行业安全资讯
最新
  • 最新
  • 最热
巴西Mercado Bitcoin交易所存在数据库未授权访问,可致服务器被控制
白帽汇安全研究院转载2019-02-19 18:43:52 147
据DVP漏洞平台消息,近日,收到安全研究人员提交的巴西交易所 Mercado Bitcoin 数据库未授权访问漏洞,攻击者无需进行任何验证就可直接控制数据库,并可通过此数据库进行深入危害,比如增删改数据库内容或写出恶意脚本到服务器上危害服务器安全。安全研究人员已在数据库中发现用来恶意挖矿的恶意代码。对此安全事件,DVP漏洞平台已第一时间通知该平台进行修复。
以太坊UDP流量放大反射DDOS漏洞
白帽汇安全研究院转载2019-02-18 17:11:24 434
 漏洞影响该漏洞表面上是一个放大5倍udp反射DDOS漏洞,但其对ETH的P2P网络的影响是非常大的,但是这个漏洞有很大的两个副作用,一个是ETH的发现节点池会不断的被堆满,导致正常节点无法加入,二是可屏蔽被攻击节点无法探索到任意子网的节点。 漏洞分析先让我们来看看ETH P2P发现协议的文档,在https://github.com/ethereum/devp2p/blob/master/discv4.md这篇ETH P2P发现协议文档里是有对udp反射DDOS做防御的。Pong Packet (0x02)packet-data = [to, ping-hash, expi
以太坊parity客户端全版本远程DoS漏洞分析
白帽汇安全研究院转载2019-02-15 14:52:22 419
前言:本文由五个章节组成,分别是Parity相关介绍、UTF-8编码是什么、Rust危险的字符串切片、漏洞分析、修复方案和总结。今天我们将由浅入深地为各位读者展示以太坊的parity客户端全版本远程DoS漏洞分析。一、Parity相关介绍以太坊Parity客户端是除Geth之外使用量最高的一款以太坊客户端,使用的是Rust语言。根据ethernodes最新数据显示:以太坊parity客户端在整个以太坊网络中占30%,Geth客户端占40%。在今年2月3日时,这款客户端官方发表公告称修复了一个远程拒绝服务的严重漏洞,这个漏洞影响2.2.9之前的版本和2.3.2-beta之前的版本,而2.2.9和
详解:君士坦丁堡升级再遇安全“漏洞”,为何官方照常升级?
白帽汇安全研究院转载2019-02-13 21:02:32 514
就在距离最新的以太坊君士坦丁堡升级不到两周的时候,以太坊基金会传来消息,其开发人员发现了新的漏洞。开发人员Jason Carver称,“一个名为Create2的新功能可以允许开发人员替换自毁契约,从而更改规则。”,但是据悉,最新的升级日期并不会因为这一漏洞而改变。那么,Create2这个新功能到底引入了怎样的问题?为什么发现了一个“漏洞”,以太坊升级却照常进行呢?接下来,还是请我们的老朋友,北京链安的安全专家Hardman为大家做深入解析事实上,这不是君士坦丁堡升级第一次出现安全漏洞问题,但是不同于上一次君士坦丁堡升级引发的SStore的可重入问题。SStore安全问题是对已有操作码的内部
区块链安全—当游戏遇见区块链机制
白帽汇安全研究院转载2019-02-13 13:53:42 633
作者:Pinging(先知社区)一、前言本文包括两个方面的漏洞安全介绍,第一部分我将以Fomo3D合约为原型,讲述一下由于合约的打包机制而导致的真实环境中的漏洞。第二个方面我会根据以太坊的特性,对漏洞的成因进行详细的分析。二、Fomo3D事件攻击1 Fomo3D介绍在介绍漏洞之前,我们先简单的介绍一下Fomo3D是什么。在我看来,Fomo3D的设计者是在深刻研究过博弈和人的贪婪性之后而设计的游戏。Fomo3D 是一款直接在以太坊网络上运行的分散式,无信任的区块链游戏。 该游戏由智能合约精心编程和部署,本身完全去中心化,不受任何人控制,它将自动运行直到以太坊网络死亡,无论底池有多么诱人,只会
推特用户称比特大陆S15固件中存在漏洞
白帽汇安全研究院转载2019-02-13 10:47:06 360
名为“James Hiliard”的Twitter用户在推特上称,发现比特大陆S15固件中存在的漏洞, 并且@ 00whiterabbit编写/测试了攻击代码。等比特大陆获得GPL许可,他将指出其漏洞,以便其修复漏洞。并在推特上发布相关视频。该用户表示,该漏洞可以完全远程利用,并可以在使用或不使用ssh的情况下进行。
