安全

安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

慢雾:EOSPlay 遭遇新型随机数攻击

链闻消息,据慢雾区情报,基于 EOS 的去中心化应用(DApp) EOSPlay 中的 DICE 游戏于昨晚遭受新型随机数攻击,损失数万 EOS,目前项目方已经把游戏暂停。经过慢雾安全团队的分析,发现攻击者(账号:muma******mm)可能使用下列方式达到攻击目的:1、攻击者为自己和项目方租用了大量的 CPU;2、攻击者发大量 defer 交易;3、由于以上两点原因,导致 CPU 价格被拉高,从而导致其它用户 CPU 不足;4、因为 CPU 不足的原因,其他用户难以发送交易,攻击者得以使用自己交易占满区块;5、根据提前构造的交易内容,攻击者可以成功预测出区块哈希。由于项目方采用的是使用未来区块 id 的方式开奖,通过控制区块内的交易内容,就能控制区块信息,进而控制区块 id,达到预测开奖结果的目的。慢雾安全团队建议 DApp 开发者使用更为安全的随机数生成方式,避免遭到随机数攻击。同时,慢雾还特别感谢 WhaleEx 在此次分析过程中提供的帮助。

李启元推出卡片式钱包 Ballet,试图推动数字货币更广泛的应用

链闻消息,前比特币中国 CEO 李启元(Bobby Lee)推出支持多币种的卡片式冷钱包 Ballet,将于 10 月交付。李启元认为 Ballet 将会加速全球采用比特币和加密货币。Ballet 的首个产品系列是 REAL,这是一个集多币种支持和 100% 冷存储的数字资产硬件钱包,REAL 系列拥有多种的外观,每一种都有相应的主币种,可支持直接存储。同时 Ballet 还发布了一款配套的移动端应用 Ballet Crypto,通过该 App 可以发送数字资产,查询资产价值及激活多种数字资产,而且 Ballet 硬件钱包的接收和存储不依赖于该移动端 App,所以是否使用完全取决于用户。链闻注意到,Ballet 的投资方 Ribbit Capital,是 Libra 协会的成员和 Coinbase 的早期投资人。

Casa 发布资产安全协议 Wealth Security Protocol

链闻消息,比特币钱包 Casa 发布资产安全协议 Wealth Security Protocol。作为比特币安全密钥存储和管理系统,Casa Keymaster 将支持硬件五分之三多重签名,为多种硬件提供高级别的密钥安全保护,以及因灾难导致 Casa 停止运行时所有权的恢复,消除单点故障。同时,新协议改进了 Glacier 协议的复杂性,简单易于使用,设置和使用只需几分钟。此外,Casa 还存在一些潜在的安全问题,包括地址欺骗、内部人员导致密钥被盗的恶意行为、极端灾难情况和敲诈勒索。未来,Casa 还计划增加 Taproot / Mast 和 Schnorr Signatures 的使用。

闪电网络安全漏洞已被确认,官方呼吁用户尽快升级

链闻消息,闪电网络官方推特 Lightning Labs 发布推特称,已经确认安全漏洞可被利用的实例,请用户立即更新闪电网络节点,受到影响的闪电网络节点版本包括: LND 节点版本 0.7 及以下、c-lightning 节点版本 0.7 及以下、eclair 节点版本 0.3 及以下。Lightning Labs 也在推特表示,目前处于早期阶段,这也是提醒用户需要采取限制措施的好时机,以后可能会有 Bugs,不要把「超出承受范围的资金质押在闪电网络上」。链闻此前报道,比特币闪电网络开发者和规范设计者之一 Rusty Russell 报告了一个针对闪电网络的漏洞,该漏洞可能会导致资金丢失。

美国税务局、移民局、FBI 等机构共花费 1000 万美元采购区块链数据分析服务

链闻消息,据 The Block 分析了联邦采购数据系统的公开数据显示,截止到现在,美国政府机构共花费了接近 1000 万美元采购区块链数据分析等相关服务。其中最大的采购方来自于美国国家税务局(IRS)、移民及海关执法局(ICE)和联邦调查局(FBI),这三家占总花费近 85%。最大的采购合约价值 160 万美元,是今年 4 月 IRS 的「网络犯罪案例支持和培训基地」合同,FBI 最大的合同是 120 万美元的「Chainalysis 系统许可」,ICE 最大的合同是 100 万美元的「软件许可」。链上数据分析公司 Chainalysis 是其中最大的供应商,总共有 900 万美元的合同,占美国政府机构总花费的 92% 以上。

