“漏洞即挖矿” DVP去中心化漏洞平台全球上线
Morph代币笔误漏洞?
EOS区块链史诗级漏洞,可完全控制虚拟货币交易
安全赢未来,区块链安全高峰论坛
最新
通过猜测以太坊“弱私钥”窃取大量以太币
白帽汇安全研究院转载2019-04-24 19:04:57 40
去年夏天,Bednarek正在思考如何窃取以太币。他是一名安全顾问; 当时,他正在为一个客户工作,该客户从事的是盗窃猖獗的加密货币行业。Bednarek被以太坊吸引,尤其是因为它臭名昭著的复杂性和那些移动端可能产生的潜在安全漏洞。但他从最简单的问题开始:如果以太币的所有者用私钥存储他们的数字货币,私钥是一串不可猜测的78位数字串,用于保护隐藏在某个地址的以太币,它的值会是1吗?令Bednarek惊讶的是,根据记录以太坊所有交易的账本,他发现这个非常简单的私钥实际上曾经持有以太币。但是资金已经被转出了——几乎可以肯定是一个小偷,他早在Bednarek之前就猜到了一个值为1的私钥。毕竟,
行业安全资讯
如何利用CORS配置错误漏洞攻击比特币交易所
白帽汇安全研究院转载2019-04-24 14:38:20 61
原文:https://portswigger.net/blog/exploiting-cors-misconfigurations-for-bitcoins-and-bounties本文内容摘自我在AppSec USA大会上发表的演讲,准确来说,这里已经做了极大的简化。如果您有时间(或在阅读本文是遇到难以理解的内容)的话,我强烈建议您查看相应的幻灯片和视频。跨源资源共享(CORS)是一种放宽同源策略要求的机制,以使不同的网站可以通过浏览器进行通信。通常来说,人们普遍认为某些CORS配置是非常危险的,但具体到这些配置的细微差别及其含义,却很少有人能够正确理解。在这篇文章中,我将为读者展示如何从黑
行业安全资讯
投资者利用修改本地时间漏洞完成 TRXMarket IEO 抢购
白帽汇安全研究院转载2019-04-23 09:59:12 163
在本周波场数据中 TRXMarket 表现比较好,原因是 4 月 18 日波场去中心化交易所 TRXMarket 的 IEO 平台 LaunchBase 上线了项目 TRONAce(ACE),开盘当晚 ACE 涨了 8 倍。由于需要用 TRX 抢购,所以推动了 TRX 的成交量增长。但随后有爆料称,有投资者利用修改本地时间的漏洞,提前抢购完成了 IEO。根据爆料的视频,有投资者在抢购前 1 小时左右,将本地的电脑时间调后一小时,然后刷新网页将修改后的时间同步了,就能提前一小时下单抢购。目前 TRXMarket 尚未对此作出回应。
行业安全资讯
冲突的公链!来自 P2P 协议的异形攻击漏洞
白帽汇安全研究院转载2019-04-18 19:08:11 490
 作者:慢雾安全团队当我们谈论区块链时,总是离不开这些技术:分布式存储、P2P 网络和共识机制,本次我们要谈的问题就是出现在 P2P 对等网络协议上。异形攻击实际上是一个所有公链都可能面临的问题,我们用以太坊为例子说明。以太坊的 P2P 网络主要采用了 Kademlia (简称 Kad ) 算法实现,Kad 是一种分布式哈希表( DHT )技术,使用该技术,可以实现在分布式环境下快速而又准确地路由、定位数据的问题。 什么是异形攻击?首先,我们先定义一个同类链的概念,是指使用了和其它区块链相同或兼容协议的区块链系统。异形攻击又称地址池污染,是指诱使同类链的节点互相侵入和污染
行业安全资讯
黑客利用钓鱼攻击窃取了Electrum钱包用户771个BTC
白帽汇安全研究院转载2019-04-17 17:53:51 669
自2018年12月底以来,一系列有针对性的网络钓鱼攻击一直在持续进行,导致目前Electrum比特币钱包用户已经损失了771比特币(大约400万美元)。根据Malwarebytes Labs发布的研究,攻击者能够通过利用钱包的缺陷欺骗毫无戒心的用户下载恶意钱包。今年二月,Electrum背后的开发人员决定利用自己软件中的相同缺陷,引导用户下载最新的补丁版本。然后,在三月,情况变得更糟,开发人员开始利用另一个未知的漏洞,主要攻击存在缺陷的客户端,以阻止他们连接到恶意节点,他们称之为“反击”。在此之后,攻击者使用僵尸网络 对Electrum服务器发起了分布式拒绝服务(DDoS)攻击,以更
安全事件
IOST公链P2P远程拒绝服务漏洞
白帽汇安全研究院转载2019-04-16 19:16:24 591
 漏洞分析IOST公链使用Go语言开发,Go语言的make函数如果参数控制不当容易产生拒绝服务漏洞。在IOST的公链代码中搜索make,找到了一处貌似可以利用的地方。func (sy *SyncImpl) getBlockHashes(start int64, end int64) *msgpb.BlockHashResponse {     resp := &msgpb.BlockHashResponse{   &n
行业安全资讯
