行业安全资讯
最新
  • 最新
  • 最热
通过猜测以太坊“弱私钥”窃取大量以太币
白帽汇安全研究院转载2019-04-24 19:04:57 40
去年夏天,Bednarek正在思考如何窃取以太币。他是一名安全顾问; 当时,他正在为一个客户工作,该客户从事的是盗窃猖獗的加密货币行业。Bednarek被以太坊吸引,尤其是因为它臭名昭著的复杂性和那些移动端可能产生的潜在安全漏洞。但他从最简单的问题开始:如果以太币的所有者用私钥存储他们的数字货币,私钥是一串不可猜测的78位数字串,用于保护隐藏在某个地址的以太币,它的值会是1吗?令Bednarek惊讶的是,根据记录以太坊所有交易的账本,他发现这个非常简单的私钥实际上曾经持有以太币。但是资金已经被转出了——几乎可以肯定是一个小偷,他早在Bednarek之前就猜到了一个值为1的私钥。毕竟,
如何利用CORS配置错误漏洞攻击比特币交易所
白帽汇安全研究院转载2019-04-24 14:38:20 61
原文:https://portswigger.net/blog/exploiting-cors-misconfigurations-for-bitcoins-and-bounties本文内容摘自我在AppSec USA大会上发表的演讲,准确来说,这里已经做了极大的简化。如果您有时间(或在阅读本文是遇到难以理解的内容)的话,我强烈建议您查看相应的幻灯片和视频。跨源资源共享(CORS)是一种放宽同源策略要求的机制,以使不同的网站可以通过浏览器进行通信。通常来说,人们普遍认为某些CORS配置是非常危险的,但具体到这些配置的细微差别及其含义,却很少有人能够正确理解。在这篇文章中,我将为读者展示如何从黑
投资者利用修改本地时间漏洞完成 TRXMarket IEO 抢购
白帽汇安全研究院转载2019-04-23 09:59:12 163
在本周波场数据中 TRXMarket 表现比较好,原因是 4 月 18 日波场去中心化交易所 TRXMarket 的 IEO 平台 LaunchBase 上线了项目 TRONAce(ACE),开盘当晚 ACE 涨了 8 倍。由于需要用 TRX 抢购,所以推动了 TRX 的成交量增长。但随后有爆料称,有投资者利用修改本地时间的漏洞,提前抢购完成了 IEO。根据爆料的视频,有投资者在抢购前 1 小时左右,将本地的电脑时间调后一小时,然后刷新网页将修改后的时间同步了,就能提前一小时下单抢购。目前 TRXMarket 尚未对此作出回应。
冲突的公链!来自 P2P 协议的异形攻击漏洞
白帽汇安全研究院转载2019-04-18 19:08:11 490
 作者:慢雾安全团队当我们谈论区块链时,总是离不开这些技术:分布式存储、P2P 网络和共识机制,本次我们要谈的问题就是出现在 P2P 对等网络协议上。异形攻击实际上是一个所有公链都可能面临的问题,我们用以太坊为例子说明。以太坊的 P2P 网络主要采用了 Kademlia (简称 Kad ) 算法实现,Kad 是一种分布式哈希表( DHT )技术,使用该技术,可以实现在分布式环境下快速而又准确地路由、定位数据的问题。 什么是异形攻击?首先,我们先定义一个同类链的概念,是指使用了和其它区块链相同或兼容协议的区块链系统。异形攻击又称地址池污染,是指诱使同类链的节点互相侵入和污染
IOST公链P2P远程拒绝服务漏洞
白帽汇安全研究院转载2019-04-16 19:16:24 591
 漏洞分析IOST公链使用Go语言开发,Go语言的make函数如果参数控制不当容易产生拒绝服务漏洞。在IOST的公链代码中搜索make,找到了一处貌似可以利用的地方。func (sy *SyncImpl) getBlockHashes(start int64, end int64) *msgpb.BlockHashResponse {     resp := &msgpb.BlockHashResponse{   &n
区块链安全—深入分析ATN漏洞
白帽汇安全研究院转载2019-04-15 16:58:19 626
作者:Pinging(先知社区)一、ATN介绍ATN作为全球首个区块链+AI项目,是一个去中心化的、无需授权的、用户自定义人工智能即服务(AIaaS)和使用接口的开放区块链平台。ATN公有链将引入DBot的Oracle预言机、跨链互操作技术,且通过石墨烯架构实现高并发TPS,侧重解决人工智能服务(AIaas)与EVM兼容的智能合约之间互操作性的问题。ANT旨在提供下一代的区块链平台,提供AIaaS人工智能即服务和智能合约,为各个DApp服务,让其可以具备调用人工智能能力,繁荣DBot生态。然而在2018年5月11日中午,ATN安全检测人员收到了异常的监控报告,并发现其ATN存在漏洞并遭受攻击。
波场DApp遭黑客围猎?1小时内1.7亿枚BTT被卷跑
白帽汇安全研究院转载2019-04-11 18:41:35 868
