MetaMask 安全月报：2022年9月

本月包含实验室最新动态和一些需要警惕的诈骗手段…

安全实验室

Endo框架重大更新 Endo最新尝试将SES shim的评估器重构为多层作用域堆栈（被称为"四重后空翻"）。虽然仍在代码审查阶段，但有望纳入下一版本。该方案解决了作用域代理泄漏问题，并分离了全局作用域处理中的不同关注点。对LavaMoat而言，当"四重后空翻"落地后，将能直接使用未经修改的SES shim。

LavaMoat功能增强

• 文档更新已完成
• 新增lavamoat-node使用方式：提供运行node_modules/.bin命令的便捷工具，并开放编程使用API

钓鱼事件深度分析

“随着MetaMask持续提升对钓鱼诈骗导致资金损失事件的洞察准确性，本研究旨在探究用户在哪些环节、如何以及为何偏离安全路径最终陷入钓鱼陷阱。"[阅读全文]

安全警示

来自GitHub博客的提醒： “9月16日，GitHub安全团队获悉威胁攻击者通过冒充CircleCI发起钓鱼活动，专门窃取用户凭证和双重验证码。虽然GitHub平台本身未受影响，但该活动已波及多家受害机构。"[阅读全文]

在Merge升级引发广泛关注之际，请务必警惕随之而来的诈骗陷阱！

加密世界请保持安全警惕！