“漏洞即挖矿” DVP去中心化漏洞平台全球上线
Morph代币笔误漏洞?
EOS区块链史诗级漏洞,可完全控制虚拟货币交易
安全赢未来,区块链安全高峰论坛
最新
漏洞预警 | CVE-2018-17144:Bitcoin Core通胀漏洞修复
白帽汇安全研究院转载2018-09-25 10:00:19 29
 Bitcoin Core CVE-2018-17144漏洞披露Bitcoin Core在9月18日发布的最新的版本0.16.3和0.17.0rc4中修复了一个较为严重的安全漏洞CVE-2018-17144,其可导致拒绝服务与严重的通胀。该漏洞最初是9月17日作为拒绝服务漏洞被发现的,接着立即汇报给了Bitcoin Core的几个核心开发者以及ABC、Unlimited等相关支持加密货币项目。但很快安全人员发现该漏洞实际上是一个通胀漏洞,并将其修复。为了用户的安全,我们决定迅速推出更新补丁,并把这个漏洞当做拒绝服务漏洞来披露。同时我们将完整的信息通知到了矿工、合作伙伴以及其他受影
行业安全资讯
合约变量的“皇帝新衣” |成都链安漏洞分析连载第九期 ——外部读取状态变量
白帽汇安全研究院转载2018-09-21 10:52:20 252
针对区块链安全问题,成都链安科技团队每一周都将出智能合约安全漏洞解析连载,希望能帮助程序员写出更加安全牢固的合约,防患于未然。引子:外以欺于人,内以欺于心 – 唐·韩愈《原毁》前景提要上回书,转账过程纷繁复杂,安全应对各个击破。面对直接涉及以太转账的游戏合约, 在使用官方提供的转账函数同时,添加不同账户类型的区别处理以及失败情况下的异常处理乃明智之举。此外,构建合约逻辑避免依赖于合约余额确切值应铭记在心,如有特殊考虑,切记定义状态变量明确余额变化,万不可想当然而为之。本期话题第九回,合约安全隐私未必,外部读取暴露无遗。我们在前几回主要讨论的都是在合约内部构建函数和代码书写规范时产生的
行业安全资讯
NEO dBFT共识机制分析与完善
白帽汇安全研究院转载2018-09-20 15:09:07 303
Zhiniang Peng from Qihoo 360 Core Security在NEO采用dBFT机制实现共识节点之间的“拜占庭容错”,并在NEO白皮书中描述恶意共识节点小于1/3的时候,该共识机制能够保证系统的安全性和可用性。我们经过研究发现,目前NEO的dBFT机制仅能保证诚实的共识节点之间达成共识。但共识节点之间不存在分叉,并不意味着全网不会存在分叉。NEO目前对dBFT共识机制的实现还不满足的拜占庭容错性质。NEO dBFT共识机制简介NEO区块链是一个分布式的智能合约平台。NEO实现了一种委托的拜占庭容错共识算法,它借鉴了一些 PoS 的特点(NEO持有人需要对共识节点进行投
行业安全资讯
etherscan点击劫持漏洞
白帽汇安全研究院转载2018-09-20 14:18:56 352
在昨日DVP平台收到了一个著名区块链(Etherscan)浏览的漏洞,可以导致用户将恶意代码嵌入Etherscan的a标签中,可导致用户遭到被恶意钓鱼,以下是漏洞详情漏洞URL:如果是Web就填写此项 https://etherscan.io简要描述:漏洞说明、利用条件、危害等部署合约代币时,符合ERC20标准的情况下,symbol和name自定义,可嵌入a标签覆盖原本的标签。在用户访问点击页面内的合约名字,可以劫持至任意网站。需要部署ERC20标准的合约,且在访问合约页面之前,发起一次交易。漏洞证明: https://ropsten.etherscan.io/addres
行业安全资讯
比特币惊现拒绝服务漏洞,Bitcoin Core开发者已发布紧急修复客户端
白帽汇安全研究院转载2018-09-20 10:24:35 310
比特币虽然是密码货币世界的安全标杆,但这并不意味着它本身不存在着漏洞。近期,开发人员发现 Bitcoin Core软件中存在着一个异常严重的漏洞,这促使开发者在本周三发布了一个漏洞修补方案 ——0.16.3版本Bitcoin Core客户端。据悉,这一漏洞属于拒绝服务式漏洞,如果被人利用,攻击者可用于攻击节点,在最坏的情况下,它可暂时造成比特币网络崩溃。然而,并不是所有人都拥有利用这一漏洞的能力,只有那些运行挖矿硬件并处理比特币网络交易的矿工,才能够通过双花交易的方式来利用这一漏洞。而对他们而言,执行这样的攻击,就意味着他们会失去区块奖励,根据今天的比特币汇率计算,这些奖励(12.5BTC)价
行业安全资讯
日本加密货币交易所Zaif遭黑客攻击,损失约6000万美元
白帽汇安全研究院转载2018-09-20 10:21:02 337
据当地媒体消息人士报道,日本加密货币交易所Zaif上周受到了重大黑客的攻击,该公司现已证实。该黑客于9月14日发生但直到9月17日才被发现,黑客从交易所的热钱包中窃取了不同数量的比特币,比特币现金和摩纳哥,共计价值67亿日元(略低于6000万美元)据CoinMarketCap称,Zaif是一个小型交易所,目前在日交易量中排名第108位。然而,这一事件可能对日本的加密货币行业产生重大影响,因为监管机构已经加强了对1月份发生的创纪录的Coincheck入侵事件的监督。
安全事件
DVP已确认众多交易所存在TradingView漏洞,交易所需要立即升级!
