“漏洞即挖矿” DVP去中心化漏洞平台全球上线
Morph代币笔误漏洞?
EOS区块链史诗级漏洞,可完全控制虚拟货币交易
安全赢未来,区块链安全高峰论坛
最新
区块链的那些事—THE DAO攻击事件源码分析
白帽汇安全研究院转载2018-10-16 12:29:18 55
作者:Pinging(先知社区)一、DAO项目介绍DAO(Decentralized Autonomous Organization)是一种通过智能合约将个体与个体、个人与组织、或组织与组织联系在一起的新型组织形式。The DAO项目于2016年4月30日开始,融资窗口开放了28天。The DAO项目就这么火起来了,截止5月15日这个项目筹得了超过一亿美元,而到整个融资期结束,共有超过11,000位热情的成员参与进来,筹得1.5亿美元,成为历史上最大的众筹项目。The DAO所集资的钱远远超过其创建者的预期。总结来说,DAO项目的运作方式如下:1 首先要拥有其自己的团队来编写运行的智能
行业安全资讯
EOS DApp 充值“假通知”漏洞分析
白帽汇安全研究院转载2018-10-15 23:39:24 120
一、漏洞原理EOS 的合约可以通过 require_recipient 触发调用其他合约,设计这样的机制给合约的开发者提供了很大的便利性, 但是也带了新的问题。我们以 EOSBet DApp 被攻击事件为例:二、漏洞重现1. 创建攻击者普通账户:aaaaaa2. 创建攻击合约账户:cccccc,并部署攻击合约3. 攻击对象:eosbetdice11我们修改官方的开源代码,加入 print 代码以便观察调用情况4. 发起攻击攻击者普通账户:aaaaaa 向攻击合约账户:cccccc 转账通过控制台我们可以看到 eosbetdice11 的 transfer 函数被成功调用。三、修复方案校验 tr
行业安全资讯
福利,DVP协助白帽子申请数个CVE!
白帽汇安全研究院转载2018-10-15 19:45:46 123
1.什么是CVE?CVE的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。简单点说就是:有CVE,有排面然而,并不是每个白帽子都会申请CVE....但,DVP的白帽子不一样只要你提交通用型漏洞,如通用交易所、智能合约、公链漏洞,在DVP基金会与白帽子建立联系沟通后都会无偿帮助白帽子申请CVE编号!是的!不需要你有申请CVE的经验也不需要你去了解申请CVE的相关资料只需要你提交漏洞2.已经获得CVE的大佬第一位大佬的ID是BirdMan经常在DVP
行业安全资讯
EOS“伪造转账通知”漏洞修复补丁
白帽汇安全研究院转载2018-10-15 19:18:20 115
我们使用合同通知发现了一个漏洞。需要明确检查通知中的所有参数,仅合同名称和操作名称是不够的。任何依赖eosio.token转移通知的合同都应立即添加此检查:if (transfer.to != _self) return;如果仅对转入操作执行业务逻辑,但是对转入和转出都重用转账操作,请使用:if (transfer.from == _self || transfer.to != _self ) return;如果您在转入和转出转账上都执行业务逻辑,请使用:if (transfer.to != _self && transfer.from 
行业安全资讯
黑客攻击成人网站窃取165枚ETH,归还后获奖5000美元
白帽汇安全研究院转载2018-10-15 18:38:43 114
发动攻击的黑客与被攻击的网站之间的关系一般来说都是水火不容的,而这次事故里,黑客发起攻击后窃取 3.2 万美金的加密货币后却全数归还,网站方也给予 5000 美元作为奖励,连发起攻击的成本也得到了补偿……10 月 6 日,基于以太坊的成人娱乐平台 SpankChain 遭受黑客攻击,匿名攻击者利用该平台支付渠道智能合约漏洞窃取 165.38 枚 ETH,价值约 38000 美元。同时该漏洞导致了价值 4000 美元SpankChain的内部代币BOOTY无法流通。在事发第二天该平台才意识到这次匿名攻击,立即对外发布公告宣布这次事故,表示将重新部署支付渠道的智能合约以防再次受到攻击,同时积极
行业安全资讯
EOSBet遭“伪造转账通知”,损失近14万EOS,价值超500万元
白帽汇安全研究院转载2018-10-15 18:37:08 119
今日有消息称,EOSBet平台今天下午遭受了攻击,区块链安全公司PeckShield第一时间监测并捕捉到了该攻击行为的发生。PeckShield安全人员进一步分析发现,黑客利用EOSBet合约在检验收款方时存在的漏洞,伪造转账通知,总计从eosbetdice11获利138,319.7995EOS。据PeckShield态势感知平台监测发现,今天下午13:27到13:38之间,账号ilovedice123总共发起了10余笔大额转账指向交易所平台,其中72,150 EOS流入了Bitfinex,65,100 EOS流入了Poloniex。根据EOS当前行情价格37元估算,EOSBet平台此次损
