链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

安全

安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

区块链安全工具平台「望岳」推出 XRP 假充值攻击测试功能

链闻消息,区块链安全工具平台「望岳」推出「XRP 假充值攻击测试」功能,用户在提交一个激活的交易所充值地址和校验 MEMO 后,该功能将为该地址充值 1 万 XRP 进行测试。「望岳」是区块链领域的跨平台一站式安全工具,集成了漏洞扫描、安全审计、安全工具、技术教学等⽹络安全插件式工具,其微信小程序「望岳 Security」已上线。该 XRP 的漏洞是一个官方早就披露过的问题,但是经过望岳团队测试,依旧有至少 12 家交易平台存在该假充值漏洞。该平台目前由匿名团队发布。

慢雾:Electrum 「更新钓鱼」盗币攻击补充预警

Electrum 是全球知名的比特币轻钱包,支持多签,历史悠久,具有非常广泛的用户群体,许多用户喜欢用 Electrum 做比特币甚至 USDT(Omni) 的冷钱包或多签钱包。基于这种使用场景,Electrum 在用户电脑上使用频率会比较低。Electrum 当前最新版本是 3.3.8,而已知的 3.3.4 之前的版本都存在「消息缺陷」,这个缺陷允许攻击者通过恶意的 ElectrumX 服务器发送「更新提示」。这个「更新提示」对于用户来说非常具有迷惑性,如果按提示下载所谓的新版本 Electrum,就可能中招。据用户反馈,因为这种攻击,被盗的比特币在四位数以上。本次捕获的盗币攻击不是盗取私钥(一般来说 Electrum 的私钥都是双因素加密存储的),而是在用户发起转账时,替换了转账目标地址。慢雾提醒用户,转账时,需要特别注意目标地址是否被替换,这是近期非常流行的盗币方式。并建议用户使用 Ledger 等硬件钱包,如果搭配 Electrum,虽然私钥不会有什么安全问题,但同样需要警惕目标地址被替换的情况。

慢雾预警:全球知名比特币钱包 Electrum 「更新钓鱼」盗币行为在继续

2018 年 12 月,慢雾第一次发现并预警了有攻击者利用 Electrum 钱包客户端的消息缺陷,在用户转币操作时强制弹出「更新提示」,诱导用户更新下载恶意软件,进而实施盗币攻击。近期,慢雾科技反洗钱 (AML) 系统通过持续追踪发现,其中一个攻击者钱包地址 bc1qc...p2kny 已累计盗取 30 多枚 BTC,作案时间持续半年,并且近期还在活跃。慢雾提醒 Electrum 用户注意「更新提示」,这种「更新提示」里的新版本 Electrum 很可能是假的,如果有安装,请及时在其他安全环境将比特币转出。同时慢雾呼吁广大加密货币交易所、钱包等平台的 AML 风控系统拉黑并监测如上比特币地址。这种「更新提示」是攻击者利用 Electrum 客户端和 ElectrumX 服务器的消息缺陷发起的钓鱼攻击,攻击者需要提前部署恶意的 ElectrumX 服务器,并且这个恶意服务器被用户的 Electrum 客户端纳入本地(因为 Electrum 客户端是轻钱包,用户需要 ElectrumX 服务器来广播交易)。疯狂时,恶意的 ElectrumX 服务器占全部的 71% 之多,据不完全统计,过去一年多,这种钓鱼攻击已经盗取了数百枚比特币。虽然在 2019 年初 Electrum 官方就说要采取一些安全机制来杜绝这种「更新钓鱼」的发生,比如:1. 补丁 Electrum 客户端不显示丰富的文本,不允许任意消息,只有严格的消息;2. 补丁 ElectrumX 服务器实现检测 Sybil Attack(即女巫攻击,发送钓鱼消息的恶意服务器),并不再向客户端广播它们;3. 实施黑名单逻辑,在 Electrum 客户端视图之外提醒恶意服务器;4. 在社交网站、网站和与用户存在的所有通信形式上大力宣传,他们应该始终运行最新版本,并且始终只从官方来源 (electrum.org) 安装,通过安全协议 (https) 访问,并事先验证 GPG 签名。但许多用户的 Electrum 还处于老版本状态(小于 3.3.4),老版本还处于威胁之中,但是慢雾认为不排除新版本也会有相似威胁。

