漏洞修復

ChainCatcher 消息，DeFi United 於週二公布針對 Kelp DAO rsETH 跨鏈橋漏洞的技術修復計劃。此前攻擊者利用 LayerZero 驅動的 Unichain 至以太坊橋接漏洞，通過偽造入站數據包釋放了 116,500 枚 rsETH，其中約 107,000 枚目前仍以抵押品形式分布在 Aave 與 Compound 的七個關聯地址中。DeFi United 表示已獲得足夠的 ETH 承諾用於恢復 rsETH 的支撐，將分批轉換為 rsETH 並注入橋接鎖定合約。LayerZero Labs 週二承諾投入逾 10,000 枚 ETH 支持修復工作。清算攻擊者倉位方面，聯盟將通過 Aave 與 Compound 治理提案執行受控清算，預計分別追回約 13,000 枚及 16,776 枚 ETH。修復期間多條鏈上的 WETH 與 rsETH 儲備將維持凍結狀態。DeFi United 同時提示執行風險，包括治理審批進度、攻擊者可能的干擾，以及新安全措施尚待生產環境驗證。

ChainCatcher 消息，中國工業和信息化部網絡安全威脅和漏洞信息共享平台（NVDB）監測發現，有攻擊者利用針對蘋果公司終端產品的漏洞利用工具實施網絡攻擊活動，可導致信息竊取、系統受控等嚴重危害。影響範圍包括運行 iOS 13 至 17.2.1 的 iPhone、iPad 等蘋果公司終端產品。攻擊者透過短信、郵件或網頁投毒等方式，誘導用戶使用 Safari 瀏覽器訪問包含惡意代碼的網頁，綜合利用終端設備中存在的安全漏洞，向受害終端產品植入遠程控制木馬，竊取用戶敏感信息，獲取最高權限並控制。建議使用蘋果公司終端產品的用戶做好風險排查，儘快透過升級版本和安裝補丁等方式修復漏洞（可參考蘋果公司安全更新公告）。留意系統更新通知和蘋果公司發布的最新安全更新公告，及時升級最新安全版本，加強使用安全意識，避免點擊不明鏈接，防範網絡攻擊風險。

ChainCatcher 消息，GoPlus 發布安全警報，Chrome 瀏覽器漏洞允許惡意擴展程序通過 Gemini 面板提升權限，請立即升級 Chrome 瀏覽器到 143.7499.192 版本以上。該漏洞允許惡意擴展程序控制 Chrome 瀏覽器中的 Gemini Live 面板並以此提升權限，從而在未經用戶許可的情況下訪問攝像頭和麥克風、截取螢幕截圖、訪問本地文件等。漏洞編號為 CVE-2026-0628，谷歌已於 2026 年 1 月初在 Windows/Mac 版本 143.7499.192/.193 和 Linux 版本 143.7499.192 中修復了該漏洞，請立即檢查並升級您的 Chrome 版本。

ChainCatcher 消息，据 PMX 官方公告，其 Polycule 交易機器人昨夜被黑客利用漏洞攻擊，導致用戶資金被盜。目前漏洞源已定位，修復補丁與審計將於本週末上線。官方表示僅約 23 萬美元用戶資金受影響，待系統恢復後，將通過金庫補償 Polygon 鏈上受損用戶，並使其餘額回到被攻擊前水平。

ChainCatcher 消息，Flow 基金會更新漏洞事件後的修復進展。Flow 核心開發團隊已找到在 Cadence 修復工作進行期間恢復 EVM 功能的方案，EVM 網絡預計將在 24 小時內恢復上線。當前正繼續第二階段（Cadence）和第三階段（EVM）的並行修復，隨後進入第四階段恢復橋接和交易所功能。

ChainCatcher 消息，Flow 區塊鏈遭遇安全漏洞攻擊，約 390 萬美元資產被轉移出網絡，驗證者隨即執行協調暫停。Flow 基金會目前正與驗證者、核心開發者及生態系統合作夥伴密切協作，制定網絡恢復方案。官方確認用戶資金安全未受影響，技術修復步驟正在驗證中。預計生態系統協調階段將在 2-3 小時內完成，下一步狀態更新將於太平洋時間 12 月 29 日下午 6 點發布。基金會表示，延長協調時間是為確保網絡能穩定有序地恢復運行。