安全事件
DoraHacks区块链安全Hackathon 部分write up by 天枢
白帽汇安全研究院转载2018-10-15 18:21:53 188
author: 天枢前言在参加护网杯的同时,天枢有一波区块链大佬小分队去参加了DoraHacks举办的比赛,小伙伴们非常给力的拿下第二名 这里分享一个这个比赛的部分题解另外天枢还有一波小分队去参加了ISCC也取得了第二的好成绩(不说了,我去催他写writeup了...Sissel大佬说道:早先就对DoraHacks举办的各种hackathon有所耳闻,一直想来参加感受一次,这次很高兴天枢能够受邀参加本场区块链安全比赛,与诸位师傅共同度过一个知性而优雅的周末。各大厂商在周六都分享了许多有意思的思路、或是自家引以为傲的产品和解决方案,开拓了我和小伙伴们的眼界。一下午的展示中收获了良多干货,为第二天
行业安全资讯
区块链的那些事—论激励机制与激励层中的Race-To-Empty攻击
白帽汇安全研究院转载2018-10-15 18:21:09 149
作者:Pinging最近针对区块链的“币圈”进行了一个小范围的资料阅读与研究,学习总结了一些安全方面的知识。通过对“币圈”发生的一些重大安全事件的研究,我也接触了许多“激励层”方面的知识。希望将内容简单的总结于此。通过这几个月的对区块链知识的学习,我提炼前人的话简单的对区块链进行总结——简单来说区块链为“去中心化”+“Token机制”的结合。而去中心化我们在这里先不谈,我们就主要讨论下这个Token机制(激励机制)中蕴含的思想。下面,我将从比特币、以太币入手,并引出与激励层相关的安全攻击—Race To Empty。一、激励机制的价值体现区块链本质是分布式共识与价值激励相结合的产物,它一个方面
行业安全资讯
EOSBET遭受溢出攻击,损失巨额EOS
白帽汇安全研究院转载2018-10-15 16:54:48 330
据IMEOS报道,EOSBET遭受溢出攻击,损失巨额EOS。黑客账号ilovedice123构造了溢出Memo: 92-chickndinner-uHruy5esdfuh3HC8,对EOSBET合约eosbetdice11进行溢出攻击。黑客曾使用whoiswinner1账号进行攻击尝试。
行业安全资讯
Not a fair game, Dice2win公平性分析
白帽汇安全研究院转载2018-10-14 12:50:09 217
Zhiniang Peng from Qihoo 360 Core SecurityDice2win 目前是以太坊上一款异常火爆的区块链博彩游戏。号称“可证明公平的”Dice2win目前每日有近千以太(一百五十万人民币)的下注额,是总交易量仅次于etheroll的第二大以太坊博彩游戏。然而我们分析发现,dice2win中的所有游戏都存在公平性漏洞,庄家可以利用这些漏洞操纵游戏结果。Dice2win游戏介绍Dice2win目前有包括“抛硬币”、“掷骰子”、“两个骰子”、“过山车”几款游戏。其介绍如图:在这些游戏中,每个用户单独下注与庄家进行一对一对赌。游戏的本质,是用户和庄家在去中心化的以太坊
行业安全资讯
矿池攻击了解一下
白帽汇安全研究院转载2018-10-13 15:46:12 400
作者:Bubbles前言最近对区块链的底层的一些算法以及机制做了一定的了解与研究,今天我们来看看比特币的底层激励机制也就是挖矿所形成的矿池所存在的一些攻击手法,希望大家能有所收获简单介绍对于区块链的相关技术有所了解的同学对于挖矿也一定不会陌生,这是工作量证明的共识机制的核心,大家一起求解一个密码学问题以获取可用的区块头,从而产生新的区块,早期的时候你直接用自己电脑都可以参与挖矿,然而随着比特币价值的增长,参与人数越来越多,大规模的GPU并行挖矿提供了大量的算力,之后定制化的ASIC设备进一步与普通计算机拉开了差距,于是挖矿的难度也随着算力的增长急剧攀升,到现在你想拿普通计算机挖矿是没啥指望了。
行业安全资讯
剪贴板幽灵:币圈的神偷圣手
白帽汇安全研究院转载2018-10-11 17:54:40 390
摘要2018年4月,360互联网安全中心在PC平台首次监控到一类加密数字货币木马。该木马不断监控用户的剪贴板内容,判断是否为比特币、以太坊等加密数字货币地址,然后在用户交易的时候将目标地址改成自己的地址,悄悄实施盗窃,我们将其命名为“剪贴板幽灵”。由于攻击电子钱包能直接获取大量收益,PC上已经出了攻击电子钱包的木马。截至到2018年6月,360安全卫士共拦截了超过5万笔这类木马攻击,帮助用户挽回损失超过4千万。比特币钱包转账,只需要打开电子钱包,输入要转账的钱包地址和转账数量。“剪贴板幽灵”木马运用了剪贴板劫持技术,以替换钱包地址的方式达到窃取加密数字货币的目的。剪贴板的使用不需要用户授予额外
行业安全资讯