队账号推文显示，其曾于昨日主动联系名为 “ICRYPEX Global” 的交易平台。