成都链安:EOS 竞猜游戏 FASTWIN 遭黑客攻击,损失 700 EOS

Beosin 成都链安态势感知安全预警称,今日下午 2:21 开始,根据区块链安全态势感知系统 Beosin-Eagle Eye 检测发现,近期活跃的黑客 ju****ang 子账号 3ypa****rggff 向 EOS 竞猜游戏 FASTWIN 发起攻击,截止目前已获利 700 EOS,且攻击还在进行。经过技术团队的初步分析原因是随机数问题,我们已在第一时间发出预警并联系项目方。

Facebook 用户数据库遭泄漏,4.19 亿条用户手机号码记录被曝光

链闻消息,一个包含数亿条 Facebook 用户电话号码的数据库遭泄漏,在 TechCrunch 联系网络托管商后,目前该数据库已下线。根据 TechCrunch 报道,这个遭泄漏的服务器包括多个用户数据库的 4.19 亿条记录,其中包括美国 Facebook 用户的 1.33 亿条记录,英国用户 1800 万记录,以及越南用户超过 5000 万条记录。由于没有受密码保护,该服务器可以被任何人访问,每条记录都包含用户 Facebook ID 和账户关联的电话号码。Facebook 发言人 Jay Nancarrow 表示,这些是旧的数据集,目前已删除,我们没有看到任何证据表明 Facebook 帐户遭到入侵。TechCrunch 的安全编辑 Zack Whittaker 发推文称,「虽然 Facebook 表示这些数据在历史上被擦除,但是我们测试的这些电话号码仍然有效。」TechCrunch 将这些电话号码与列出的 ID 匹配后已经验证数据库中的多条记录为「有效」。此次泄漏事故导致 Facebook 用户面临重大的安全风险,比如最近频发的 SIM 劫持事件。此前链闻曾报道,推特创始人 Jack Dorsey 推特帐号被黑,或因 SIM 劫持所致。

MolochDAO 联合创始人:Compound 上出借 DAI 存在智能合约风险、中心化单点故障和挤提风险

链闻消息,MolochDAO 联合创始人兼 SpankChain CEO Ameen Soleimani 发布博文列举了在 Compound 出借 DAI 的风险,他在文章中称,自己管理公司近 50 万 DAI,根据 DAI 10%的利息,大约每个月能产生 4000 美元的收入,如果将这些 DAI 放入 Compound 中是有机会成本的。此外,在 Compound 放贷还有很大的风险,包括智能合约的安全风险、中心化单点故障(他解释,Compound 是一个托管系统,如果管理私钥泄露,所有租借池的资产都可能被盗走)和挤提风险(资金利用率高达 98.62% 的 Compound 没有足够的资产储备保证出借人随时取回资产)。此前,链闻曾报道,智能合约安全公司 Zeppelin 对 Compound 进行安全审计的报告暴露了 DeFi 项目普遍存在的一些风险问题,包括有可能导致平台资产被窃取和操纵的中心化风险,以及不合理的智能合约漏洞可能让矿工产生攻击行为,而清算激励机制在某些情况下可能会使借款人破产的可能性变高。

Compound 审计报告:DeFi 项目中心化风险和智能合约漏洞不容忽视

链闻消息,智能合约安全公司 Zeppelin 对去中心化借贷平台 Compound 进行了一次安全审计,该审计报告结果并未显示 Compound 存在严重的漏洞,但却呈现了 DeFi 项目普遍存在的一些不容忽视的风险问题。其中之一是「中心化风险」,具体而言,Compound 是由中心化管理员决定其协议的工作模式,包括借贷资产可选项、资产利率模型、抵押要求等,另外,Compound 团队自行控制的喂价模型,有可能会导致系统中的大部分(如果不是全部)资产被窃取。为此,Compound 团队打算用更去中心化的治理机制取代现有的管理员角色,并计划通过「开放式预言机系统」改变原来的喂价机制。另一个问题是「智能合约相关的问题」,这个锁定资产超过 1 亿美元的第二大 DeFi 项目,借款人不必支付任何利息获得多次小额短期贷款,这可能会让矿工产生攻击行为,另外,在某些情况下,Compound 的清算激励机制会导致借款人更接近破产。这些风险并不是 Compound 独有的,链闻提醒,所有用户在使用 DeFi 产品时都应该注意,该智能合约是否经过审计?治理运作方式是什么样的?以及喂价机制是否可以有可能被操纵?#DeFi with ChainNews#

成都链安:EOS 游戏 skreosladder 再遭黑客攻击,损失近千 EOS

链闻消息,Beosin 成都链安态势感知系统报警称,从晚间 22:10 开始截止目前,skreosladder 游戏再次遭受黑客攻击,黑客目前已经获利近千 EOS。该黑客曾多次攻击该游戏,已被项目方加入黑名单,但黑客仍使用小号绕过了限制。

