“漏洞即挖矿” DVP去中心化漏洞平台全球上线
Morph代币笔误漏洞?
EOS区块链史诗级漏洞,可完全控制虚拟货币交易
安全赢未来,区块链安全高峰论坛
最新
巴西Mercado Bitcoin交易所存在数据库未授权访问,可致服务器被控制
白帽汇安全研究院转载2019-02-19 18:43:52 147
据DVP漏洞平台消息,近日,收到安全研究人员提交的巴西交易所 Mercado Bitcoin 数据库未授权访问漏洞,攻击者无需进行任何验证就可直接控制数据库,并可通过此数据库进行深入危害,比如增删改数据库内容或写出恶意脚本到服务器上危害服务器安全。安全研究人员已在数据库中发现用来恶意挖矿的恶意代码。对此安全事件,DVP漏洞平台已第一时间通知该平台进行修复。
行业安全资讯
以太坊UDP流量放大反射DDOS漏洞
白帽汇安全研究院转载2019-02-18 17:11:24 434
 漏洞影响该漏洞表面上是一个放大5倍udp反射DDOS漏洞,但其对ETH的P2P网络的影响是非常大的,但是这个漏洞有很大的两个副作用,一个是ETH的发现节点池会不断的被堆满,导致正常节点无法加入,二是可屏蔽被攻击节点无法探索到任意子网的节点。 漏洞分析先让我们来看看ETH P2P发现协议的文档,在https://github.com/ethereum/devp2p/blob/master/discv4.md这篇ETH P2P发现协议文档里是有对udp反射DDOS做防御的。Pong Packet (0x02)packet-data = [to, ping-hash, expi
行业安全资讯
Coinmama交易所遭黑客攻击,45万用户信息泄露
白帽汇安全研究院转载2019-02-18 12:48:56 415
世界上最大的加密交易所之一Coinmama在2月15日星期五被发现了安全漏洞。该公司在全球拥有超过130万用户,有超过450000个账户的信息被泄露。Coinmama确认违约Coinmama发布了官方声明,称“今天,2019年2月15日,Coinmama被告知暗网上公布了一批我们平台的电子邮件列表和哈希密码。我们的安全团队正在调查,并根据手头的信息,我们认为泄露的数据仅限于注册到2017年8月5日的用户——大约450000个电子邮件地址和哈希密码。”Coinmama还向他们认为会受事件影响的用户发送了电子邮件:该交易所表示,没有像Ripple,以太坊或比特币这样的加密货币从用户钱包中获取,但是
安全事件
PeckShield: EOS竞猜游戏Gameboy遭到黑客攻击
白帽汇安全研究院转载2019-02-15 16:10:38 335
今天下午1:41-1:43之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏Gameboy发起连续攻击,已经获利数千EOS,已将部分EOS分别转入FCOIN和币安交易所。此次攻击为111alpha1111黑客团伙所为,该团伙曾在一月份攻击过多款游戏。PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。
安全事件
以太坊parity客户端全版本远程DoS漏洞分析
白帽汇安全研究院转载2019-02-15 14:52:22 419
前言:本文由五个章节组成,分别是Parity相关介绍、UTF-8编码是什么、Rust危险的字符串切片、漏洞分析、修复方案和总结。今天我们将由浅入深地为各位读者展示以太坊的parity客户端全版本远程DoS漏洞分析。一、Parity相关介绍以太坊Parity客户端是除Geth之外使用量最高的一款以太坊客户端,使用的是Rust语言。根据ethernodes最新数据显示:以太坊parity客户端在整个以太坊网络中占30%,Geth客户端占40%。在今年2月3日时,这款客户端官方发表公告称修复了一个远程拒绝服务的严重漏洞,这个漏洞影响2.2.9之前的版本和2.3.2-beta之前的版本,而2.2.9和
行业安全资讯
详解:君士坦丁堡升级再遇安全“漏洞”,为何官方照常升级?
