行业安全资讯
最新
  • 最新
  • 最热
硬件钱包TREZOR被发现可以在5分钟内提取密钥种子,目前该漏洞还没办法通过补丁修复
白帽汇安全研究院转载2019-07-15 19:49:03 2408
导语:在这篇文章中,我们分析了物理密钥提取攻击是可以用低成本的设置快速执行的。TREZOR是一个硬件钱包,属于一种高科技的数据加密存储器,该产品产自捷克。它具有高安全性,同时又不会以牺牲方便性为代价。与冷储存(cold storage)不同,TREZOR在连接到一个在线设备时是可以实现交易的。这意味着即便是在使用不安全的电脑的时候,使用比特币都是十分安全的。目前,TREZOR已是业内公认的研发最早最谨慎最安全的加密存储器,已经被全球性数字货币玩家验证过的可靠品牌。不过,在今年的MIT比特币世博会上,硬件钱包厂商Ledger在会议现场演示了针对同行Trezor的五种攻击方式,此后,该公司还在其官
0x协议漏洞原理剖析:恶意挂单可扰乱正常交易秩序
白帽汇安全研究院转载2019-07-15 19:46:17 2177
昨天,去中心化交易所协议 0x 项目方称其发现严重安全漏洞。PeckShield 安全人员跟进分析发现,0x Exchange 合约在校验订单签名时存在缺陷,导致攻击者可以进行恶意挂单,进而将用户的数字资产低价卖出,扰乱正常的交易秩序。所幸项目方及时发现并修复问题,截至目前,尚未有真实攻击发生,并没有产生数字资产损失。  背景北京时间2019年07月13日,去中心化交易所 0x 协议项目方称其发现严重安全漏洞,并紧急关闭了 0x Exchange v2.0 合约,随后部署了修复后的合约。受此影响,基于 0x 协议的交易所及钱包,包括 Radar Relay,Tokenlon
网友爆料ZB出现安全漏洞 黑客盗取密码后可以绕过谷歌验证划转资金
白帽汇安全研究院转载2019-07-02 15:16:22 1278
网友微信“Agony.恨水”爆料称,ZB交易平台出现安全漏洞,黑客利用ZB平台的一键划转功能,将用户ZB账户资产盗取至BW平台提现。据另一网友“强哲”表示,一键划转功能可以绕过谷歌验证,直接将用户资产转移至ZB的合作平台。黑客即是通过这种方式,将被盗ZB账户的资产直接划转至其合作平台,并在该合作平台绑定自己的谷歌认证后进行提现操作。该网友同时表示,ZB账户密码可以直接用于登录其合作平台,在其合作平台亦可直接进行ZB资产的一键划转。
深挖 Gatehub 瑞波币被盗事件
白帽汇安全研究院转载2019-07-02 15:04:10 1145
6 月 1 日,XRP Forensics 发现了 201,000 瑞波币(通过交易F6E9E1385E11649A6C2F88723A821AF209B54030886539DCEF9DDD00E6446948)被盗并立即开展了调查。事实证明,被抢劫的账户是由 Gatehub.com 管理的,违规账户(r9do2Ar8k64NxgLD6oJoywaxQhUS57Ck8k)从其他几个瑞波币账户偷走了大量资金,而这几个账户可能也是由Gatehub.com管理的。同一天,XRP Forensics 与 Gatehub 取得了联系,提醒他们系统存在潜在的安全漏洞,同时继续对这起盗窃事件展开独立调查,
TRON漏洞:通过耗尽内存和CPU来引发DoS
白帽汇安全研究院转载2019-05-21 15:12:35 2173
简介:单个请求向/wallet/deploycontract提交几兆数据包,将会引发CPU密集型长解析并占用大约10分钟CPU,同时仍然在堆中保存几兆字节码。发起足够的请求(假设1K-10K取决于可用内存),足以使用所有可用线程来处理传入的HTTP请求,这将填满内存并导致产生拒绝服务。描述:*从一个很大的带有大指数的十进制数中获取longValue非常慢。例如new BigDecimal("10000000e100000000").longValue();  这段代码大约需要2-3分钟才能在较新的macbook pro中运行完成。*/wallet/deployco
MakerDAO治理合约升级背后的安全风波
白帽汇安全研究院转载2019-05-21 14:48:38 2035
北京时间 2019 年 05 月 07 日,区块链安全公司 Zeppelin 对以太坊上的 DeFi 明星项目 MakerDAO 发出安全预警,宣称其治理合约存在安全漏洞,希望已锁仓参与投票的用户尽快解锁 MKR 提并出。MakerDAO 的开发者 Maker 公司亦确认了漏洞存在,并上线了新的治理合约,并宣称漏洞已修复。该安全威胁曝出后,PeckShield 全程追踪了 MKR 代币的转移情况,并多次向社区发出预警,呼吁 MKR 代币持有者立即转移旧合约的 MKR 代币。截止目前,绝大多数的 MKR 代币已经完成了转移,旧治理合约中尚有 2,463 个 MKR 代币(价值约 128 万美元)
