Morph代币笔误漏洞?
EOS区块链史诗级漏洞,可完全控制虚拟货币交易
安全赢未来,区块链安全高峰论坛
最新
EIP827安全事件跟踪
白帽汇安全研究院转载2018-07-14 15:22:15 118
6月24号(2018),安比(SECBIT)实验室与轻信科技发现了不少 ERC827 合约实现存在类ATN Token 漏洞。黑客可以利用该漏洞,以合约的身份调用任意合约地址上的任意函数。其中大部分问题合约参考了 OpenZeppelin 官方提供的 ERC827 模板,安比(SECBIT)实验室小伙伴 p0n1 随即向 OpenZeppelin 项目报告了该问题。Zeppelin 及时移除了 GitHub 官方仓库中带有安全隐患的 ERC827 合约模板。安比(SECBIT)实验室正在积极参与以太坊社区的临时工作小组,寻求有效的安全修订方案。为了安全起见,暂时请不要再使用
行业安全资讯
“tradeRifle”漏洞再曝交易所安全风险——LBank交易所移动终端可被中间人攻击提取数字资产
白帽汇安全研究院转载2018-07-12 18:42:55 240
在披露火币OTC服务平台存在“tradeRifle”漏洞之后,区块链安全公司PeckShield漏洞实验室发现又一交易所LBank移动终端(包括Android和iOS)存在相关“tradeRifle”安全漏洞。攻击者可从用户登录后的任意数据报文中截获用户Token(临时令牌),并可通过Token进行重放攻击,创建订单任意发交易请求。更为严重的是,用户在进行数字货币的提币操作时容易被中间人攻击,这可能会导致用户数字资产被窃取。PeckShield安全研究人员确认了该漏洞的存在,并第一时间通知到Lbank交易所技术团队,在协助其完成终端修复、更新后发布此文披露细节。7⽉10⽇晚11时,LBank交
行业安全资讯
一些EOS账户使用弱助记词生成EOS私钥,存在高危风险
白帽汇安全研究院转载2018-07-11 14:13:26 338
作为历史上规模最大的ICO,EOS被认为是下一代区块链系统中最具竞争力的候选者,并且很自然地引起了全世界的极大关注。在所有关于EOS的讨论中,EOS的安全性方面是最具争议的话题之一。在这篇博客中,PeckShield的研究人员仔细研究了EOS的一个关键组成部分,即EOS账户。我们对现有工具生成EOS帐户的方式[3]非常感兴趣。我们惊讶地发现,某些EOS账户很容易受到攻击,相应的数字资产有被盗的风险。为简单起见,我们将这些受影响的帐户称为高风险EOS帐户。为了缓解这一问题并保护高风险的EOS用户,PeckShield现在推出了一项名为EOSRescuer的公共服务[2]。在下文中,我们详细解释了
安全事件
Microsoft Azure 以太坊节点控制面板存在未授权访问漏洞
白帽汇安全研究院转载2018-07-10 22:29:22 375
作者:sunsama@知道创宇404区块链安全研究团队背景介绍为了迎合以太坊区块链[1]发展需求,Microsoft Azure[2]早在2016年9月九推出了以太坊节点自动部署的模块。部署情况如下:登陆Microsoft Azure:部署Ethereum Proof-of-Work Consortium:访问建立的“ADMIN-SITE”可以看到一个“Blockchain Admin”界面:我这个管理接口提供了一个“转账”功能并且整个页面缺少鉴权机制任何人都可以访问,这样就导致恶意攻击者可以通过该接口提交钱包地址和转账数量进行转账。Web3.js 是⼀个兼容了以太坊核心功能的JavaScr
行业安全资讯
Chrome扩展Hola存在风险,可导致使用MyEtherWallet的用户私钥被盗
白帽汇安全研究院原创2018-07-10 15:06:22 377
MyEetherWallet:一个以太坊的在线钱包,可用于转账、调用智能合约等用途。Hola:一个免费的Chrome扩展VPN在5小时前,Chrome扩展Hola遭到攻击,使用此扩展访问MyEtherWallet可能会导致私钥信息被窃取,目前官网已经发布公告:在之前MyEtherWallet就遭受过此类攻击(DNS劫持),给用户带来了不小损失。BCSEC团队建议:使用在线钱包时,浏览器尽量不要装任何插件、扩展,因为浏览器扩展有权限监控用户浏览器的活动。在执行加密货币的相关操作时,设备终端应该采用最小化的原则,尽量使安装和开启的软件数量更少,防止恶意软件盗取个人资产。
行业安全资讯
交易所EXX称遭黑客频繁攻击
白帽汇安全研究院转载2018-07-10 14:39:20 315
昨日,EXX交易所称受到黑客攻击,目前攻击方式暂不明确,官方表示已经成功防御攻击。
行业安全资讯
空手套白狼?USDT 假充值逻辑缺陷漏洞利用分析
白帽汇安全研究院转载2018-07-10 12:08:08 373