慢雾:Cryptopia Hacker 洗钱地址连续转移近 1200 ETH 到 60cek.org 匿名兑换平台

链闻消息,据慢雾科技反洗钱 (AML) 系统监测显示,自北京时间 1 月 18 日上午 10 点 36 分开始,Cryptopia Hacker 洗钱地址之一 (地址 0x341a97...73e3a8) 分 5 次共 1200 ETH 转移向 60cek.org 匿名兑换平台。另有 Cryptopia Hacker 洗钱流出的 2.1w+ ETH 分散在 2 个地址中,未发生进一步动作。

加密资产服务商 Keystore 获建元基金、分布式资本千万美元投资

链闻消息,企业级加密资产服务商 Keystore 完成千万美元 Pre-A 轮融资,本轮融资由隧道股份旗下建元基金领投,分布式资本跟投。Keystore 创始人兼 CEO 欧阳蒙表示,本轮融资主要用于公司人才建设和技术更新。作为建元基金在区块链领域的首笔投资,建元基金管理合伙人沈培良称,「作为最先布局区块链技术的传统股权投资基金之一,我们对区块链行业一直高度关注。加密资产的安全性是行业最基础也最为核心的一项需求,是区块链行业能否稳定发展的关键因素。 我们非常看好 Keystore 在底层技术的创新性和未来业务的巨大发展空间。」作为跟投方,分布式资本创始人沈波表示,「分布式资本这几年见证了行业的飞速发展,同时也看到行业内一直缺少底层安全基础设施的建设,Keystore 所涉及的存管及衍生服务将会是分布式资本接下来重点关注的领域。」据 Block123.com 显示,Keystore 成立于 2018 年 8 月,定位于全球性企业级加密资产服务商,以安全存储私钥为核心业务,向企业用户提供信息安全防护和加密数据处理技术。

隐私计算项目 PlatON 与慢雾科技达成合作,启动安全审计专项合作

链闻消息,隐私计算及分布式经济基础设施 PlatON 宣布与区块链生态安全公司慢雾科技达成战略合作关系,并启动安全审计专项合作。慢雾科技安全团队针对 PlatON 的 P2P、RPC、加密签名等 7 个模块,进行了为期一个月的安全审计。据审计报告结果显示,PlatON 确保了已被审计部分暂未被发现任何网络安全风险。慢雾科技表示将进一步对 PlatON 开展链审计、周边工具审计、合约审计等,提供持续性区块链威胁情报与联动防御方面全方位的解决方案,旨在共同保障 PlatON 生态安全。

古灵币 Grin 已完成第二次硬分叉升级

链闻消息,匿名币项目古灵币 Grin 已于区块高度 524,160 完成第二次硬分叉升级。本月初 Grin 已发布最新的 3.0 客户端以支持本次硬分叉升级。除了一些优化之外,本次升级最重要的是 Grin 将抵抗 ASIC 的工作量证明算法更新为 Cuckaroom29。按照既定规划,Grin 将在最初两年中进行 4 次硬分叉,即每经过 262,080 个区块(约 6 个月间隔)进行一次硬分叉。

成都链安宣布获联想创投、复星高科领投多轮数千万元融资,将持续深化区块链安全布局

链闻消息,区块链安全公司成都链安科技有限公司宣布近期连获多轮融资,共计数千万人民币,由联想创投、复星高科领投,成创投、任子行战略投资,分布式资本、界石资本、盘古创富等老股东均跟投。此次融资将用于持续深化区块链全生态安全布局、研发「一站式」区块链安全服务平台、开展自主可控的区块链安全技术研究、提升用户全新体验及全球化市场的拓展,助力成都链安成为全球区块链安全领域的行业标杆。此前,链安科技曾于 2018 年 5 月获得分布式资本种子轮投资,2018 年 11 月获得界石资本、盘古创富的天使轮投资。

联想和复星入股成都链安,并列第四大股东

链闻消息,工商信息显示,成都链安科技有限公司发生多项工商变更,联想(北京)有限公司、上海复星高科技(集团)有限公司、任子行网络技术股份有限公司新增为其股东。其他变更还包括:北京盘古创富成长三号投资中心(有限合伙)退出其股东行列,宁波盘古创富和富股权投资合伙企业(有限合伙)、成都创新风险投资有限公司、成都成创智联科技合伙企业(有限合伙)新增为其股东。在入股之后,联想和上海复星分别持有成都链安 5.35% 的股份,为并列第四大股东。任子行网络技术股份有限公司曾在去年 11 月 28 日发布公告,拟以自有资金 1,000 万元向成都链安科技有限公司增资,以获得成都链安 5.39% 股权。

