audit911

156 posts

audit911

@audit_911

A web3 security company that pursues the ultimate cost-effectiveness: Contract auditing + penetration testing BD: @fansheng8888

Katılım Ekim 2024

57 Takip Edilen402 Takipçiler

audit911@audit_911·8h

@v12sec Should we just directly view the user's audit logs like that?

English

1.8K

V12@v12sec·10h

someone is using v12 on def con quals and it found the bug 😳😳😳 #OhDear #Slopped

English

26.6K

audit911@audit_911·9h

tx: app.blocksec.com/phalcon/explor… hacker: 0xBe0922326066704a1baf580477a93F545393477E

English

112

audit911@audit_911·9h

LESSAuction被盗 1.6K。 claimReward() 会先调用 _updateCycle()，而这个函数在跨过多个周期后只把奖励衰减推进一步却直接跳到最新周期，黑客只需提前低成本拿下冷清周期的唯一 batch，就能在 rollover 时领到被高估的 LESS，再同笔触发 claimFees()->createInitialLiquidity() 用协议 WETH 把奖励套现

中文

372

audit911@audit_911·13h

tx:app.blocksec.com/phalcon/explor…

336

audit911@audit_911·13h

现在链上黑客有多卷。这个项目每天可以调用一次executeDailyBurn从 USDT/MeToken 交易对移除 5% MeToken 并 sync 写回新价格，结合提前建仓与卖出额度解锁，可在数日后稳定从 LP 价值中获利。每天都有人在抢，抢到了，你就日赚~5ku。💰💰💰

中文

1.5K

audit911@audit_911·1d

@bubblemaps Polymarket is terrible. We submitted an issue on Cantina that would affect user funds, but a month has passed and there have been no updates other than being marked "Under Review".

English

136

Bubblemaps@bubblemaps·1d

ALERT: 🚨 Polymarket contract exploited Attackers are removing 5,000 $POL every 30 seconds – $600k stolen so far Pause all Polymarket activity for now

English

393

397

2.4K

974.2K

audit911@audit_911·2d

@btc_sister 0xf3c125... 的 initializeProxy(address,address) 可以被外部重新初始化，缺少“只能初始化一次”或“仅 owner/admin 可调用”的保护，导致攻击者能接管整个上游配置面，再把所有依赖它的代理统一指向恶意实现。

中文

297

跑步进场@btc_sister·2d

@audit_911 他是怎么结识的呀？这么厉害。

中文

291

audit911@audit_911·2d

历史未开源老合约(0xcB286345B06874214cF0c539F134dF319E4AD14b)被攻击，损失~11k 攻击者先劫持这组代理的实现/逻辑路由权，把代理指向恶意实现，再利用代理自身库存和用户历史授予代理的 approve 权限批量 transferFrom/赎回/卖出资产，最后统一换成 ETH 提走。

中文

3.5K

audit911@audit_911·2d

tx:app.blocksec.com/phalcon/explor… hacker:0xc61C9F41168c75D4043D2ffF2909b7f1B37Ac510

Indonesia

503

audit911@audit_911·3d

@AYi_AInotes 不是Mythos的攻击，是github内部人员使用了恶意的vscode插件，中木马被打的内网x.com/github/status/…

GitHub@github

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories. Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version, isolated the endpoint, and began incident response immediately.

中文

781

AYi@AYi_AInotes·3d

Damn! GitHub这次被黑,可以说是人类历史上第一次AI网络战了吧？官方只轻描淡写说在调查内部仓库未授权访问,但社区已经炸锅了。据网络犯罪论坛爆料,黑客疑似拿到了Anthropic的Mythos安全AI,用它精准突破了GitHub的防线,偷走了约4000个核心内部仓库，里面有Copilot的源码,CodeQL的算法,还有Actions运行时和整个计费系统。但这还不是最可怕的，以前黑客靠挖漏洞吃饭，现在黑客靠模型吃饭，以前防御方靠打补丁。现在防御方需要比对手更好的AI。也就是说，攻防的天平已经彻底倾斜了，防御方需要做到完美无缺，攻击方只要找到一个突破口,再用AI放大一万倍，模型泄露就等于是核武器扩散，今天是Mythos打GitHub，明天可能就是任何一个顶级模型,打任何一个公司， GitHub说目前没有客户数据泄露，但这句话前面加了一个currently，我觉得稳妥起见还是立刻备份你的核心仓库，感觉这不像是演习啊😲 #GitHub #网络安全 #AI

GitHub@github

We are investigating unauthorized access to GitHub’s internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub’s internal repositories (such as our customers’ enterprises, organizations, and repositories), we are closely monitoring our infrastructure for follow-on activity.