白帽汇安全研究院转载2019-02-13 21:02:32 514
就在距离最新的以太坊君士坦丁堡升级不到两周的时候,以太坊基金会传来消息,其开发人员发现了新的漏洞。开发人员Jason Carver称,“一个名为Create2的新功能可以允许开发人员替换自毁契约,从而更改规则。”,但是据悉,最新的升级日期并不会因为这一漏洞而改变。那么,Create2这个新功能到底引入了怎样的问题?为什么发现了一个“漏洞”,以太坊升级却照常进行呢?接下来,还是请我们的老朋友,北京链安的安全专家Hardman为大家做深入解析事实上,这不是君士坦丁堡升级第一次出现安全漏洞问题,但是不同于上一次君士坦丁堡升级引发的SStore的可重入问题。SStore安全问题是对已有操作码的内部
行业安全资讯
区块链安全—当游戏遇见区块链机制
白帽汇安全研究院转载2019-02-13 13:53:42 633
作者:Pinging(先知社区)一、前言本文包括两个方面的漏洞安全介绍,第一部分我将以Fomo3D合约为原型,讲述一下由于合约的打包机制而导致的真实环境中的漏洞。第二个方面我会根据以太坊的特性,对漏洞的成因进行详细的分析。二、Fomo3D事件攻击1 Fomo3D介绍在介绍漏洞之前,我们先简单的介绍一下Fomo3D是什么。在我看来,Fomo3D的设计者是在深刻研究过博弈和人的贪婪性之后而设计的游戏。Fomo3D 是一款直接在以太坊网络上运行的分散式,无信任的区块链游戏。 该游戏由智能合约精心编程和部署,本身完全去中心化,不受任何人控制,它将自动运行直到以太坊网络死亡,无论底池有多么诱人,只会
行业安全资讯
PeckShield: EOS竞猜游戏EOSPlaystation遭假转账通知攻击
白帽汇安全研究院转载2019-02-13 11:33:28 436
今天下午17:22开始,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏EOSPlaystation发起连续攻击,攻击者已经获利近两万EOS。目前我们已经联系项目方暂停游戏,PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。
安全事件
慢雾预警:竞技类游戏WinDice遭遇回滚攻击
白帽汇安全研究院转载2019-02-13 11:26:44 445
根据慢雾威胁情报系统捕获,今天下午 2、3 点,竞技类游戏WinDice遭遇回滚攻击。攻击者通过部署攻击合约rep******net攻击项目方合约windiceadmin,共获利300多枚EOS,目前攻击者数个关联账号已列入慢雾BTI系统黑名单库,慢雾安全团队提醒类似项目方全方面做好合约安全审计并加强风控策略。
安全事件
慢雾预警:EOSreel 遭遇黑客攻击,损失 2046 枚 EOS
白帽汇安全研究院转载2019-02-13 11:09:10 440
据IMEOS消息,慢雾预警:根据慢雾威胁情报系统捕获,今日凌晨,竞技类游戏 DApp EOSreel 遭遇黑客攻击。攻击者通过部署攻击合约 con******nop,并联合多个帐号,攻击项目方合约 eosreeladmin,共获利 2046 枚 EOS,并将其中 1301 枚 EOS 洗进 FCoin 交易所。目前 EOSreel 已经暂停。慢雾安全团队提醒类似项目方全方面做好合约安全审计并加强风控策略。
安全事件
推特用户称比特大陆S15固件中存在漏洞
白帽汇安全研究院转载2019-02-13 10:47:06 360
名为“James Hiliard”的Twitter用户在推特上称,发现比特大陆S15固件中存在的漏洞, 并且@ 00whiterabbit编写/测试了攻击代码。等比特大陆获得GPL许可,他将指出其漏洞,以便其修复漏洞。并在推特上发布相关视频。该用户表示,该漏洞可以完全远程利用,并可以在使用或不使用ssh的情况下进行。
行业安全资讯
以太坊parity客户端存在拒绝服务漏洞,目前已修复
白帽汇安全研究院转载2019-02-11 20:48:58 403
2月3日,我们收到了一些报告,攻击者可以向公共的Parity Ethereum节点(2.2.9之前的版本和2.3.2-beta之前的版本)发送一个特制的RPC请求,使该节点将崩溃。谁受影响了?受影响的Parity Ethereum节点是将JSONRPC作为公共服务(例如,Infura,MyEtherWallet,MyCrypto和其他公共可访问的基础架构)服务的节点。谁没有直接受到影响?不向互联网上的第三方提供JSONRPC的Parity Ethereum节点 - 即大多数节点 - 不直接受到影响。默认模式是不公开提供JSONRPC。尽快修复可用更新2.2.9-stable和2.3.2-bet
行业安全资讯