行业安全资讯
最新
  • 最新
  • 最热
EOS智能合约常见漏洞实践
白帽汇安全研究院原创2018-12-10 11:38:03 190
关于以太坊智能合约的漏洞以及其复现的文章已经很多了,但是EOS在这方面的资料很少的,本文主要参考慢雾《EOS 智能合约最佳安全开发指南》中的示例来进行一个实践性的学习,引用了其中部分内容。复现漏洞的过程相对于以太坊来说还是比较麻烦的,这主要与目前EOS的开发生态相对于以太坊较为落后有关。实验环境环境有两种选择:1、搭建一条私有链    2、使用测试网为了能够快速完成复现,本文使用kylin测试网作为实验环境。然后使用js4eos(https://github.com/itleaks/js4eos)来进行创建账号、编译合约、部署合约、领取EOS等。这里就不再赘述,直
公链安全之亦来云多个远程DoS漏洞详解
白帽汇安全研究院转载2018-12-07 18:52:02 370
关于区块链安全的资料,目前互联网上主要侧重于钱包安全、智能合约安全、交易所安全等,而很少有关于公链安全的资料,公链是以上一切业务应用的基础,本文将介绍公链中比较常见的一种的DoS漏洞。0x1 知识储备公链客户端与其他传统软件的客户端没有太大区别,在传统软件上会遇到的问题在公链客户端中都有可能遇到。所以要让一个客户端发生Crash的常见方法有:使程序发生运行时异常,且这个异常没有被容错,例如数组越界、除以0、内存溢出等。使系统环境不满足程序运行的要求,例如创建大数组造成的OOM、无限递归造成的OOM等多线程死锁其他公链节点可被轻易攻击下线的危害是巨大的,比如会使网络算力骤减,从而导致51%攻击等
诈骗疯狂敛财!币安刚发布推出去中心化交易平台新闻,就有人仿冒!?
白帽汇安全研究院转载2018-12-06 12:29:31 487
近年来每个风口都会涌现出来新的商机,商机的背后会隐藏着各种不为人知的秘密。面对飞速变化的环境,切莫掉以轻心,安全交易事故正在悄悄侵犯数字投资者的钱包。今年已经出现过多起诈骗,类似诈骗早在Proofpoint也有国外研究者分析曝光过,针对Twitter对话展示诈骗的详细过程;诈骗方不仅可以冒充项目人员、名人、社交账户等来进行诈骗活动,而且还高仿的有模有样。Proofpoint往期分析链接:https://www.proofpoint.com/us/threat-insight/post/money-nothing-cryptocurrency-giveaways-net-thousands-sc
Bctf Blockchain 两则详解——带你玩转区块链
白帽汇安全研究院转载2018-12-03 19:55:53 740
近来各大ctf中,纷纷冒出了一个新题型——Blockchain,从HCTF开始到BCTF,作为一只web狗,还是要紧跟时代学习一下(毕竟web狗啥都要学),今天我们就来详细讨论一下这两题的解法,以及用到的知识点。EOSGame题目地址为:This contract is at 0x804d8B0f43C57b5Ba940c1d1132d03f1da83631F in Ropsten network.这题是给了合约代码的,先贴一下合约代码:contract EOSToken{     using SafeMath for&nb
千万下载量开源软件托管给陌生人 植入恶意代码窃取用户密币
白帽汇安全研究院转载2018-11-27 17:50:56 1183
  0x00 事件背景2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。360-CERT从该Issuse中得知,大约三个月前,由于缺乏时间和兴趣,event-stream原作者@dominictarr将其开发交给另一位名为@Right9ctrl的程序员。随后,Right9ctrl发布了包含新依赖关系的Event-Stream 3.3.6 – Flatmap-Stream0.1.1。
黑客向热门 JavaScript 库注入恶意代码 窃取 Copay 钱包的比特币
白帽汇安全研究院转载2018-11-27 10:51:34 1578
尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得 ( 合法 ) 访问热门 JavaScript 库,通过注射恶意代码从 BitPay 的 Copay 钱包应用中窃取比特币和比特币现金。这个可以加载恶意程序的 JavaScrip 库叫做 Event-Stream,非常受开发者欢迎,在 npm.org 存储库上每周下载量超过 200 万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员 Right9ctrl。Event-Stream,是一个用于处理 Node.js 流数据的 JavaScrip