观点:新一代公链面临比早期比特币更严峻的挑战,更容易被攻击

链闻消息,加密资产投资基金 ASP 创始人兼运营负责人阿里安娜·辛普森(Arianna Simpson)发布推文陈述了一个观点,认为「即将上线的一系列底层公链将面临比早期的比特币更加严峻的挑战」。具体来说,这些备受瞩目的公链项目面对的情形要比比特币和以太坊当年推出时的状况复杂得多。这些市值靠前的公链项目,自打一诞生起就备受期待,动不动获得数十亿美元(这个数字还在不断攀升)的投资,从而也将催生更有经济动力的攻击,随着新一代区块链技术变得越来越复杂,系统脆弱性和攻击面变得越来越大,更容易出现 bug,而攻击者也更有经济上的动机去进行恶意攻击获利。与此同时,今天的区块链项目是站在巨人的肩膀上,受益于早期区块链项目的技术经验,开发者也对此抱有更高的预期。此外,TokenDaily 补充了一点,认为由于以太坊强大的社区生态和先发优势,今天新一代的智能合约公链项目,将难以获得来自以太坊网络中的开发者的注意力。

慢雾对币安当前安全体系建设的整体评估为「优秀」

链闻消息,据慢雾科技的近期安全监测显示,加密货币交易所币安(Binance)的生产环境架构、服务器安全、应用安全、钱包私钥安全、办公环境安全等重要安全项目当前处于优质状态,同时币安的风控体系完善,配备多项措施保障用户资产安全,慢雾科技对币安当前的安全体系建设工作整体评估为:优秀。慢雾科技称,这是以客观专业的第三方安全机构视角,在获得币安书面授权情况下,针对币安目标业务进行全面的安全体系建设工作的持续安全监测并辅以场内确认,最终根据双方意愿客观披露阶段性的安全监测结果。

慢雾:8 月共发生 12 起较典型的安全事件,假充值漏洞给交易所造成巨大损失

链闻消息,据 SlowMist Hacked 统计,8 月共发生 12 起较典型的安全事件,累计造成近千万美元损失。慢雾区块链威胁情报 (BTI) 系统监测发现,多家交易所遭受假充值漏洞攻击,使用的攻击手法有:USDT(Omni) 假充值漏洞、ERC20 Token 假充值漏洞、EOS 假充值漏洞、XRP 假充值漏洞以及门罗币 (XMR) 转账锁定漏洞,给交易所造成巨大损失。同时慢雾 BTI 系统也发出预警,近期针对交易所的 APT(Advanced Persistent Threat) 攻击也愈演愈烈,慢雾安全团队在此提醒各交易所,提前做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。

推特创始人 Jack Dorsey 推特帐号被黑,因 SIM 劫持所致

链闻消息,美国当地时间上周五下午推特创始人兼 CEO Jack Dorsey 的推特账号被黑,并用这个有超过 421 万粉丝的推特大号连续发布了 10 多条包括种族主义言论和为纳粹德国辩护的推文。该事件发生后不久,这些推文已被删除,目前 Jack Dorsey 已经更换 SIM 卡。公司一名发言人在为该事件的声明中表示,由于移动服务提供商安全上的疏忽,导致与该帐户关联的电话号码遭到了攻击,最终黑客通过使用手机号码编写短信发送推文,目前这个问题已经解决了。如果一些个人信息(比如社保号最后四位、信用卡号码,甚至是假身份证)遭到泄漏,黑客就可以用这些信息要求运营商客户,将该移动帐户转到另一张 SIM 卡。一位知情人士称「这太残酷了」,因为黑客似乎使用了 Twitter 旗下产品 Cloudhopper 进行攻击,鉴于不断升高的短信成本 Twitter 收购于 2010 年收购了 Cloudhopper。另外,多位相关人士认为,推特高管的安全意识仍有待提高,由于不喜欢在路上随身携带物品,Jack Dorsey 喜欢用 iPhone 完成大部分工作,因此拒绝使用 Twitter 安全团队提供的安全性能更高的笔记本电脑。另一位 Twitter 前员工则表示,Twitter 高管使用双重身份验证的人数很少,他们的安全意识「简直就是一场灾难」。独立调查记者 Brian Krebs 发推称,推特 CEO Jack Dorsey 推特账号遭黑客攻击,可能会引起人们对 SIM 劫持引发的安全事故的关注。币安 CEO 赵长鹏转发其推文,并评论请为您的币安帐户使用 YubiKey,以保护用户资产安全。