ChainCatcher 消息，以太坊聯合創始人 Vitalik Buterin 在 X 平台發文稱："我對去中心化開源加密文檔工具 Fileverse 印象深刻。其每個月都有更多漏洞被修復，最近它終於達到了一個讓我能放心地把文檔發出去供他人評論或協作的程度，而且事情基本不會出岔子。我認為，運營出色的案例比人們意識到的要多，而且 Fileverse 還有一個優勢，就是它對網絡效應的依賴程度要低得多。"

ChainCatcher 消息，据市場消息，Typus Finance 公告，團隊已完成針對前日披露漏洞的內部代碼修復，目前正等待獨立安全專家審查後再重新部署。Typus 強調，在合約暫停期間，所有永續合約倉位不會被清算，用戶抵押資產安全且可在安全檢查完成後恢復取回。官方同時表示，資金追蹤工作正與合作夥伴及執法機構協調進行，資產回收方案仍在內部制定中。團隊重申將持續保持透明，並在關鍵進展後及時通報用戶。

ChainCatcher 消息，Trust Wallet 中文頻道發文稱，團隊就社區近期關於 2018 年早期錢包版本漏洞的討論作出澄清。該漏洞源自當時業內普遍採用的第三方開源隨機數庫，已於 2018 年 7 月修復並開源記錄於 Wallet Core 庫中。官方表示，約 1 萬名早期用戶曾受影響，均已獲通知並完成資產遷移，未造成任何損失。自 2018 年 7 月起，新創建錢包均不受影響。目前 Trust Wallet 已採用經審計的加密庫及高強度隨機數算法，並持續通過獨立安全審計及漏洞懸賞計劃強化安全。團隊還將推出"錢包安全認知系列"，科普助記詞與隨機數安全原理，重申其"透明與安全是核心承諾"。

ChainCatcher 消息，据兩位不願透露姓名的消息人士透露，Unity 遊戲引擎正在悄悄推出一個漏洞修復程序，該漏洞允許第三方代碼在基於 Android 的手機遊戲中運行，這可能會針對移動加密錢包。據消息人士透露，該漏洞影響了 2017 年以來的項目，並補充說該漏洞主要影響 Android，但 Windows、macOS 和 Linux 系統也受到不同程度的影響。Unity 已開始向選定的合作夥伴私下分發修復程序和獨立修補工具，但預計要到下週一或週二才會發布公開指導。

ChainCatcher 消息，TON 核心開發團隊表示，區塊生產已恢復，已發布了一個快速修復補丁，僅更新少數主鏈驗證節點就足以恢復區塊生產。此次問題事件與主鏈調度隊列處理中的一個錯誤有關。TON 核心開發團隊將在稍後發布該事件的技術報告。

ChainCatcher 消息，TonBit 團隊近期發現並協助修復了 TON 虛擬機中的兩個關鍵漏洞。其中一個漏洞可能會被惡意合約利用，觸發虛擬機的異常崩潰，從而影響網絡的穩定性。Ton 官方開發團隊在最新版的 Github Release 中調整了虛擬機的內部處理方式，防止此類攻擊發生。

ChainCatcher 消息，Ordinals 創始人 Casey 在 X 平台發布提醒，呼籲用戶儘快將 ord 錢包升級至 0.21.2 版本。此次更新修復了一個嚴重漏洞，該漏洞可能導致在使用"ord wallet send"功能時，由於未正確創建找零輸出，造成符文意外丟失。Casey 解釋，當輸入 UTXO 包含多個符文（A 和 B）時，在發送符文 A 的過程中可能會導致符文 B 被誤發送。此次更新還新增了錢包地址消息簽名功能，並修復了鑄造進度顯示問題。目前尚未收到用戶因該漏洞造成資產損失的報告。

