Paradigm研究員：Twitter安全漏洞現已修復

金色財經報道，Paradigm研究員samczsun發文稱，社交媒體X（原Twitter）出現的僅點擊鏈接就能獲得用戶賬戶完全訪問權限的關鍵漏洞目前已修復完成，該問題為Twitter子域中的反射XSS和CORS/CSP繞過允許以本地身份驗證的用戶身份向Twitter API發出任意請求。

今日早些時候消息，fuzzland聯創Chaofan Shou在X平臺發文表示，發現X（原Twitter）存在未修復的漏洞。

Paradigm研究員samczsun引用其推文并表示，黑客只需點擊一個鏈接，就能完全訪問Twitter賬號。黑客可以發推、轉發、點贊、屏蔽等，但無法更改用戶密碼。在漏洞修復之前，用戶需安裝uBlock Origin保護賬號安全。

其它快訊：

慢霧：Spartan Protocol被黑簡析:據慢霧區情報，幣安智能鏈項目 Spartan Protocol 被黑，損失金額約 3000 萬美元，慢霧安全團隊第一時間介入分析，并以簡訊的形式分享給大家參考：

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1，導致兌換池中產生巨大滑點；

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證，但是在添加流動性的時候存在一個滑點修正機制，在添加流動性時將對池的滑點進行修正，但沒有限制最高可修正的滑點大小，此時添加流動性，由于滑點修正機制，獲得的 LP 數量并不是一個正常的值；

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1，此時池子中的 WBNB 增多 SPT1 減少；

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子，然后進行移除流動性操作；

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣，由于步驟 5，此時會獲得比添加流動性時更多的代幣；

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount，由于移除流動性時沒有和添加流動性一樣存在滑點修正機制，移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值；

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP，此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣；

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB，最后即可獲得更多的 WBNB。詳情見原文鏈接。[5/2/2021 10:37:15 AM]

運動服裝品牌Wooter Apparel支持Dogecoin支付方式:運動服裝品牌Wooter Apparel宣布母公司Wooter接受Dogecoin作為在線支付方式。據悉，越來越多公司接受Dogecoin，除了Wooter和Wooter Apparel，還包括CovCare、Travala.com、Ninja Game Keys、Box Real Estate、Stake Box、Daytona Nissan、AiryTea等。根據全球接受加密貨幣的線上和線下企業數據庫Accepted Here的數據，已有120家公司和企業接受Dogecoin支付。（Globe Newswire）[3/9/2021 9:31:42 AM]

現場 | Spark Capital創始合伙人夏豐：量化交易最關鍵的是風控:Spark Capital創始合伙人夏豐在由金色財經主辦的第五期金色沙龍圓桌論壇上表示，量化交易最關鍵的是風控，實盤要大于良好的背景，有一個好的背景，長久的經驗和他經歷了的事情，使得他對各種各樣可能導致虧損的因素有意識，而這個意識非常不容易。他指出，對于發生虧損，量化團隊會給各種理由，但是不管什么樣的問題，都應該考慮在風險模型之內，所以對于所有的機構和團隊來講，風險控制是最重要的事情。[12/14/2018 12:00:00 AM]