“漏洞即挖矿” DVP去中心化漏洞平台全球上线
Morph代币笔误漏洞?
EOS区块链史诗级漏洞,可完全控制虚拟货币交易
安全赢未来,区块链安全高峰论坛
最新
条条大路通罗马——实现数字货币双花攻击的多种方法
白帽汇安全研究院转载2018-11-19 18:07:30 3
本文作者:Zhiniang Peng from Qihoo 360 Core Security & YukiChen of Qihoo 360 Vulcan Team2008年,中本聪提出了一种完全通过点对点技术实现的电子现金系统(比特币)。该方案的核心价值在于其提出了基于工作量证明的解决方案,使现金系统在点对点环境下运行,并能够防止双花攻击。如今比特币已经诞生十年,无数种数字货币相应诞生,但人们对双花攻击的讨论似乎仍然停留在比特币51%攻击上。实际上,我们的研究发现,实用的数字货币双花攻击还有很多种其他形式。在本文中,我们通过介绍我们发现的针对EOS、NEO等大公链平台的多个双花攻击
行业安全资讯
区块链安全—详谈共识攻击(四)
白帽汇安全研究院转载2018-11-16 17:41:18 338
作者:Pinging(先知社区)一、前言我们在前文讲述了许多区块链这几年发展演进过来的共识机制。在之前的内容中,我们讲述的共识多属于区块链1.o与2.0的知识。这次,我们着重讲述下区块链3.0时代的HyperLedger Fabric中的共识机制以及相关特性。而今,比特币与以太坊多用于币圈的应用,然而根据行业的发现现状来看,超级账本的未来发展更倾向于商业落地项目,所以对这类机制的深入研究对我们后续的发展大有裨益。Fabric是Hyperledger项目组的一个项目。从区块链的演进过程中看,Fabric属于区块链3.0的技术范畴内。但是其用时具有区块链1.0与2.0系统的特性,比如其可以共享
行业安全资讯
PeckShield安全播报: EOS竞猜游戏LuckyGo遭黑客攻击,损失1029个EOS
白帽汇安全研究院转载2018-11-16 14:54:40 281
据PeckShield态势感知平台数据显示:今天晚间 22:12-22:15之间,黑客iloveloveeos分别向LuckyGo游戏的两个合约(luckygoadmin、luckygodice1)发起攻击,共计获利1029个EOS。PeckShield安全人员初步分析认为,其攻击方法为:用曾经中奖的memo 不停重放攻击获利,这是一种较为早期的随机数漏洞攻击手段。PeckShield安全人员进一步追踪链上数据发现,该黑客曾于今年9月12日以同样方式攻击过另一款竞猜类游戏FairDice,并取得小额成功。截止目前,该游戏网站已无法访问
安全事件
BitcoinCore CVE-2018-17144漏洞研究与分析
白帽汇安全研究院转载2018-11-15 16:35:08 489
今年9月18号,比特币主流客户端Bitcoin Core发表文章对其代码中存在的严重安全漏洞CVE-2018-17114进行了全面披露。该漏洞由匿名人士于9月17日提交,可导致特定版本的Bitcoin Core面临拒绝服务攻击(DoS,威胁版本: 0.14.x - 0.16.2)乃至双花攻击(Double Spend,威胁版本: 0.15.x - 0.16.2)。    Bitcoin Core项目组对于该漏洞进行了及时的修补,在向其他分支项目组(如Bitcoin ABC)进行了漏洞通告并提醒用户进行版本升级后,公布了上段所提到的漏洞
行业安全资讯
【漏洞预警】警惕矿工费滥用攻击!
白帽汇安全研究院原创2018-11-14 21:13:28 774
概述近期来自国外twitter用户levelk_io的漏洞预警,该漏洞可能导致交易所以及其他有提币操作的平台产生资金损失,DVP基金会目前已经获取到了漏洞详情并对其进行了验证,确认该漏洞真实存在,请务必做好防范。如何防御普通用户提取Ether,检测地址是否为普通地址而非合约地址,且设置gas limit,一般取21000。若允许向合约地址转账,务必计算向该合约转账所需要的gas,超出21000的部分由用户承担。类似的问题可能在其他的公链中同样存在,例如:EOS、以太经典,在提币转账过程中务必设置矿工费上限。关于详情因为漏洞敏感性目前不适宜公开,如果有详情需求,请联系https://twitte
行业安全资讯
区块链安全—详谈共识攻击(三)
白帽汇安全研究院转载2018-11-14 13:56:17 495
作者:Pinging(先知社区)一、前言我们在前面进行了两讲公式机制(参考链接如下),在前文的讲述中,我们讲解了部分共识的具体流程以及优缺点。本文中,我们补充剩下的共识理念并分析其对应的优缺点。除此之外,我们针对相关的共识漏洞进行分析,为安全爱好者提供更多攻击的参考模型。区块链安全—详谈共识攻击(一)区块链安全—详谈共识攻击(二)二、Ripple Consensus—瑞波共识算法1 协议流程在介绍协议前,我们简单的介绍下瑞波的由来。简单来说,瑞波是一个基于互联网的全球开放的支付网络,人们可以通过该支付网络转账任意一种货币,交易确认时间很短,一般只需要几秒钟就能完成。所以此支付网络非常简便与快捷
