5月29日,360公司Vulcan(伏尔甘)团队宣布发现EOS的一系列高危安全漏洞。其中部分漏洞可以在EOS节点上远程执行任意代码,也就是说,黑客可以通过远程攻击,直接控制和接管EOS上运行的所有节点。简单地说,就是普通用户手里的EOS,甚至整个加密货币市场都会遭殃。
5 月 29 日,360 公司宣布,Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。
作为后起之秀,EOS咄咄逼人,全球超级节点竞选更是来势汹汹,甚至一度鼓吹其主网上线后将全面取代以太坊,坐上币圈的第二把交椅。
回顾2018年,网络犯罪分子通过不断升级攻击手段,进一步提高攻击成功率并加速感染设备的数量。凭借拓展攻击渠道和变换手段,发动TB级别DDoS攻击、瞄准区块链各节点、入侵IoT设备,都为现阶段的网络安全防护蒙上一层阴影。在网络安全环境和形势的持续变化中,如何切实有效的制定安全策略,构建出由内而外的安全生态体系,形成各环节协同高效的主动防护能力,变得至关重要。
从The DAO到BEC,SocialChain,Hexagon,再到EOS漏洞,“智能合约”已经成为区块链安全的重灾区。智能合约安全漏洞频现并非偶然,其落地推广可能还需经历一个漫长的技术突破期。
最近,我们在审计客户合约时发现:EOS代币合约存在整型溢出等问题,部分合约实现不够严谨。
又到了熬夜看球喝啤酒的快乐日子了!昨晚,有多少小伙们跟斗哥一样,顶着黑眼圈看完了世界杯首场比赛!
BM刚刚在eos开发者群里对360今天的发布做出了回应:今天中国的漏洞新闻是一个FUD即制造恐慌,因为该漏洞早在被发布前就已经修复了,而且是一个较为常见的漏洞,但是bm称该漏洞并不能改写可执行内存,且不能获得root权限,除非部署节点时就已经是以root用户身份来运行。
2018年4月28日,成都链安科技向巴比特透露,其研发的面向区块链形式化验证平台VaaS(Verification as a Service)检测发现,基于EOS区块链的代币合约同样可能存在BEC代币合约类似的整数溢出漏洞。
在区块链的创业圈,人们对青年才俊偶像派、改变世界理想派以及发达致富现实派从来不陌生,他们有的是新人,有的是老兵,通常都怀着高尚的「比特币信仰」和对自己能力的自信粉墨登场。然而在这样一个舞台上,有一波人的发声最少,却不容忽视,那就是脚踏实地实力派。
比特币生态包括 BTC 以及其数量众多的分叉币,BTC 是加密数字货币的开山鼻祖,拥有最为广泛的共识。堪称1.0时代。
对于制造伪 EOS 以次充好,其实只需要检查发行方是否为 eosio,或者调用相关合约查看代币信息,但是检查代币操作依然不够严谨的情况下又会产生更多的变体漏洞,导致遭受变体攻击的风险,所以 EOS 智能合约中的代码非黑即白,切不可模棱两可。
我们用十五期内容结束了对以太坊智能合约常规漏洞、高危漏洞的分析和总结。纵观整个以太坊安全生态发展历史,有太多的教训和痛楚值得我们铭记。
攻击者可以通过发布包含恶意代码的“智能合约”,经过一系列的操作之后,控制区块链网络中的所有节点,从而为所欲为。从The DAO到BEC,SocialChain,Hexagon,再到这几天的EOS漏洞,“智能合约”已经成为区块链安全的重灾区。
这里是 6 月 24 日的每日1句话新闻晚报,只需1分钟,看看全球最热、最新的区块链新闻。
EOS的目标是做一款超越以太坊的区块链操作系统,号称实现“百万TPS”,解决当前区块链网络性能差、扩容困难、开发难度高、交易费用贵、安全性差、跨链差等问题。
5 月 29 日,据 360 安全卫士官方发布,360 Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取 EOS 超级节点的密钥,控制 EOS 网络的虚拟货币交易
区块链行业日新月异,发展迅猛,各个公链及项目方奇思妙想层出不穷。俗话说,玩是人的天性,将数字货币与游戏结合,运用游戏的机制吸引投资者参与到互动中来的想法以标新立异、推陈出新的姿态引领了最近的潮流。各种区块链游戏聚集大量的虚拟货币,价值动辄上千万,承诺下的丰厚回抱吸引了越来越多的目光,投资者们跃跃欲试,人人都想充当“头号玩家”。
区块链(Blockchain)是比特币的一个重要概念,它本质上是一个去中心化的数据库,同时作为比特币的底层技术。区块链是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一次比特币网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。