区块链安全—详谈合约攻击(五)
白帽汇安全研究院转载2018-11-27 10:08:18 1062
作者:Pinging(先知社区)一、前言在上文中,我们详细介绍了sened()函数,并且用相关实例介绍了send()函数。而倘若Solidity代码开发者进行编写时没有注意相关逻辑,那么就有可能导致变量覆盖顺序不当而产生安全问题。尤其是当函数失败回滚但系统函数却没有发觉,仍然继续执行后续代码。而本文我们将讲述合约安全中经典的“重入攻击”。简单来说,此类型攻击带来的危害极大,并且开发者在开发智能合约的时候很容易产生此问题。所以我们不得不对这个问题进行详细的分析以便我们能够在后续的开发中有所避免。除此之外,我们还将视野移至一些容易出问题的函数中,不过这些语句看似常用,但是其中蕴含一些安全问题。我们
区块链安全—详谈合约攻击(四)
白帽汇安全研究院转载2018-11-23 10:04:47 1268
作者:Pinging(先知社区)一、前言根据我们前文的描述,我们现在已经了解了许多因智能合约代码其本身函数特性的原因而导致的安全隐患。例如call()函数本身就是为了方便开发者进行合约直接的相互调用而开发出来的,然而却被攻击者利用来绕过检查从而进行攻击。而本文我们分析的安全问题也是与Solidity函数语法有关。由于开发人员对某些函数隐含的机制不熟悉,所以导致了代码中过滤不严格或者逻辑上存在漏洞的情况。尤其在转账函数中,此类问题就显得更为严重。二、Solidity中的转账函数在介绍安全模型问题之前,我们先简单的介绍一下Solidity中的转账函数。在讲解之前,我们先普及一下相关知识。addre
Gas(矿工费)滥用漏洞的最新披露
白帽汇安全研究院原创2018-11-22 12:48:11 2784
Gas是什么?在英文中gas有燃气的意思,于是以太坊很形象地引用了这个词,在以太坊中可以把gas理解为“交易手续费”也可以理解为“矿工费”等等,凡是要上链的每一笔交易都必须支付手续费,以太坊网络就像是一个世界计算机,使用这个计算机的资源是必须付出相应的费用的。基于这种经济模型,以太坊还衍生出来两个概念:gas limit和gas price。顾名思义,这两个概念可以理解为“燃气”上限和“燃气”单价,就跟开车一样,如果“燃气”上限给低了,就必然无法到达目的地,在以太坊中体现为交易失败且还白支付了矿工费,为了避免这种情况,现在的一些热钱包在进行交易之前都会先计算该笔交易需要消耗的gas,然后以此预
以太坊EVM动态数组越界导致OOM分析
白帽汇安全研究院转载2018-11-21 12:15:12 1339
solidity 动态数组原理分析solidity 和Python ,JavaScript 一样,支持动态数组.我们知道,在Python 和JavaScript 里,动态数组内部的对象(比如:Length ,Slice() 等)都是底层设计好的对象结构,提供接口到运行时库来解析执行.那么在solidity 里面是怎么样表达动态数组的呢?我们从一段示例代码来深入:pragma solidity ^0.4.24; contract test {     function a(uint[] b
区块链安全—详谈合约攻击(三)
白帽汇安全研究院转载2018-11-21 10:02:36 1178
作者 :Pinging(先知社区)一、前言上一篇文章中我们讲述了以太坊中智能合约的详细概念,DApp应用等。除此之外,我们还讲述了EVM虚拟机硬性限制安全方面的相关,包括了一些变量类型、Gas限制以及常见的调用堆深度限制问题。而上述的问题虽然常见,但是利用的空间并不是太大,属于开发人员对函数底层了解的不够充分导致的。而在本文中,我们需要向大家提出一个用途非常广泛的函数,而此函数由于在代码中出现的次数十分频繁,所以其安全性极为重要。而本文通过模型分析、攻击案例的分析已经一些开发点出发,向开发人员与安全分析人员提供一些攻击参考,也帮助大家在开发相应应用的过程中对其有所注意。二、Call函数简介简单
某交易平台系统存在高危漏洞
白帽汇安全研究院原创2018-11-20 17:56:25 1880
近期DVP去中心化漏洞平台(https://dvpnet.io)收到一个关于区块链虚拟货币交易平台系统的通用高危SQL注入漏洞。根据DVP平台统计,目前使用该系统的交易平台超过100家。该漏洞可使攻击者绕过交易所原本的限制,违规修改信息,或在未授权的情况下删除交易所的数据。经DVP平台研究分析,该漏洞由于交易平台系统中部分业务单元模块数据处理存在缺陷导致,进行细粒度化对比后发现此交易平台存在问题模块的系统源码有在网络中流转或买卖交易,经调查发现网络中公开流传此系统的源码均以”币胜网虚拟货币交易平台”的名称命名,时间最早可追溯至2016年,具体系统开发商相关信息不得而知,目前在互联网上搜索任然可