波场公链DApp市场高度繁荣的同时势必会引来黑客垂涎,而目前波场还未曾遭到过像EOS那样高强度的攻击。波场DApp也被黑客盯上了据DappReview监测,今日凌晨1点,波场DApp TronBank遭到假币攻击,1小时内被盗走约1.7亿枚BTT(价值约85万元)。区块链安全公司PeckShield数据显示,今天凌晨00:17,TCX1Cay开头的黑客创建了大量BTTX假币,并于凌晨00:25至01:00之间向多个地址转入共计4,000万个BTTX代币,并把假的BTTX洗成真的BTT代币,进而对TXHFhq开头的BTTBank游戏合约实施攻击。安全人员认为,黑客采用假币攻击方式,通过调用BTT
不用cookie 一个盲打储存XSS对“某btc平台”攻城略地
白帽汇安全研究院转载2019-04-08 11:44:04 1225
首先说一下,其实“这类”文章土司论坛是有的,只是大家很少去翻。今天简单的分享一下。前一阵一直在玩比特币,但是无奈又TM站在了人生的最高点,别问我为什么用“又”,WCTMD投了1500最后剩几十元。然后这次的目标是朋友推荐的一个站点,据说送币子,注册就送。。。这篇文章主要讲的是思路,还有XSS平台的使用。。。没有思路你只能止步不前。某日对某站点。然后我就随手测试一下放了一段XSS代码,然后没过多久发现,我的邮箱居然收到了XSS平台发来的信息,然后登录XSS平台一看,发现居然有收货,很是意外,这就是传说中的盲打XSS,然后简单的看了一下,如下图。既然有cookie,还有后台地址,那么尝试登录一下吧
Solidity Optimizer and ABIEncoderV2 Bug
白帽汇安全研究院转载2019-03-28 15:39:15 828
通过以太坊漏洞赏金计划,我们收到了关于新的实验性ABI编码器(名为ABIEncoderV2)中的一个缺陷报告。经研究,我们发现该组件存在一些相同类型的不同变化。本公告的第一部分详细解释了这个错误。新的ABI编码器仍然标记为实验性的,但我们认为这值得强调,因为它已经在主网上使用。此外,优化器中的两个低影响bug在过去两周内已经被确定,其中一个bug已经在Solidity v0.5.6修复。两者都是在0.5.5版本中引入的。详情请参阅本公告的第二部分。在0.5.7版本中,本文中提到的所有bug与漏洞都已经被修复。这里提到的所有bug都应该在涉及相关代码路径的测试中很容易看到,至少在使用0和非0值的
还原资产转移全过程:DragonEX 交易所被盗602万美元
白帽汇安全研究院转载2019-03-27 18:31:24 944
北京时间03月24日 凌晨,DragonEX 交易所发出公告称其平台数字资产被盗,并呼吁各方共同阻击黑客。从公告中可获悉DragonEX 交易所上BTC、ETH、EOS 等总共20 余种主流虚拟货币资产均被盗取,虽交易所官方未公布具体数额,但初步估计下来,此次交易所被盗,涉及币种之多,受损资产总额之大, 在整个区块链发展过程中实属少见。PeckShield 安全团队接收到DragonEX 交易所预警之后,立马着手分析『黑客』攻击全过程,并对链上资产转移全路径进行还原。经PeckShield数字资产护航系统初步统计发现,Dragon
以太坊钱包MetaMask惊爆隐私问题,默认广播用户ETH地址
白帽汇安全研究院转载2019-03-26 16:20:31 593
知名以太坊钱包MetaMask竟然一直在把用户的以太坊钱包广播到他们访问的网站上,并且允许第三方查看用户的ETH地址,甚至会检测用户的浏览活动。事实上,这件事源于有人在GitHub上发现了MetaMask代码可能存在问题,因为他们内置的“隐私模式”只能通过手工才能打开,而默认情况下则是关闭的。这意味着,用户如果不注意的话,他们发送的消息就会被直接广播到自己访问的网站上。该问题很快引起了人们的关注,因为广告商或追踪器很可能已经通过MetaMask检测用户的以太坊地址,而用户的浏览活动也很可能会被窥探到。发现该问题的GitHub匿名用户写道:“MetaMask牺牲了每个人的隐私,像亚马逊、谷歌、P
DVP:DragonEx交易所被攻击事件预计总损失高达五百多万美元
白帽汇安全研究院转载2019-03-26 14:19:32 370
3月26日,DragonEx公布了被盗资产的黑客钱包地址,其中涉及到的加密货币高达20种,除此之外还涉及部分ERC20 Token。根据DVP安全团队调研分析,在本次事件中DragonEx交易所被盗资产总价值不少于500万美元,其中涉案金额较大的资产有USDT、ABBC、EOS、BTC、ETH,USDT被盗约1464319枚(目前价值146万美元),ABBC被盗约6274251枚(目前价值124万美元),EOS被盗约205392枚(目前价值75万美元),BTC被盗约135枚(目前价值53万美元),ETH被盗约2737枚(目前价值约37万美元)。 本次事件所涉及的币种之多,是前所未有的。在分析的