PeckShield:2019 国内流向海外数字资产总量为 114 亿美元,三年总额超国家外汇储备的 1%

据区块链安全公司 PeckShield 发布的《2019 全球数字资产反洗钱 (AML) 研究报告》数据显示,通过对全球 20 多个数字资产交易所展开资金流向追踪调查,PeckShield 安全团队研究分析认为,数字资产在国际间的流动规模已非常大,且大部分资金并未受到国家合理、合规的监管。2017 年通过数字资产从国内流到海外的资金总量为 101 亿美元,2018 年为 179 亿美元,2019 年为 114 亿美元,三年流出资金总额占国家 3 万亿美元外汇储备的 1%。

降维安全:Ledge Secure 恶意扩展程序曝光,已有价值 16000 美金的加密货币遭窃

据降维安全实验室(johnwick.io)了解,一款基于 Chrome 的恶意扩展程序(Ledge Secure)成功进入 Chrome 商店,用户一旦安装此插件,当用户访问该在线钱包时,就会窃取用户私钥并将其发送给该扩展程序的开发人员。初步统计,黑客已通过此方式窃取价值 16000 美金的加密货币,目前,谷歌已经将该恶意程序从 Chrome 商店中删除,降维安全实验室建议广大用户及时排查,如有安装此插件请及时卸载,以免资产遭受损失。

区块链安全公司 ChainSecurity 加入普华永道瑞士

链闻消息,区块链安全公司 ChainSecurity 团队宣布加入普华永道瑞士(PwC Switzerland),加速普华永道瑞士的区块链审计业务,如智能合约、区块链平台的技术审计,以及为投资加密货币的客户提供风险保障服务。据普华永道瑞士介绍,ChainSecurity 于 2017 年在瑞士苏黎世成立,提供智能合约和区块链项目的技术审计,之前已与超过 75 家区块链公司合作,包括美洲、亚洲和欧洲的客户。链闻之前报道,ChainSecurity 在 2019 年 1 月 15 日发现以太坊君士坦丁堡代码存在安全漏洞,避免了可能存在的问题。

慢雾:2019 年被黑数字资产超过去十年被黑总额

链闻消息,据慢雾区块链被黑档案库 (SlowMist Hacked) 的数据统计,2019 年被黑的数字资产超过去十年被黑总额。截至 2019 年末,已批露的被黑加密货币资产累计价值达 85 亿,对比 2019 年之前被黑的加密资产价值 41 亿美金,光是 2019 年这一年就达到 44 亿美金,增加了一倍多。从被黑项目方的个数来看,也是增加了一倍多。2019 对于地下黑客来说是个多疯狂的一年。

古灵币 Grin 发布 3.0 客户端正式版以支持本月 15 日硬分叉升级

链闻消息,匿名币项目古灵币 Grin 在 Github 上发布 3.0 客户端的正式版,之前已发布过 3 个测试版。该版本的最重要功能是支持本月 15 日左右的硬分叉升级,这将是 Grin 主网的第二次升级。链闻之前报道, Grin 在其大会 GrinCon1 中宣布将推出工作量证明算法家族 Cuckoo 的最新一代 Cuckaroom,进一步推进 GPU 挖矿转换为专用设备 ASIC 挖矿设备的进程,Cuckoo 算法的发明者 John Tromp 将会推送相关代码至 Github 代码库中,并计划于 2019 年 12 月 19 日左右在测试网 Floonet 上激活该算法。Grin 预计在区块高度 524,160 进行第二次硬分叉升级,也就是 1 月 15 日左右。

钓鱼网站 omg-token.com 空投诈骗致大量用户私钥遭窃取

据降维安全实验室(johnwick.io)报道,近期发生多起因 OMG 钓鱼网站(omg-token.com)以及 Telegram 假冒 OMG 空投导致用户资产被窃案件。诈骗者声称持有 ETH 或者 OMG 即可免费领取 OMG 空投,诱导用户点击钓鱼网站链接,用户一旦输入私钥,资产就会被窃。降维安全实验室建议用户保持警惕,不要通过点击链接到达的网站上输入凭据或私钥,谨防上当受骗。