中文

136

81.4K

audit911@audit_911·4d

hacker: 0x146D3a19E152707802E1b1dB38e96da520B1D4D1 tx:app.blocksec.com/phalcon/explor…

Português

356

audit911@audit_911·4d

BarnBridge: Staking 被黑，损失～5K 漏洞原因: 公开的历史 epoch 补写入口把未初始化的旧快照错误地回填为前一状态或当前余额，黑客再批量污染这些历史分母，让后续按历史 epoch 结算的奖励/份额读取被伪造的过去数据来获利。

中文

1.6K

audit911@audit_911·4d

hacker:0x01D435Bbc2DA0d38bA6924C342F527071680E2Dc tx: app.blocksec.com/phalcon/explor…

English

609

audit911@audit_911·4d

$MG 被黑~2k 漏洞原因“分红 claim 使用实时余额、但债务基线仍停留在旧持仓”的状态不一致漏洞；攻击者用预埋的老 holder 地址链，把一笔闪电贷买来的 MG 在同一笔交易里反复放大 claim，再卖出获利。

中文

1.8K

audit911@audit_911·14 May

tx: app.blocksec.com/phalcon/explor… hacker: 0xcB26b3A469c5AEE911D059a25De2B26Ed52826E9

English

343

audit911@audit_911·14 May

$Mail1 被黑。损失~20k 漏洞的原理是：合约在一次卖出里，先从交易池现有库存扣减代币并 sync 更新储备，再把这次卖出的真实净输入记入池子，导致池子在中间态出现错误价格。攻击者利用这个被提前写回的错误储备，立刻通过后续兑换腿把价格错位兑现成利润。

中文

3.8K

audit911@audit_911·12 May

@cyfrin 2025?

Cyfrin Audits@cyfrin·11 May

$3.1 billion lost in H1 2025. The worst six-month stretch since early 2023. And Claude Mythos just solved 73% of expert-level cybersecurity tasks and found a 27-year-old bug no human ever caught. Now imagine that capability scanning DeFi protocols. The security timeline just compressed. 🧵

English

1.6K

audit911@audit_911·11 May

@feibo03 @0xCat_Crypto @Debot_Official 有具体的ca吗，方便提供吗。我们这种做这方面的安全检查。谢谢🙏

中文

Cowboy🔶BNB@feibo03·10 May

@0xCat_Crypto @Debot_Official 刚吃了个貔貅我操

中文

Cat@Debot@0xCat_Crypto·10 May

谨慎玩hook v4的代币，Debot还在做安全升级，好多hook偷币行为，hook作恶非常难辨别，K线完全看不出，已经连续禁掉两个代币的操作。 PS：好的代币一定会出现在信号 @Debot_Official

中文

13.8K

audit911@audit_911·23 Nis

@OneKey_Support @ma1fan @OneKeyCN @ohyishi 私信发您了

日本語

334

OneKey Support@OneKey_Support·23 Nis

@audit_911 @ma1fan @OneKeyCN @ohyishi 你好，请问您具体是在哪里提交的？我们这边确认一下。

中文

381

Nolan | Exvul@ma1fan·22 Nis

给某个头部交易所报告漏洞，其中一个漏洞可以导致钱包私钥分分钟被破解盗取，本来算是很严重漏洞，刚开始给我4k bounty我没接受，跟他们掰扯了很久，最后他们花了很长时间向他们领导汇报，经过层层审批最后给我加了整整1k，总共给了5k，我特么真的感激涕零，本来这个漏洞至少价值50k。真的，中国人搞的bug bounty最好都不要参与，因为他们宁愿被黑客盗走几千万几亿美金也不愿意给白帽子多给一分钱的。真是被恶心到了。

中文

112

334

104.3K

Keşfet

@v12sec @bubblemaps @btc_sister @AYi_AInotes @elonmusk @BarackObama @taylorswift13 @cristiano