行业安全资讯
BCH的51攻击与防守
白帽汇安全研究院转载2018-11-13 20:43:22 648
算力是协议的执行者,不是协议的制定者,任何修改协议的算力,都会产生一个分叉,与原来的链分离。51攻击,是指使用超过全网51%的算力,使用相同的协议规则,连续生成自己区块,不广播,当超过正常的区块高度的时候,广播这些区块,可以覆盖正常的区块,以达到某种获利的目的。比特币共识机制简单说一下比特币的共识机制,因为这是51攻击的原理。矿池在收到挖到一个区块时,会验证区块是否合法,如果不合法,就会直接拒绝。验证的规则有很多,举例说两个拒绝的例子:例1:区块大小超限,直接拒绝。比如比特币限制size为1M(现在比特币限制的不是size,是weight),如果收到大于1M的的区块,会直接拒绝。例2:区块中包
行业安全资讯
黑客接管Twitter认证账户,以Elon Musk名义推广虚假加密货币赠品
白帽汇安全研究院转载2018-11-13 20:11:51 494
困扰加密货币行业的最大问题之一是诈骗者和黑客的数量众多。他们有很多方法可以欺骗消费者,这导致了许多协议来阻止或禁止它。根据TheNextWeb的说法,随着诈骗者的创造力不断提高,许多投资者都注意到最近多个经过认证的Twitter帐户都受到了黑客攻击。这次黑客攻击似乎是在宣传假的与密码货币有关的免费赠品,不过TNW指出,这些赠品“经常以埃隆·马斯克(Elon Musk)为幌子”。其中一个认证账户属于Capgemini公司,被发现在Twitter上发布多个推广链接,并以马斯克的身份发布。这条推特要求有兴趣的参与者贡献少量的加密货币,之后可以参与总量高达10000比特币(超6000多万美元)的赠送活
安全事件
AurumCoin遭51%攻击,致使Cryptopia交易所损失约1.1万美元
白帽汇安全研究院转载2018-11-13 17:41:27 620
昨天(11月11日)在AurumCoin(AU)网站上发布了一条通知,声称Cryptopia交易所受到攻击,所有AU币都在Cryptopia钱包中丢失。其中的奇怪之处在于Cryptopia似乎没有声明任何黑客入侵行为。Aurumcoin表示Cryptopia钱包总共丢失了15,752.26 AU。针对加密货币交易所的51%攻击据称,AurumCoin是第一个由黄金支持的去中心化开源加密货币。他们网站上的简短声明指出:Cryptopia交易所遭受了51%的攻击。声明的其余部分如下:“AurumCoin网络不由任何人负责,像比特币一样,它是开源的去中心化加密货币。更糟糕的是,cryptopia交易
安全事件
去中心化交易所Newdex混入10亿个EOS假币,损失5.8万美元
白帽汇安全研究院转载2018-11-13 17:08:19 481
据 thenextweb 报道,近日,有攻击者在去中心化交易所(DEX)Newdex,发行了 10 亿个 EOS 的假币,最终导致 Newdex 的用户损失 5.8 万美元。究其根本原因,在于这家运行在 EOS 上的 Newdex,本身就是个伪去中心化交易所。有社区用户称,用户在 Newdex 上登录、交易时,虽感觉与 DEX 并无二致,但其实 Newdex 是通过单个账户“newdexpocket”来控制交易。而且,诡异的是,该平台虽自称是去中心化交易所,却没有使用智能合约。这个控制交易的“ newdexpocket ”账户,不包含任何智能合约代码。也
安全事件
EOSBet遭EOS假币攻击,损失4.2万个EOS
白帽汇安全研究院转载2018-11-13 16:59:43 481
要涉及到的黑客账号aabbccddeefg 。EOSBet是建立在EOS上的一个掷骰子的DApp, 被攻击时在DAppRadar上排名第四。七日交易量约860万EOS,交易笔数137万余笔。(图片来源:DappRadar)就在被攻击前的几个小时,EOSBet在Twitter推文公布,称该项目将要达到210万的交易笔数。EOSBet项目尚未开源,却也难逃离攻击。9月14日上午11点左右,aabbccddeefg 在未进行投注的情况下,却以中奖的方式, 在20多分钟的时间内,赢得了4.2万个EOS(总价值约为150万人民币)及投注产生的1千多个平台代币BET。据分析,EOSBet被攻击,是因为代码
安全事件
FairDice遭重发攻击,攻击者可总是获胜
白帽汇安全研究院转载2018-11-13 16:53:56 380
https://dapp.pub/dice/主要涉及到的黑客账号iloveloveeos 。继Happy家失窃,一众程序员正夸赞dapp.pub旗下的FairDice的代码并潜心学习的时候,突然发现黑客也开始对Fairdice下手,并已成功了几笔。这一次攻击的手法也是重放攻击,由于 FairDice 的随机数算法和时间相关,因此多次同一笔下注在不同时间开奖可以获得不同的结果,黑客正是利用了这一点,拒绝了所有失败的开奖结果,从而可以让自己的下注总是获胜。https://www.reddit.com/r/eos/comments/9f5o6a/dapppubfairdice_version_2_i
安全事件