区块链安全—深入分析ATN漏洞
白帽汇安全研究院转载2019-04-15 16:58:19 626
作者:Pinging(先知社区)一、ATN介绍ATN作为全球首个区块链+AI项目,是一个去中心化的、无需授权的、用户自定义人工智能即服务(AIaaS)和使用接口的开放区块链平台。ATN公有链将引入DBot的Oracle预言机、跨链互操作技术,且通过石墨烯架构实现高并发TPS,侧重解决人工智能服务(AIaas)与EVM兼容的智能合约之间互操作性的问题。ANT旨在提供下一代的区块链平台,提供AIaaS人工智能即服务和智能合约,为各个DApp服务,让其可以具备调用人工智能能力,繁荣DBot生态。然而在2018年5月11日中午,ATN安全检测人员收到了异常的监控报告,并发现其ATN存在漏洞并遭受攻击。
行业安全资讯
波场DApp遭黑客围猎?1小时内1.7亿枚BTT被卷跑
白帽汇安全研究院转载2019-04-11 18:41:35 868
波场公链DApp市场高度繁荣的同时势必会引来黑客垂涎,而目前波场还未曾遭到过像EOS那样高强度的攻击。波场DApp也被黑客盯上了据DappReview监测,今日凌晨1点,波场DApp TronBank遭到假币攻击,1小时内被盗走约1.7亿枚BTT(价值约85万元)。区块链安全公司PeckShield数据显示,今天凌晨00:17,TCX1Cay开头的黑客创建了大量BTTX假币,并于凌晨00:25至01:00之间向多个地址转入共计4,000万个BTTX代币,并把假的BTTX洗成真的BTT代币,进而对TXHFhq开头的BTTBank游戏合约实施攻击。安全人员认为,黑客采用假币攻击方式,通过调用BTT
行业安全资讯
安全预警:波场TronWoW游戏被黑客攻击导致216万TRX被盗
白帽汇安全研究院转载2019-04-11 18:15:52 940
Beosin(成都链安)发布预警,波场TronWoW游戏于4月11日凌晨3点左右被黑客攻击,损失约216万TRX。成都链安技术团队分析称,黑客账户地址TQkHga98u2yMAJqnkt7Nzg6iSeisLgMuJE通过调用游戏合约下注逻辑的方式进行游戏,并一直获胜,初步推测该攻击由于游戏逻辑缺陷导致,通过分析资金流向,黑客所得TRX已经全部转至疑似交易所地址TNaRAoLUyYEV2uF7GUrzSjRQTU8v5ZJ5VR。
安全事件
BTTBank “假币攻击”细节公布 分析人员称漏洞具有广泛性危害
白帽汇安全研究院转载2019-04-11 18:05:27 811
据DappReview监测,波场Dapp TronBank于凌晨1点遭到假币攻击,1小时内被盗走约1.7亿枚BTT(价值约85万元)。监测显示,黑客创建了名为BTTx的假币向合约发起“invest”函数,而合约并没有判定发送者的代币id是否与BTT真币的id1002000一致。因此黑客拿到真币BTT的投资回报和推荐奖励,以此方式迅速掏空资金池。TronBank的BTT投资产品于4月10日晚10点正式开放,仅三小时内总投资额超过2亿枚BTT,此前该项目的TRX投资产品最高资金池余额超过2.6亿枚TRX。目前TronBank开发者尚未对此事做出回应,网站也并没有及时关闭,仍有不明真相的群众进入投资
安全事件
基于Tron的代币IseriCoin存在造币漏洞 已被攻击者利用
白帽汇安全研究院原创2019-04-11 17:52:04 744
今日,DVP区块链安全监测系统TronEye检测到一起攻击事件:在2019-04-08 19:23:12至2019-04-09 12:21:30期间,在有多个攻击者针对一款基于Tron的代币(IseriCoin)发起了攻击,黑客利用合约漏洞凭空给自己账户增发了巨量的IseriCoin代币,该代币在kiwidex交易所上架,目前已经暂停交易。经DVP安全团队分析,该事件是由于IseriCoin合约与已经被攻击过的TronCrush Token合约存在相同漏洞导致,所以攻击者使用了同样的攻击手法,只要攻击者向自己转账即可获得并增发与转账数额等额的代币。对此建议各位项目方,在进行智能合约开发的时候应
安全事件
TronCrush智能合约存在造币漏洞,攻击者凭空创造巨量TCC代币
白帽汇安全研究院原创2019-04-08 19:53:29 1079
在介绍本次攻击事件前先引用一段来自DappReview的文章内容(https://www.bishijie.com/shendu_28528)虎头蛇尾的TronCrush这是一个上线前被大量TRON Dapp KOL宣传力推的项目,在第一次分红之前,被Kiwi进行上币交易,其无奈之下,主动联系TRON生态下头部的去中心化交易所Trontrade进行上币。之前由于做足了预热,3月26号首日挖矿流水惊人的突破了12亿TRX,由于挖矿的狂热,该项目方多次暂停游戏进行维护,27-28日的交易量受此影响有所下滑,来到第一个分红日29号12点前夕。TronTrade突然暂停了代币TCC的交易,似乎出现了一
安全事件