Poloniex:已向约 1% 的客户发电邮要求其重置密码

链闻消息,加密货币交易所 Poloniex 发文回应称已向约 1% 的客户发送电子邮件要求其重置密码,并表示此前推特上有人发布的 Poloniex 用户电子邮件地址和密码列表并非来自 Poloniex,不到 5% 的电子邮件地址与 Poloniex 帐户相关联。此前链闻曾报道 Circle 在收购 Poloniex 18 个月后,在 2019 年 11 月决定将 Poloniex 出售给一家名为「Polo Digital Assets, Ltd」的亚洲公司,此后 Poloniex 将聚焦于国际市场业务,服务于美国以外的国际客户,波场(Tron)创始人孙宇晨参与了从 Circle 手中收购交易所 Poloniex 的交易。

成都链安:2019 年 12 月发生逾 9 起较典型安全事件

据成都链安态势感知平台(Beosin-Eagle Eye)数据显示,在过去一个月(12 月)中,共发生 9 起较为典型的安全事件。其中包括:DApp 方面:12 月 6 日,Tron Lounge DApp 遭到回滚交易攻击,共计损失 54653TRX。公链方面:12 月 14 日,唯链官方宣布遭遇黑客攻击,被盗走了 11 亿枚 VET, 640 万美元不翼而飞;12 月 20 日,NULS 公链官方账户被盗 200 万 NULS 代币;12 月 30 日,公链 IOTA 主网出现共识分裂而无法更新的情况,TPS 一度接近 0;12 月 1 日,Vertcoin (VTC)遭受了 51%攻击,攻击者成功利用自己的 553 个区块替代了 603 个 VTC 主链区块。钱包方面:以太坊钱包 Shitcoin Wallet 疑似被恶意 JavaScript 代码,企图从浏览器窗口抓取数据并发送至远程服务器 erc20wallet.tk。其他方面:Poloniex 加密货币交易所发邮件告知客户或存在数据泄漏;黑客被发现利用著名歌手泰勒·斯威夫特的 JPEG 照片来隐藏恶意加密挖矿软件 MyKingz;58COIN 官方公告表示,近期有不明人士冒用 58COIN 官方名义达成钓鱼目的。

降维安全:Shitcoin Wallet 在线钱包暗藏恶意脚本,肆意窃取加密钱包私钥

据降维安全实验室(johnwick.io)了解,一款基于 Chrome 的扩展程序(Shitcoin Wallet)被嵌入恶意 JavaScript 代码,不仅将该扩展内管理的钱包私钥发送至第三方恶意网站,而且当用户访问 5 个主流加密货币管理平台(MyEtherWallet.com、Idex.Market、Binance.org、NeoTracker.io 和 Switcheo.exchange)时,该程序会窃取用户的登录凭证及私钥并将其发送至同样的恶意网站 erc20wallet.tk。降维安全实验室在此建议用户立即停止使用 Shitcoin Wallet 在线钱包,避免资产遭受损失。

Poloniex 通知部分用户重设密码,用户帐户信息或被泄漏

链闻消息,加密货币交易所 Poloniex 通过电子邮件要求部分用户重置密码,因为有人在推特上发布了一份 Poloniex 用户的电子邮件地址和密码列表,声称可以用这些信息登录 Poloniex 账户。不过 Poloniex 同时表示,「几乎所有在推特上列出的电子邮件地址都不属于 Poloniex 账户」,但对于那些确实与 Poloniex 有关的,已强制用户重置密码。此前链闻曾报道,Circle 在收购 Poloniex 18 个月后,在 2019 年 11 月决定将 Poloniex 出售给一家名为「Polo Digital Assets, Ltd」的亚洲公司,此后 Poloniex 将聚焦于国际市场业务,服务于美国以外的国际客户,波场(Tron)创始人孙宇晨参与了从 Circle 手中收购交易所 Poloniex 的交易。

全新零知识证明论文被 IEEE 学术会议收录,或能抵抗量子计算机

链闻消息,由四位研究人员共同发表的论文「透明多项式委托及其在零知识证明中的应用」被第 41 届电气电子工程师学会安全隐私学术会议(IEEE S&P 2020)接受,其作者之一的 Yupeng Zhang 在推特上公开了该消息,他来自于德克萨斯州农工大学,另外三名作者来自于加州大学伯克利分校,分别是 Jiaheng Zhang、Tiancheng Xie 和 Dawn Song (宋晓冬),宋晓冬教授也是区块链隐私计算平台 Oasis Labs 的创始人。据 Yupeng Zhang 介绍,该论文提出了一个全新且透明的零知识证明机制,可以提供非常快的验证时间,也不需要可信设置(trusted setup)。论文中介绍到,该零知识证明机制仅使用了轻量级的加密算法比如抗碰撞的哈希函数,所以也可能是量子安全的。