「人物志」为区块链大本营(ID:blockchain_camp)着力打造的人物栏目,以「趣味而不失专业,可读而不失深度」为宗旨,每期邀请区块链领域的顶级专家和开发者就行业、投融资、开发、案例、项目实践等展开探讨。 作为以太坊生态的核心,智能合约这几年发展迅速。最早的智能合约,可以追溯到1995年,由密码学家尼克萨博首次提出。智能合约在多方参与、复杂交易的场景中有明显优势。 然而,近期随着智能合约安全问题的频繁出现,智能合约的劣势也愈发明显,包括智能合约如何对实体资产进行控制,从而保证其有效地执行合约;以及如
这里是 8 月 2 日的每日1句话新闻晚报,只需1分钟,看看全球最热、最新的区块链新闻。
正如我们前文所得到的结论,目前的区块链应用包括游戏类DApp市场整体状况都不容乐观,但依然有非常出挑的应用时而刷爆我们的朋友圈,无论是哪一种类型,它们至少在DApp领域脱颖而出,获得了用户获得了营收,也算在区块链落地方向上撕开了一道入口,让更多想要布局的团队看到了希望。
这个就不多说了,漏洞细节,就是当时eos版本中的 asset 类的乘法存在 检查溢出无效的问题。 而代码中,依赖 asset 的代码做溢出检查,或者压根就没考虑做溢出检查。 导致了整型溢出,出现了致命而无法修复的bug。
Log4j2 这是没完没了了,栈长以为《玩大了!Log4j 2.x 再爆雷。。。》 Log4j 2.16.0 是最终终结版本了,没想到才过多久又爆雷了:
这里是 7 月 24 日的每日1句话新闻晚报,只需1分钟,看看全球最热、最新的区块链新闻。
据IMEOS消息,3月29日,EOSIO合约v1.6.0发布,REX(The Resource Exchange)的说明和部署为此版本重点发布内容。REX是一个CPU和NET租赁市场,区块链用户可以从REX池租用CPU和NET,以满足其资源需求。
其实呢,这个出了有一段时间了,如果刚刚看到,肯定是后知后觉,大概,是刚看到了下面一篇中文文章。
这里是 10 月 15 日的每日1句话新闻晚报,只需1分钟,看看全球最热、最新的区块链新闻。
点击关注公众号,Java干货及时送达 最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态: Log4j 2.3.1 发布!又是什么鬼?? 在 Log4j2 漏洞发生的同时,Logback 也未能幸免: Logback 也爆雷了,惊爆了。。。 Java技术栈群里有小伙伴讨论 Log4j 1.x 应该没漏洞: 栈长之前说过,Log4j 1.x 和 Logback 是能规避这个核弹级漏洞,很多小伙伴可能还在暗暗窃喜,没错,但也有错,Log4j
随着现代化信息技术和应用的快速发展,数字资产这种以计算机信息技术为基础的货币形式应运而生。其可追溯、防伪造、防篡改的特性,提升了交易安全性,2019年已成为业界关注的热点,发展十分迅速。
2018年5月11日ATN Token遭受恶意攻击(详见:https://atn.io/resource/aareport.pdf),攻击者利用DSAuth库与ERC223搭配使用具有的混合漏洞,通过精心构造的输入,让ATN主动调用合约的setOwner函数,将攻击者的指定地址设置为ower,窃取了ATN的所有权,窃取所有权之后,攻击者进行了窃取代币操作。
我记得上一次Lo4j2 爆雷之后,部分朋友给出的解决方案之一,就是替换 Lo4j2 为 Logback。
11日上午Beosin成都链安技术团队作出初步分析,判断该次假币攻击事件主要原因,在于合约没有严格验证代币的唯一标识符代币ID,错误地将攻击者自己发行的无价值代币识别为价值85万元的BTT代币,从而造成了损失。
智能合约安全问题一直是区块链技术体系中探讨得比较多的话题之一。无论是以以太坊 EVM 虚拟机为代表的智能合约体系,还是以 EOS WASM 虚拟机为代表的智能合约体系,都或多或少地暴露过不同类型的智能合约漏洞。这些漏洞不仅使得项目方和用户损失惨重,而且也让用户对区块链的安全性产生了质疑。
2019年,金融行业逐渐从爆雷潮的动荡趋于平稳。面对移动金融、区块链等新趋势的发展、传统金融数字化转型,网络安全成为维系行业稳定发展的重要保障。
区块链作为一种崭新的、颠覆性的技术,是国内外活跃的研究领域和毕业设计选题方向。 本文列出最新的一组区块链方面的论文,希望可以对选择区块链毕业设计的同学们有所帮助, 这是汇智网编辑整理的区块链毕业设计论文系列中的第36篇。