以太坊parity客户端存在拒绝服务漏洞,目前已修复
白帽汇安全研究院转载2019-02-11 20:48:58 403
2月3日,我们收到了一些报告,攻击者可以向公共的Parity Ethereum节点(2.2.9之前的版本和2.3.2-beta之前的版本)发送一个特制的RPC请求,使该节点将崩溃。谁受影响了?受影响的Parity Ethereum节点是将JSONRPC作为公共服务(例如,Infura,MyEtherWallet,MyCrypto和其他公共可访问的基础架构)服务的节点。谁没有直接受到影响?不向互联网上的第三方提供JSONRPC的Parity Ethereum节点 - 即大多数节点 - 不直接受到影响。默认模式是不公开提供JSONRPC。尽快修复可用更新2.2.9-stable和2.3.2-bet
秘密修补后再公布,Zcash含有可无限伪造币的安全漏洞
白帽汇安全研究院转载2019-02-11 20:30:54 551
Zcash加密货币团队对外公布去年3月在Zcash加密货币中发现的一个安全漏洞,可允许黑客无限制地伪造Zcash,Zcash表示该漏洞已于10月修补完成,同时相信漏洞并未遭到开采。Zcash团队的密码专家Ariel Gabizon是在一份描述发行Zcash所采用的zk -SNARK零知识证明结构的论文中发现了该漏洞,该漏洞允许黑客在各种依赖该论文所形成参数的任何系统上创建伪造的屏蔽值,由于它非常的微妙,因此躲过了各路专家在多年来的分析,也顺利通过Zcash密码团队的检验。根据该团队的说明,论文中所提及的参数设置算法,可错误地产生违反证明系统健全性的额外元素,这些未被证明者使用的额外元素将允许作
PeckShield: 紧急预警FastWin被攻击 游戏免遭巨额损失
白帽汇安全研究院转载2019-02-01 12:35:42 730
1月30日23:16-23:47之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏FastWin发起连续攻击。监控到攻击者进行攻击后,PeckShield正第一时间联系开发者紧急关停游戏,及时止损,避免开发者造成更大的损失。 目前PeckShield安全人员正持续跟进并做攻击后续分析,敬请广大DApp开发者警惕安全风险。
区块链安全—守株待兔的蜜罐合约
白帽汇安全研究院转载2019-01-28 10:22:33 864
作者:Pinging(先知社区)一、前言在前面的稿件中我们更多的会去选择分析如何在已知合约中寻找存在的漏洞,并利用漏洞以达到获取非法token的目的或者利用漏洞进行作恶。研究安全的读者应该都清楚,在进行安全防御的时候,我们除了会对已经发生的安全事件进行跟踪之外,我们还会自行设置一个陷阱,让攻击者自己掉入我们布置好的陷阱中以便能让我们更好的分析作恶者的手法。而这个陷阱又被称为蜜罐。在本文中,我们就针对智能合约的蜜罐进行分析。而这里的蜜罐不同于上面的传统的web中的蜜罐概念。在这里我们的蜜罐通常是攻击者编写的某种合约并部署在网络上,面向的对象是那些对Solidity语言不能够深入理解的一类投机用户
PoS币种需警惕新型“假权益”攻击
白帽汇安全研究院转载2019-01-24 15:06:06 1077
据DVP安全团队观察,国外“去中心化系统实验室”披露一则使用PoS共识的区块链系统或会存在严重漏洞。报告表示,该漏洞至少影响26个PoS币,其中5个在通知后已修复。据悉,该漏洞允许攻击者利用“假权益”攻击,以很小的成本导致网络中任何节点崩溃。公链一旦发生大量节点崩溃就存在51%攻击的风险,持该类币种用户需保持警惕。目前还有以下币种没有进行修复(Exploitable内容为✔代表已修复):
瞄准区块链的“赚钱”插件
白帽汇安全研究院转载2019-01-24 12:03:44 671
前不久,我在网上无意中看到了一个能“赚钱”的区块链项目。它承诺只要你安装一个指定的浏览器插件,那么你的每笔区块链交易都会给你5%的现金返还。这听起来太过美好,让我完全不敢相信。这个项目中的Chrome插件的id为liachincjagnalnmahaioaogkngbmhf(CCB cash),其显示已有181个用户。当然,这个插件现在已经找不到了。自然而然,我检查了它的代码——不出所料,“赚钱”是不可能的。这个恶意插件主要会对以下区块链币种产生影响:BTC、ETH、BCH、BNB、LTC、XRP、ETC。它会要求什么权限?第一次安装这个浏览器插件时,它要求对多个域(包括GitHub、Exmo