安全提醒：警惕Filecoin假充值攻击

近日，慢雾安全团队捕获了一起针对交易所的 FIL 假充值攻击事件，经分析发现，由于 Filecoin 链上的交易具有多种交易状态和类型，交易所在处理用户充值时如果没有校验全部相关字段则可能导致假充值攻击成功，造成资金损失。

慢雾安全团队提醒交易所及相关钱包方，Filecoin是一个新型的区块链项目，具有较多新特性，需要做好风控管理。在处理Filecoin充值时，除了校验To、Value等常规字段外，还需要校验转账类型Method==0，以及执行结果ExitCode==0等，并等待足够的确认数。

相关快讯：

币核巨建华：用户的安全性和隐私性高于产品便利性:3月5日，币核、币安、Gate.io、imToken、KuCoin在链闻以及真本聪主办的AMA活动中，币核科技创始人巨建华表示，要保障用户隐私，涉及到公司对用户安全的经营理念和技术实现的保障是否做得到位。币核的 SaaS 平台参考传统金融的业务流程，设计理念就是安全和隐私高于便利性。

同时，BHEX交易所方面，前台产品上没有任何地方显示明文的手机号或者邮箱，后端 API不接收任何的明文密码，所有用户信息都做了隐私处理和加密保存。比如客服处理用户问题，必须要有工单，查询出来的敏感信息默认是打码状态，需授权才能查看，并留有详细查看的记录，后续由审计人员定期审查。[2020/3/5]

动态 | 互金协会联合央行召开宣讲会，介绍区块链技术在金融领域安全合规应用:2019年12月3日，中国互联网金融协会与中国人民银行杭州中心支行在杭州联合举办了“科技助力金融 服务实体经济”宣讲会。会上，协会相关部门负责人介绍了协会组织开展的“互联网+供应链金融”自律体系建设、金融机构数字化转型发展研究、区块链技术在金融领域安全合规应用、移动金融客户端应用软件实名备案和中国数字金融综合服务平台建设等重点工作，并与参会机构代表就相关工作进行了热烈讨论。（中国互联网金融协会）[2019/12/11]

动态 | MakerDao治理合约有安全隐患 仍有1,000万美元的MKR资产尚未转移:今天凌晨，区块链公司Zeppelin发公告宣布MakerDAO中的治理合约引用的第三方开源库存在一个安全漏洞，会直接影响MakerDao整体治理系统的运行。 Maker公司收到通知后，已及时修复相应漏洞，并说明质押在Maker治理合约中的MKR代币没有危险，但仍建议约190个地址中的代币尽快转移出该合约。Peckshield研究人员跟进分析发现，在北京时间凌晨00:25相关安全公告发出之后，截至到08:00，已经有86个用户按照建议转移MKR资产到他们的个人钱包，不过还有118个用户还未转移。按照当天MKR价格，待转移的余额资产价值大约1,000万美元。PeckShield硅谷研发中心负责人Jeff Liu表示，DeFi App智能合约管理着大量金融资产，其本身的安全性至关重要。我们会继续跟进本次事件，并公布更多的细节。[2019/5/7]

相关资讯