受区块链保护的安全解决方案提供商获得美国空军合同

链闻消息,工业级安全解决防范提供商 Xage Security 宣布已获得美国空军的合同,将为美国国防部和空军的数据管理和信息安全方面的需求提供支持。Xage Security 表示将会提供经过现场验证的,受区块链保护的 Security Fabric 解决方案给美国空军的网络系统和流程,以实现通讯保护、数据安全和任务的有效性。Xage Security 介绍到,他们是第一个也是唯一一个受区块链保护的安全解决方案,可提供防篡改和非侵入式保护,并在所有行业中实现高效的运营和创新,目前的客户包括制造业、能源业、公共事业和运输领域。Xage Security 首席执行官 Duncan Greatwood 表示,「数字化正在改变工业和军事运作,我们需要确保设备、网络和依赖网络的功能能够按照预期运行,即便遇到了网络攻击、系统故障和错误,也是如此。Xage Security 提供的受区块链保护的安全体系结构建立了对这些分布式和多样化生态系统的信任。」

成都链安推出针对 Fabric 链码的自动形式化验证工具,可验证 20 余种人工难以察觉的风险

链闻消息,区块链安全公司成都链安宣布推出针对「Fabric 链码」的自动形式化验证工具「Beosin-VaaS for Fabric」,链安表示这将会为链码提供「军事级」的安全验证。Hyperledger Fabric 是 Linux 基金会旗下的开源区块链平台,IBM 、AWS、SAP、Oracle、蚂蚁金服、腾讯、百度、华为等企业均推出了基于 Fabric 的区块链解决方案。据成都链安介绍,智能合约在 Fabric 中被称为「链码」(Chaincode),由于区块链的分布式特性,如果链码存在安全问题将直接导致企业遭受损失,链码的更新和维护均需要较大成本,如果链码因为安全问题需要更新,也将使企业花费较大的人力和物力,所以成都链安推出了全球首个 Fabric 链码自动形式化验证工具。Fabric-VaaS 服务将针对 Hyperledger Fabric 智能合约,利用形式化验证对合约源码进行检测,可以验证 20 余种人工难以察觉的风险,这一技术已经在以太坊、本体、EOS 等公链以及蚂蚁 BaaS 等联盟链上有成熟的应用。

富达支持的加密资产安全公司 Fireblocks 获得安永 SOC2 审计认证

链闻消息,加密资产安全公司 Fireblocks 宣布已完成安永会计事务所进行的服务性机构控制体系鉴证(SOC)第二类审计认证,旨在加强其加密资产交易的安全运营环境。Fireblocks 表示,安永会计事务所 SOC2 审计是基于安全性、保密性、隐私性、处理完整性、可用性五个方面综合考察了 Fireblocks 的数据,Fireblocks 已获得相关认证。Fireblocks 首席技术官兼联合创始人 Idan Ofrat 表示,「我们的业务模式涉及高度复杂性,必须保持谨慎。自 6 月推出以来,我们已经确保了超过 90 亿美元数字资产的安全转移。」链闻此前报道,Fireblocks 于今年 6 月获得 1600 万美元 A 轮融资,参投方包括专注网络安全的风投基金 Cyberstarts、风投公司 Tenaya Capital、富达国际旗下投资部门 Eight Roads。

慢雾 AML:Plus Token 钱包转出 78.9 万枚 ETH ,暂未发现流入交易所

链闻消息,跟据慢雾科技反洗钱 (AML) 系统监测显示,北京时间 12 月 19 日上午 8 点 49 分和 8 点 51 分,Plus Token 钱包 (地址 0xF4a2eFf...442619e) 分两次共转移 789534.6 ETH 到地址 0x997114C...d4E55A6 ,目前暂未监测到流入交易所。慢雾安全团队在此提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。

Grin 成为 ASIC 友好项目,超过 51% 的区块奖励属于 ASIC

链闻消息,Cuckoo 算法的发明者 John Tromp 在论坛中表示,当前匿名币项目古灵币 Grin 的区块奖励中超过一半奖励已属于使用 Cuckatoo31+算法的专用型挖矿设备(ASIC),这也就意味着 Grin 变成了一个对 ASIC 友好的项目。另外 Grin 也发布了客户端 3.0 版本的第二个测试版,以支持明年 1 月 15 日左右的硬分叉升级。链闻之前报道, Grin 在其大会 GrinCon1 中宣布将推出工作量证明算法家族 Cuckoo 的最新一代 Cuckaroom,进一步推进 GPU 挖矿转换为专用设备 ASIC 挖矿设备的进程,Cuckoo 算法的发明者 John Tromp 将会推送相关代码至 Github 代码库中,并计划于 12 月 19 日左右在测试网 Floonet 上激活该算法。