白帽汇安全研究院原创2018-09-19 19:26:32 437
今日慢雾区发布了《⼀个通杀绝⼤多数交易平台的 XSS 0day 漏洞》,经过DVPNET确认,该组件确实大量被用于加密货币交易所。通过如下Google Dork检索可以发现有345个站点使用了该组件。再通过如下FOFA Dork可以发现有49个站点使用了该组件已经确认存在漏洞的有如下厂商(由DVP白帽子提交):由此可见大量加密货币交易所受TradingView漏洞影响,该漏洞能导致平台用户登陆权限被窃取,正在使用TradingView的厂商需要紧急升级!同时,加密货币在使用通用组件使需要更加警惕!否则很容易导致因为通用组件的安全问题而产生经济损失。然而....TradingView漏洞是个例吗
行业安全资讯
慢雾区: ⼀个通杀绝⼤多数交易平台的 XSS 0day 漏洞
白帽汇安全研究院转载2018-09-19 14:14:52 411
余弦@慢雾安全团队 引子慢雾区前后两位白帽黑客给我们反馈了这个 XSS 0day,第一位反馈的很早,但他自己把这个漏洞危害等级定义为低危,我们服务的交易所平台修复后,我们也没特别在意,直到第二位给我们再次提及这个 XSS。昨天,我们开始对我们服务的所有客户下发这个预警,内容:#0day 漏洞预警# 根据慢雾区匿名情报,通用 K 线展示 JS 库 TradingView 存在 XSS 0day 漏洞, 可绕过 Cloudflare 等防御机制。该漏洞被利用会导致用户帐
行业安全资讯
EOS DApp 已成黑客提款机?慢雾安全团队支招
白帽汇安全研究院转载2018-09-17 18:24:24 551
导读:本文盘点了近期EOS Dapps上影响较大的安全事件以及漏洞解读,同时以开发者的角度对EOS生态和“Code is Law”进行点评,严格执行Code is law,会增加用户监督门槛,开发者故意埋下漏洞的行为也难以谴责追诉。而过分的人治,又会成为民粹的温床,打击开发者审计合约的动力。针对近期 EOS DApp 漏洞频发,慢雾安全团队整理出品《EOS 智能合约最佳安全开发指南》https://github.com/slowmist/eos-smart-contract-security-best-practices ,欢迎广大开发者交流探讨、不断完善。作者简介:唐飞虎(岛娘),
行业安全资讯
关于假EOS刷币事件的公告
白帽汇安全研究院转载2018-09-17 01:59:42 641
 一. 假EOS刷币事件始末1.EOS账户“oo1122334455”于2018-09-14 14:01:45发行1000000000个假EOS,并全额分配给dapphub12345账户:2.随即由dapphub12345转入iambillgates账户(实施攻击的账户):iambillgates账户于14:21:37尝试性的多次用1个假EOS挂单委托买入IPOS和ADD,并且成功以假EOS买入IPOS和ADD:3.攻击可行性得到验证后,于14:31:34至14:45:41进行大额攻击,分多笔共11800假EOS挂市价单购买BLACK、IQ、ADD,且全部成交。4.成功买入BLACK
安全事件
数字货币交易平台面临着哪些安全威胁?
白帽汇安全研究院转载2018-09-15 17:58:18 669
一、部分与数字货币交易平台相关的安全事件近期,数字货币交易所安全事件频发。2018年01月日本Coincheck交易所受到黑客攻击被盗取NEM新经币损失约5.34亿美元;2018年02月基于以太坊的XMRG代币的交易价格上涨787%后迅速暴跌归零,造成大量用户经济损失,背后原因在于其智能合约代码存在整数溢出漏洞,超额铸币后抛售造成恶性通胀;2018年03月Binance交易所,黑客利用盗取的用户信息进行大量交易操纵市场行情获利超过1亿美元。2018年04月基于以太坊的BEC代币和SMT代币先后因智能合约存在溢出漏洞造成天量代币转出,引发恐慌抛售,导致市值几近归零……这样的案例数不胜数。笔者通过
行业安全资讯
BET被黑客攻击始末,实锤还原作案现场和攻击手段
白帽汇安全研究院转载2018-09-14 20:23:58 702
前言今天中午吃饭的时候,整个微信群讨论的沸沸扬扬的一件事,莫过于大名鼎鼎的日收万金的EOS大赌场:eosbet 被黑客攻击了。eosbet,一向以团队技术实力强劲,代码安全性、容错性高为业界佳话。凭借 一款dice游戏,火遍全球,快速发展成全网第一的杀手DAPP。截止目前为止, eosbet短短半个月,收入40多万EOS。DAPP排行榜上,交易流水第一。目前官方网站和游戏网站已经关闭。估计官方正在积极处理这件事情。https://eosbet.iohttps://dice.eosbet.io调查作案现场账号aabbccddeefg ,利用合约漏洞,无成本薅走 bet 奖池将
安全事件