本文转载自Freebuf,经过作者umiiii授权转载前言6月28日,慢雾科技发布了一条针对 USDT 的预警和漏洞分析,提醒各大交易所尽快暂停 USDT 充值功能,并自查代码是否存在该逻辑缺陷。全文如下:#预警# #漏洞分析# 交易所在进行 USDT 充值交易确认是否成功时存在逻辑缺陷,未校验区块链上交易详情中 valid 字段值是否为 true,导致“假充值”,用户未损失任何 USDT 却成功向交易所充值了 USDT,而且这些 USDT 可以正常进行交易。很遗憾,经过笔者的一番查找发现,网上的很多资料都倾向于描述 USDT 的资本意义,而对于技术上原理的文章却寥寥无几。于是经过一些调
行业安全资讯
Bancor交易所被入侵事件解析
白帽汇安全研究院转载2018-07-10 10:05:11 1256
此次攻击事件在昨日就发生了,攻击者窃取了Bancor交易所热钱包中的25000个以太币以及部分ERC20代币,BCSEC团队推测是由于Bancor交易所智能合约owner的私钥被窃取导致。攻击者最新账户:0x8ddfdf60aaffe05c623ba193a186abd1f8024946事件解析Bancor智能合约的地址为:0x3839416bd0095d97be9b354cbfb0f6807d4d609e先来看看Bancor智能合约的owner账户如图,可以看到owner账户是0x009bb5e9fcf28e5e601b7d0e9e821da6365d0a9c,我们来追溯一下此账户当时的事务
安全事件
研究人员:去年每一次的ICO平均有五个漏洞
白帽汇安全研究院转载2018-07-09 15:37:12 401
根据安全研究人员的调查发现,在去年每一次的加密货币ICO(首次币发行)都平均包含五个安全漏洞,其中只有一次ICO不包含任何严重的安全漏洞。根据Positive.com提供的信息,其中的大部分漏洞都存在于智能合约中。研究人员表示,智能合约是ICO的核心和灵魂,而71%的测试项目的智能合约中都包含安全漏洞。当一次ICO启动之后,合约内容是无法进行修改的,并且会开放给每一位参与ICO的用户,这也就意味着任何人都可以寻找其中可能存在的安全漏洞。Positive.com的专家表示,在这些包含漏洞的智能合约中,有些没有严格遵循ERC20标准(数字钱包和加密货币交换的令牌接口),有些则涉及到错误的随机数生成
行业安全资讯
CVE-2018-12018:以太坊Geth拒绝服务漏洞分析复现(附EXP)
白帽汇安全研究院原创2018-07-09 13:20:53 1310
前言在Geth中节点分为轻节点(light node)和全节点(full node)两大类,目前以太坊网络中最常见的节点还是轻节点(同步速度块、省硬盘)在同步区块数据的时候,虽然是P2P模式,但是也分客户端和服务端。很容易理解,获取数据的节点属于客户端,推送数据的属于服务端。此漏洞主要利用的是轻节点的协议,所以我们主要研究LES(Light-Ethereum-Subprotocol)子协议,在这里可以看到LES协议发包的详细说明,我们直接来看重点,GetBlockHeaders消息:根据说明可以知道此消息是客户端向服务端请求区块头部数据,这里面提供了一个skip参数,用于跳过一些区块。此消息是
行业安全资讯
以太坊代币“假充值”漏洞预警分析
白帽汇安全研究院转载2018-07-09 11:36:37 519
根据慢雾区以太坊代币“假充值”漏洞攻击预警,相关交易所、中心化钱包、代币合约需要特别警惕,尽快自查以太坊相关代币的充值是否存在异常,根据慢雾区情报,已经发现有交易所及中心化钱包遭受此攻击!此漏洞是由于ERC20代币充值余额不足时 status为0 没有经过验证导致。原理交易所在ERC20代币充值确认的过程中,使用的是eth_getTransactionReceipt函数,样例如下// Requestcurl -X POST --data '{"jsonrpc":"2.0","method
行业安全资讯
ERC20代币AMMBR(AMR)存在整型溢出漏洞,已被黑客用来大量造币
白帽汇安全研究院原创2018-07-08 19:07:31 870
今日,降维安全实验室爆出AMR代币存在高危漏洞,攻击者可随意增发代币。随后BCSEC对此智能合约进行了一些分析。目前,BCSEC安全团队已确认漏洞真实存在而且已经被黑客利用。漏洞说明该漏洞是属于一类通用问题,在之前已经被peckshield公司爆出过,并将此漏洞命名为multiOverflow。此漏洞是由于整型溢出问题引起,详细缺陷代码片段如下:multiTransfer函数的应用场景是为了实现同时给多个地址转账而设立的,函数一共两个参数:destinations是要转给哪些地址,tokens是分别给每个地址转账的金额,其中代码里的totalTokensToTransfer变量是用于统计转给多
安全事件