全国大学生信息安全竞赛—区块链题目分析
白帽汇安全研究院转载2019-05-05 19:32:09 3155
作者:Pinging(先知社区)一、前言前几天全国大学生信息安全竞赛初赛如期进行,在这次比赛中也看到了区块链题目的身影。所以我将题目拿来进行分析,并为后续的比赛赛题提供一些分析思路。由于本次比赛我并没有参加,所以我并没有Flag等相关信息,但是我拿到了比赛中的相关文件以及合约地址并在此基础上进行的详细分析,希望能帮助到进行研究的同学。二、题目分析拿到题目后,我们只得到了两个内容,一个是合约的地址,一个是broken.so。pragma solidity ^0.4.24; contract DaysBank {    &nb
通过猜测以太坊“弱私钥”窃取大量以太币
白帽汇安全研究院转载2019-04-24 19:04:57 2525
去年夏天,Bednarek正在思考如何窃取以太币。他是一名安全顾问; 当时,他正在为一个客户工作,该客户从事的是盗窃猖獗的加密货币行业。Bednarek被以太坊吸引,尤其是因为它臭名昭著的复杂性和那些移动端可能产生的潜在安全漏洞。但他从最简单的问题开始:如果以太币的所有者用私钥存储他们的数字货币,私钥是一串不可猜测的78位数字串,用于保护隐藏在某个地址的以太币,它的值会是1吗?令Bednarek惊讶的是,根据记录以太坊所有交易的账本,他发现这个非常简单的私钥实际上曾经持有以太币。但是资金已经被转出了——几乎可以肯定是一个小偷,他早在Bednarek之前就猜到了一个值为1的私钥。毕竟,
如何利用CORS配置错误漏洞攻击比特币交易所
白帽汇安全研究院转载2019-04-24 14:38:20 1520
原文:https://portswigger.net/blog/exploiting-cors-misconfigurations-for-bitcoins-and-bounties本文内容摘自我在AppSec USA大会上发表的演讲,准确来说,这里已经做了极大的简化。如果您有时间(或在阅读本文是遇到难以理解的内容)的话,我强烈建议您查看相应的幻灯片和视频。跨源资源共享(CORS)是一种放宽同源策略要求的机制,以使不同的网站可以通过浏览器进行通信。通常来说,人们普遍认为某些CORS配置是非常危险的,但具体到这些配置的细微差别及其含义,却很少有人能够正确理解。在这篇文章中,我将为读者展示如何从黑
投资者利用修改本地时间漏洞完成 TRXMarket IEO 抢购
白帽汇安全研究院转载2019-04-23 09:59:12 1416
在本周波场数据中 TRXMarket 表现比较好,原因是 4 月 18 日波场去中心化交易所 TRXMarket 的 IEO 平台 LaunchBase 上线了项目 TRONAce(ACE),开盘当晚 ACE 涨了 8 倍。由于需要用 TRX 抢购,所以推动了 TRX 的成交量增长。但随后有爆料称,有投资者利用修改本地时间的漏洞,提前抢购完成了 IEO。根据爆料的视频,有投资者在抢购前 1 小时左右,将本地的电脑时间调后一小时,然后刷新网页将修改后的时间同步了,就能提前一小时下单抢购。目前 TRXMarket 尚未对此作出回应。
冲突的公链!来自 P2P 协议的异形攻击漏洞
白帽汇安全研究院转载2019-04-18 19:08:11 1766
 作者:慢雾安全团队当我们谈论区块链时,总是离不开这些技术:分布式存储、P2P 网络和共识机制,本次我们要谈的问题就是出现在 P2P 对等网络协议上。异形攻击实际上是一个所有公链都可能面临的问题,我们用以太坊为例子说明。以太坊的 P2P 网络主要采用了 Kademlia (简称 Kad ) 算法实现,Kad 是一种分布式哈希表( DHT )技术,使用该技术,可以实现在分布式环境下快速而又准确地路由、定位数据的问题。 什么是异形攻击?首先,我们先定义一个同类链的概念,是指使用了和其它区块链相同或兼容协议的区块链系统。异形攻击又称地址池污染,是指诱使同类链的节点互相侵入和污染
IOST公链P2P远程拒绝服务漏洞
白帽汇安全研究院转载2019-04-16 19:16:24 1871
 漏洞分析IOST公链使用Go语言开发,Go语言的make函数如果参数控制不当容易产生拒绝服务漏洞。在IOST的公链代码中搜索make,找到了一处貌似可以利用的地方。func (sy *SyncImpl) getBlockHashes(start int64, end int64) *msgpb.BlockHashResponse {     resp := &msgpb.BlockHashResponse{   &n