nacos的认证绕过安全漏洞,在nacos开启了鉴权后,依然能绕过鉴权访问任何http接口。
近日,腾讯云安全中心监测到Apache Hadoop 被爆存在本地提权漏洞(CVE-2018-8029),攻击者利用该漏洞可将能提升到 yarn 权限的帐户提升到 root 最高权限。 为避免您的业务受影响,腾讯云安全中心建议使用 Apache Hadoop 的用户及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报,及时获取最新漏洞情报、修复方案及数据泄露情况,感知云上资产风险态势。 【风险等级】 官方评级:严重(Critica
近日,腾讯安全云鼎实验室监测到国外安全团队披露了SaltStack管理框架的多个安全漏洞(CVE-2020-11651/CVE-2020-11652),攻击者可利用该漏洞实现远程代码执行。 为避免您的业务受影响,腾讯安全云鼎实验室建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 【风险等级】 严重 云鼎实验室监测到互联网上已出现漏洞攻击利用行为,建议用户尽快修复 【漏洞风险】 漏洞被利用可能导致机器被远程控制,感染挖矿病毒或业务不可用 【漏洞详情】 Saltstack
2021 年 1 月 15 日,也就是昨天,Nacos 发布了新版本 1.4.1。该版本发布了很多新特性和增强的功能。
最近Window系统爆一个严重的安全漏洞,该漏洞使CryptoAPI无法正确验证椭圆曲线(ECC)密码证书,攻击者可以用该漏洞欺骗证书信任链。微软已经在昨天发布了一个重要软件更新,修复该漏洞。NSA同步也发布了安全升级公告,NSA评估该漏洞为严重漏洞
Waf全称为Web Application FireWall(Web应用防火墙);顾名思义Waf原理与日常使用防火墙相似,但主要注重在Web页面中存在的对应安全问题。
来自以色列的安全机构CTS-Labs突然曝出猛料,声称AMD Zen架构处理器存在四组12个高位安全漏洞,涉及Ryzen、EPYC全线产品。AMD第一时间对此发表了一份官方声明。
如果你以为除了电脑和手机之外就安全的话,那你就还是低估硬件漏洞的危害了。此前,在英特尔CPU曝光出安全漏洞之后,很多人就将目光看向了英伟达这家世界上最大的GPU厂商。
如果说2018年,我们做区块链安全拥有了“上帝视角”,那过去的2019年,我们则收获了“圣母心态”。
这里是 7 月 31 日的每日1句话新闻晚报,只需1分钟,看看全球最热、最新的区块链新闻。
作者:胡祥杰 【新智元导读】 TensorFlow爆出发布以来首个自身安全风险,据悉,腾讯安全平台部预研团队已向谷歌报告这一风险并获得致谢。 谷歌面向机器学习和深度学习的开源框架TensorFlow被爆存在严重安全风险,可被黑客利用,带来安全威胁。 这应该是TensorFlow发布以来首个自身安全风险,据悉,腾讯安全平台部预研团队已向谷歌报告这一风险并获得致谢。 腾讯团队对新智元表示,整个风险的发现过程是:首先与部门AI同事碰撞思路,确定尝试研究tensorflow模型文件;然后,深入挖掘tensorflo
用户上传的文件里有两个东西经常会被程序使用,一个是文件本身,还有一个就是文件名了。如果文件名被用来读取或者存储内容,那么你就要小心了。攻击者很有可能会构造一个类似 ../../../attack.jpg 的文件名,如果程序没有注意直接使用的话很有可能就把服务器的关键文件覆盖导致程序崩溃,甚至更有可能直接将 /etc/passwd 覆盖写上攻击者指定的密码从而攻破服务器。
在CSDN、柏链道捷(PDJ Education)、HelloEOS、中关村区块链产业联盟主办的「EOS入门及最新技术解读」专场沙龙上,柏链道捷(PDJ Education)CTO、副总裁康烁,作了「
作者 | 张一锋、朱立、练娜 责编 | Aholiab 来源 | 《区块链技术与应用安全分析报告》 出品 | 区块链大本营(ID:blockchain_camp) 区块链技术近年来快速发展,其价值得到越来越多认可的同时,技术与应用方面的安全挑战也逐渐凸显。 本文研究了针对区块链技术与应用的攻击方式及安全事件,提出了包括基础设施层、密码算法层、节点通讯层、共识协议层、运行平台层、智能合约层和系统应用层的七层安全模型,并针对模型各层对应的具体风险点,提出了解决方案。此外还探讨了区块链数据隐私问题。 区块链安全
领取专属 10元无门槛券
手把手带您无忧上云