慢雾科技与北京甄真司法鉴定所将在反洗钱 AML 等司法方面开展合作

链闻消息,区块链安全公司慢雾科技宣布与北京甄真司法鉴定所达成战略合作,双方将在加密货币领域围绕电子数据司法鉴定、电子数据恢复、电子数据取证和反洗钱 (AML) 等方面开展合作,旨在共同保障广大用户的资产安全。北京甄真科技有限公司司法鉴定所(简称北京甄真司法鉴定所)是北京市司法局依法批准设立的一家专业电子数据司法鉴定机构,是国家电子合同备案平台区块链监督网络的 9 个根节点之一。总部位于厦门慢雾科技成立于 2018 年 1 月,其安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报 (BTI)、漏洞赏金等服务并配套相关安全产品,曾在行业内曾独立发现并公布多起通用高风险的安全漏洞。

唯链基金会回购地址中 11 亿枚 VET 代币被转移至黑客地址,价值 650 万美元代币被盗

链闻消息,唯链基金会回购地址中 11 亿枚 VET 代币被全部转移至黑客地址,被盗代币价值 650 万美元。唯链基金会公告称,由于唯链基金会内部财务人员在创建该回购地址时未严格遵守标准财务安全流程,且该员工电脑遭黑客攻击,最终导致本次事件发生,基金会已经在 vechainstats.com 公示与此黑客地址相关的所有地址,所有接收到黑客资金的地址也将在此实时更新。唯链基金会表示,已经在第一时间对此黑客地址相关的所有资金去向进行追查,截断资金转账,并与各交易所取得联系,冻结来自此黑客地址的任何资金和从相关交易所钱包提现的资金;Hacken 团队正在协助唯链基金会对此次黑客事件所涉及的所有相关地址展开调查和监控。唯链基金会对所有其他资产进行了安全检查,所持有的其他地址均处于安全状态。据 Coinmarketcap 报价,VET 价格前夜下跌超过 6%。

慢雾:Chrome 浏览器的恶意扩展程序正在盗取加密货币平台上的用户资金

根据慢雾安全团队捕获的情报显示,一些浏览器扩展存在恶意行为,会定向针对用户所在的全球知名加密货币服务平台(其中包括:LocalBitcoins、Yandex、Coinbase、Blockchain.com、火币、OKEx、币安等)及全球知名邮箱服务(其中包括:Gmail、Yahoo Mail、Live Mail、Mail.ru、QQ Mail 等)进行针对性盗币攻击。通过源码取证分析,盗取邮箱权限的目的是应对一些加密货币服务平台的双因素认证及进一步通过邮箱权限完全控制用户的相关账号权限。

慢雾:加密货币服务平台 Blockchain.com 存在安全风控缺失导致用户被盗币风险

链闻消息,慢雾团队表示由于在用户注册时,Blockchain.com 平台没有强制进行邮箱等身份校验,也可以进行加密货币充值及提现操作,这导致当用户充值时,可能出现资金直接被盗的情况。慢雾表示,「相信 Blockchain.com 本身不会做恶,但地下黑客可以利用该缺陷发起针对性的撞库及钓鱼攻击」。目前慢雾安全团队已经捕获两起真实的用户资金被盗案例,并已完成相关取证工作。

古灵币 Grin 发布 3.0 客户端首个测试版

链闻消息,匿名币项目古灵币 Grin 客户端发布 3.0 版本的第一个测试版,已支持明年 1 月 15 日左右的硬分叉升级,这将是 Grin 主网的第二次硬分叉升级。除此之外,官方还列出了约 50 项的问题修复和优化细节。链闻之前报道, Grin 在其大会 GrinCon1 中宣布将推出工作量证明算法家族 Cuckoo 的最新一代 Cuckaroom,进一步推进 GPU 挖矿转换为专用设备 ASIC 挖矿设备的进程,Cuckoo 算法的发明者 John Tromp 将会推送相关代码至 Github 代码库中,并计划于 12 月 19 日左右在测试网 Floonet 上激活该算法。Grin 预计在区块高度 524,160 进行第二次硬分叉升级,也就是 2020 年 1 月 15 日左右。
返回页面顶部
返回链闻首页
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpHomeAppleAndroid