“漏洞即挖矿” DVP去中心化漏洞平台全球上线
Morph代币笔误漏洞?
EOS区块链史诗级漏洞,可完全控制虚拟货币交易
安全赢未来,区块链安全高峰论坛
最新
EOS智能合约常见漏洞实践
白帽汇安全研究院原创2018-12-10 11:38:03 189
关于以太坊智能合约的漏洞以及其复现的文章已经很多了,但是EOS在这方面的资料很少的,本文主要参考慢雾《EOS 智能合约最佳安全开发指南》中的示例来进行一个实践性的学习,引用了其中部分内容。复现漏洞的过程相对于以太坊来说还是比较麻烦的,这主要与目前EOS的开发生态相对于以太坊较为落后有关。实验环境环境有两种选择:1、搭建一条私有链    2、使用测试网为了能够快速完成复现,本文使用kylin测试网作为实验环境。然后使用js4eos(https://github.com/itleaks/js4eos)来进行创建账号、编译合约、部署合约、领取EOS等。这里就不再赘述,直
行业安全资讯
公链安全之亦来云多个远程DoS漏洞详解
白帽汇安全研究院转载2018-12-07 18:52:02 369
关于区块链安全的资料,目前互联网上主要侧重于钱包安全、智能合约安全、交易所安全等,而很少有关于公链安全的资料,公链是以上一切业务应用的基础,本文将介绍公链中比较常见的一种的DoS漏洞。0x1 知识储备公链客户端与其他传统软件的客户端没有太大区别,在传统软件上会遇到的问题在公链客户端中都有可能遇到。所以要让一个客户端发生Crash的常见方法有:使程序发生运行时异常,且这个异常没有被容错,例如数组越界、除以0、内存溢出等。使系统环境不满足程序运行的要求,例如创建大数组造成的OOM、无限递归造成的OOM等多线程死锁其他公链节点可被轻易攻击下线的危害是巨大的,比如会使网络算力骤减,从而导致51%攻击等
行业安全资讯
诈骗疯狂敛财!币安刚发布推出去中心化交易平台新闻,就有人仿冒!?
白帽汇安全研究院转载2018-12-06 12:29:31 486
近年来每个风口都会涌现出来新的商机,商机的背后会隐藏着各种不为人知的秘密。面对飞速变化的环境,切莫掉以轻心,安全交易事故正在悄悄侵犯数字投资者的钱包。今年已经出现过多起诈骗,类似诈骗早在Proofpoint也有国外研究者分析曝光过,针对Twitter对话展示诈骗的详细过程;诈骗方不仅可以冒充项目人员、名人、社交账户等来进行诈骗活动,而且还高仿的有模有样。Proofpoint往期分析链接:https://www.proofpoint.com/us/threat-insight/post/money-nothing-cryptocurrency-giveaways-net-thousands-sc
行业安全资讯
EOS竞猜游戏Fastwin遭黑客攻击 损失1929.17个EOS
白帽汇安全研究院转载2018-12-05 10:24:15 887
据PeckShield态势感知平台12月05日数据显示:今天凌晨03:18—04:15之间,黑客ha4tsojigyge向Fastwin游戏合约(fastwindice3)发起124次攻击,共计获利1929.17个EOS。该黑客账户ha4tsojigyge在攻击得手后,将所得资金转向Bitfinex交易所账号(bitfinexdep1),目前游戏已暂停运营。
安全事件
VTC币(Vertcoin)遭受51%攻击,造成15次双花
白帽汇安全研究院转载2018-12-04 16:52:18 845
在最近发生的4起不同的事件中,Vertcoin经历了22次区块覆盖,其中包含15次双花交易。这些攻击可能导致盗窃超过100000美元,最长的一次大概有300个区块被覆盖。背景资料中本聪的白皮书《比特币:一种点对点电子现金系统》第3页陈述如下:如果大部分算力由诚实节点控制,那么诚实链将增长最快并超过任何竞争链。比特币以及其他基于PoW共识模型数字货币之所以能安全的前提是:超过一半的矿工算力是“诚实”的。在这种情况下,诚实行动意味着遵循比特币白皮书中描述的行为。这有时被描述为“安全风险”或“攻击向量”,但更准确地描述是PoW共识机制的已知限制。如果不能满足这一要求,就会破坏比特币协议的几个核心保障
安全事件
Bctf Blockchain 两则详解——带你玩转区块链
白帽汇安全研究院转载2018-12-03 19:55:53 739
近来各大ctf中,纷纷冒出了一个新题型——Blockchain,从HCTF开始到BCTF,作为一只web狗,还是要紧跟时代学习一下(毕竟web狗啥都要学),今天我们就来详细讨论一下这两题的解法,以及用到的知识点。EOSGame题目地址为:This contract is at 0x804d8B0f43C57b5Ba940c1d1132d03f1da83631F in Ropsten network.这题是给了合约代码的,先贴一下合约代码:contract EOSToken{     using SafeMath for&nb
行业安全资讯
Dice3D遭攻击后续分析:损失10569个EOS 和EOS.WIN遭受的攻击类似
白帽汇安全研究院转载2018-12-03 14:10:36 1133
据PeckShield态势感知平台数据显示:12月1日凌晨02:25-02:31之间,黑客rockrock1234向Dice3D游戏合约(guessfoxgame)发起211次攻击,共计获利10,569.346个EOS ,随即将所获资金转移至火币交易所账号(huobideposit)。根据当前EOS市场价格19.62元估算,黑客此次攻击获利超20万元。目前Dice3D游戏已暂停运营,合约正在实施升级。PeckShield安全人员初步分析发现,黑客采用的攻击手段和此前11月11日EOS.WIN遭受的攻击类似,均采用多个合约账号同时发送交易请求,利用前边的佯攻账号实施小额投注,在确保主攻账号获
安全事件
PeckShield 安全播报: EOS竞猜类游戏nutsgambling遭黑客交易回滚攻击
白帽汇安全研究院转载2018-11-28 14:08:46 1294
据 PeckShield 态势感知平台数据显示:昨天,黑客ybdzmtgouwxn向一款EOS 竞猜类游戏nutsgambling发起攻击,在不到一小时内,共计发起144次攻击,总计获利1141.71个EOS。为了防止资金流向被追踪,该黑客采用多个子账号顺序将所获资产转移至账号kcbtvwtxeabc中,暂未提取到交易所。PeckShield 安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。最近一段时间该攻击形态频繁出现,对竞猜类游戏生态造成严重的威胁,广大游戏开发者需提高警惕
安全事件
千万下载量开源软件托管给陌生人 植入恶意代码窃取用户密币
白帽汇安全研究院转载2018-11-27 17:50:56 1183
  0x00 事件背景2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。360-CERT从该Issuse中得知,大约三个月前,由于缺乏时间和兴趣,event-stream原作者@dominictarr将其开发交给另一位名为@Right9ctrl的程序员。随后,Right9ctrl发布了包含新依赖关系的Event-Stream 3.3.6 – Flatmap-Stream0.1.1。
行业安全资讯
黑客向热门 JavaScript 库注入恶意代码 窃取 Copay 钱包的比特币
白帽汇安全研究院转载2018-11-27 10:51:34 1578
尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得 ( 合法 ) 访问热门 JavaScript 库,通过注射恶意代码从 BitPay 的 Copay 钱包应用中窃取比特币和比特币现金。这个可以加载恶意程序的 JavaScrip 库叫做 Event-Stream,非常受开发者欢迎,在 npm.org 存储库上每周下载量超过 200 万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员 Right9ctrl。Event-Stream,是一个用于处理 Node.js 流数据的 JavaScrip
行业安全资讯
区块链安全—详谈合约攻击(五)
白帽汇安全研究院转载2018-11-27 10:08:18 1062
作者:Pinging(先知社区)一、前言在上文中,我们详细介绍了sened()函数,并且用相关实例介绍了send()函数。而倘若Solidity代码开发者进行编写时没有注意相关逻辑,那么就有可能导致变量覆盖顺序不当而产生安全问题。尤其是当函数失败回滚但系统函数却没有发觉,仍然继续执行后续代码。而本文我们将讲述合约安全中经典的“重入攻击”。简单来说,此类型攻击带来的危害极大,并且开发者在开发智能合约的时候很容易产生此问题。所以我们不得不对这个问题进行详细的分析以便我们能够在后续的开发中有所避免。除此之外,我们还将视野移至一些容易出问题的函数中,不过这些语句看似常用,但是其中蕴含一些安全问题。我们
行业安全资讯
团伙利用假充值漏洞非法获取比特币、以太币被批捕
白帽汇安全研究院转载2018-11-23 10:59:53 1708
正义网上海11月20日电(通讯员张宇华)犯罪嫌疑人吴某伙同邓某对数字资产交易平台进行网络攻击,并窃取篡改平台数据从而牟利,造成公司经济损失100余万元。2018年10月25日,上海市奉贤区检察院以涉嫌破坏计算机信息系统罪依法对其二人批准逮捕。吴某、邓某本是广州一家网络公司的技术人员,他们二人负责维护某公司旗下的一个区块链数字交易平台。2018年6月中旬,因该平台被攻击,二人在维护期间发现了其他数字交易平台存在“假充值”漏洞。他们二人想借此机会发一笔横财。吴某先是指使邓某用别人的身份证和照片在平台上注册了账号并进行了实名认证,接着利用“暗网”上的在线工具,在该平台上攻击“假充值”漏洞进行增加充值
安全事件