慢雾推出HKSFC合规安全审计服务

[慢雾推出HKSFC合规安全审计服务]金色财经报道，慢雾推出HKSFC合规安全审计服务，目前慢雾安全团队已经为多家香港申请牌照的加密货币交易平台提供服务，包括：已完成申牌的HashKey Pro，正在申牌的HKBGE以及拟申牌的MEEX等平台。

慢雾安全团队根据HKSFC最新的要求以及OWASP国际标准，结合慢雾的安全能力整理了面向HKSFC合规安全审计的Checklist。通过深入分析HKSFC的Circular to licensed corporations Review of internet trading cybersecurity和Guidelines for Virtual Asset Trading Platform Operators要求，并结合多年的区块链安全从业经验，制定了面向HKSFC的合规安全审计项，另外根据OWASP国际标准以及慢雾独家的安全能力整理了Web,iOS,Android的安全审计项，在保证项目方符合HKSFC的要求后也能适配OWASP国际标准，包含以下内容：

HKSFC23大合规要求；

OWASPWeb13大合规要求；

OWASPAndroid7大合规要求；

OWASPiOS7大合规要求；

慢雾整理的170+安全审计项。

其它快讯：

慢雾：Rubic协议错将USDC添至Router白名单，导致已授权合约用户USDC遭窃取:12月25日消息，据慢雾安全团队情报，Rubic跨链聚合器项目遭到攻击，导致用户账户中的USDC被窃取。慢雾安全团队分享如下：1. Rubic是一个DEX跨链聚合器，用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前，会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用，调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中，因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中，导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]

分析 | 慢雾分析 MimbleWimble攻击思路：本质上是一种中间人攻击思路:慢雾关于Dragonfly Capital研究员披露MimbleWimble隐私缺陷的一些补充观点：

1. 攻击思路本质上也是一种中间人攻击思路：通过需要付出一些成本的“嗅探节点”技术监听MimbleWimble的聚合前的交易流量，以此分析发现from/to两个关键隐私因子的值，虽然不知道 value(金额)，但有能力知道许多交易的来源与去向，但不是完全；

2. 这种“嗅探”思路类似美国等国家针对暗网Tor网络的溯源思路，通过部署或控制的足够多的节点来抓取Tor网络里的IP连接。但针对MimbleWimble网络，由于节点P2P通信特点，倒是不需要部署或控制许多节点；

3. MimbleWimble协议需要进化以应对这种“嗅探”技术，但我们都知道 Grin、Beam 不仅 MimbleWimble 协议，隐私策略在上层也有加强空间；

4. 隐私币在链上本质要解决的核心问题是：from/to/value 的隐私问题，但隐私不仅是链上的，还有链下部分，比如IP等隐私，这是所有隐私币都需要面对的问题。虽然MimbleWimble 这个纯链上的隐私技术不完美，这是必然的，完美是不存在的，不仅是MimbleWimble；

5. 隐私是一个工程级问题，Dragonfly Capital研究员的对抗思路也是工程级的，在工程级对抗上，不存在完美的隐私币；

5. 期待隐私币的一系列进化，在超级对抗中能进化的都是好隐私币。[2019/11/19]

金色财经独家采访 慢雾科技：此次EOS漏洞是真实存在的并且可信度非常高:今日，360表示EOS网络存在漏洞，对此，金色财经独家采访了慢雾科技，慢雾科技表示：这个漏洞本身是存在的并且可信度非常高，而且是可以直接拿到EOS超级节点服务器的权限，360所描述的史诗级漏洞，这种表述不过分。360没有披露漏洞细节是可以理解的，此次漏洞是在EOS网络上发布的恶意智能合约，该智能合约可以同步到区块链网络上，每个超级节点都会同步。这个恶意的智能合约会导致合约的虚拟机被穿透，打穿虚拟机到服务器，从而控制服务器。EOS 超级节点攻击有几个入口P2P 端口、RPC 端口、恶意智能合约、服务器与集群等其他缺陷、人员安全缺陷。此次漏洞是第三点从智能合约对区块链网络进行的攻击。[2018/5/29]

郑重声明： 慢雾推出HKSFC合规安全审计服务版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。