ChainCatcher 消息，近日，Bitslab 旗下品牌 MoveBit 成功發現並協助修復了 Aptos 網絡中的一個重大拒絕服務（DoS）漏洞，定級為"高危"。該漏洞因內存池交易驅逐機制不完善，可能導致多達 90%的正常交易被節點拒絕。Aptos 團隊已在最新版本中修復了該漏洞，並在官方發布說明中感謝 MoveBit 的貢獻。此舉再次彰顯了 MoveBit 在區塊鏈安全領域的技術實力，鞏固了其行業領先地位。MoveBit 是 BitsLab 旗下專注於 Move 生態的安全團隊，致力於構建安全標準並提供安全審計，保障 Move 生態的安全性。

ChainCatcher 消息，區塊鏈安全公司 Asymmetric Research 披露，其在 Cosmos 網絡上發現了 Circle 的 Noble-CCTP（USDC USDC 跨鏈傳輸協議的一個組成部分）中的一個關鍵漏洞，並已私下通知 Circle。該漏洞已被及時修復，沒有用戶資金損失或發生惡意攻擊。安全公司發現，惡意行為者可能會避開該跨鏈傳輸協議的消息發送者驗證過程，在 Noble 橋上偽造 USDC。更具體地說，在沒有首先檢查橋接消息是否從初始鏈上經過驗證的"TokenMessenger"地址發送的情況下，Noble-CCTP"ReceiveMessage"處理程序接受來自任何發送方的"BurnMessages"。不過，儘管漏洞最初看起來像是一個無限鑄造的缺陷，但由於 Noble 大約 3500 萬枚 USDC 的鑄造限制，實際影響有限。

ChainCatcher 消息，Terra 發推稱，Terra 鏈在區塊高度 11430400 處短暫停止，在此期間將不會處理交易。Terra 將與 Terra (phoenix-1) 上的驗證者合作，隨後應用緊急補丁來修復可疑漏洞。

ChainCatcher 消息，Jupiter 官方在社交媒體上發文表示，該平台此前出現的價格顯示錯誤問題已被修復。此前消息，Jupiter 官方早些時候在社交媒體上發文表示，由於 Openbook crank 問題，現在該 dApp 顯示的價格是錯誤的。Swap 和所有其他操作不受影響。項目方正通過在 Openbook crank 死機時阻止引用來解決該問題，修復程序將很快部署。

ChainCatcher 消息，比特幣核心開發人員 Luke Dashjr 在 X 的評論回覆中確認，此前其披露的 Bitcoin Core 漏洞如果修復，意味著 Ordinals 和 BRC-20 將不復存在。另一條評論表示"如果'銘文'想要繼續下去，一個更環保的方法就是創建一個'銘文鏈'，類似於以太坊的 Layer 2，這個鏈只需要定期向比特幣提交哈希值就可以運行了，對嗎？"Luke Dashjr 回覆，"是的，那行得通。然後它甚至根本不需要有區塊大小限制，每個節點都可以設定自己的限制（或沒有）"。

ChainCatcher 消息，MetaMask 團隊稱修復了 MetaMask 移動應用程序 v7.9.0 中的一個錯誤，如果用戶還沒有升級手機客戶端，請立即升級到最新版本 7.10.0。 該漏洞將使移動應用程序 v7.9.0 的小部分用戶的某些交易可能無法按預期執行，可能發生在不同的鏈上。此外，MetaMask 表示，若用戶在 MetaMask Mobile 上的交易視圖顯示已提交舊交易或已不再可見；以及交易從未出現在 Etherscan 上，則可能受到該錯誤影響。

ChainCatcher 消息，Mixin Kernel 發推稱，2023 年 9 月 23 日凌晨，Mixin Network 雲服務商資料庫遭到黑客攻擊，導致主網部分資產丟失。團隊已聯繫谷歌和慢霧團隊協助調查。經初步核實，涉案資金約為 2 億美元。Mixin Network 充值和提現服務已暫停。經過所有節點討論並達成共識，一旦漏洞得到確認並修復，這些服務將重新開放。在此期間，轉帳不受影響。Mixin 團隊將在之後公布處理損失資產的解決方案，Mixin 創始人馮曉東將於北京時間 9 月 25 日 13:00 在公開直播中解釋該事件。