成都链安:8 月份发生安全事件共 11 起,造成超 6 千万人民币的损失

链闻消息,据成都链安态势感知平台 Eagle-Eye 统计数据显示,8 月各类攻击事件、丢币事件频发,在可统计的范围内,8 月共发生 11 起较为典型的安全事件,损失超过 6 千万人民币。其中包括 EOS 链上发生 3 起 dapp 被攻击事件,黑客攻击获利超 20000EOS。恶意网站伪造 Electrum 网站进行钓鱼,某用户声称被窃 700 枚比特币。Telegram「搬砖套利」骗局层出不穷,一名新的受害者共被骗取 201 个 ETH。亚马逊服务器 AWS 出现问题 , 多个交易所数据异常并限制用户提币。币安、bitstamp、CoinTiger、Citex 几家交易所接连爆出安全事件。其中,币安和 bitstamp 交易所主要为用户信息泄露问题,被泄露信息用户数量较大,涉及多个国家。CoinTiger 交易所存放 PTT 的冷钱包被黑客攻击,401,981,748 枚 PTT 被盗。交易所 Citex 平台上的 VEIL 代币遭 Zerocoin 攻击,导致 VEIL 交易被迫暂停。

PeckShield: 8 月共发生 12 起安全事件,PlusToken 跑路资金开启密集洗钱

链闻消息,据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态发生 12 起较为突出的安全事件。危害程度评级为「中级」,受损金额近 900 万美元,涉及交易所 3 起、DApp 5 起、智能合约 1 起、钓鱼诈骗等 3 起,PlusToken 多资产频繁洗钱。具体而言,EOS DApp 生态共计发生 5 起黑客攻击事件,共损失 52,912 个 EOS,攻击方式主要为交易阻塞。币安 AWS 日本机房缓存服务器故障导致实时数据同步错位,影响在可控范围内。CoinTiger 交易所声称冷钱包被盗引发行业广泛热议。PlusToken 理财钱包 BTC、XRP、EOS 部分资产出现异动,且在频繁的洗钱操作中,有小部分资金在混淆处理后从 OTC 渠道卖出。PeckShield 认为,交易所安全问题依然是整个生态面临的头号威胁,应加强布控和防范工作。由于 PlusToken 跑路资金涉及额度巨大,较频繁的资金异动和砸盘可能性,会成为撩动市场恐慌情绪的导火索。

以太坊客户端 Parity 更新 RPC 漏洞修复,该漏洞可恶意关闭部分节点

链闻消息,以太坊客户端 Parity 发现远程过程调用(RPC)漏洞,可能导致服务器意外关闭,目前 Parity Technologies 公司已修复并更新代码。该漏洞由区块链分析公司 Amberdata 发现,其工程副总裁 Scott Bigelow 表示,该漏洞如果被利用攻击,则可能会导致「客户端崩溃,无法窃取资金,但可以恶意关闭部分以太坊节点」。Parity Technologies 在其官方博客表示,Parity Ethereum 在默认情况下「不启用追踪模块或面向公众的远程过程调用(RPC)」,因此大多数节点不应受到影响,但建议「所有运行 Parity 以太坊节点的用户升级最新版本」。

PeckShield:PlusToken 跑路资金中 13,554 个 BTC 被转移至单签地址

据 PeckShield 数字资产护航系统 (AML) 数据显示,PeckShield 锁定监控的 PlusToken 跑路资金多签地址在前几日发生汇聚后于今日凌晨发生异动,开头为 1Li4mU 的地址 03 点 10 分向 8 个不同地址转出超 13,500 枚 BTC。PeckShield 安全人员跟进分析发现,91,779 个原属于多签地址的 BTC 已被集中汇聚到 5 个单签地址中,这意味着资金存在进一步洗钱的动机和可能,不过暂时并没监测到有资金流入交易所,猜测其凌晨砸盘的可能性较低。PeckShield 在此敬请广大投资者警惕行情变动,谨慎应对市场风险。

PeckShield:部分 PlusToken 跑路资金疑似被混淆后从场外 OTC 卖出

据 PeckShield 数字资产护航系统 (AML) 数据显示,PeckShield 锁定监控的 PlusToken 部分跑路关键地址于前几日发生大额异动后,最近两天被频繁切分为 0.1-10BTC 不等的大量小额地址,进一步被汇聚转出。PeckShield 安全人员跟进分析发现这些资金并没有直接流入交易所,而是通过类似 ChipMixer 的工具进行混淆,再通过场外 OTC 的渠道卖出。截至目前,已经有部分通过场外 OTC 卖出的 BTC 洗白后再次流入币安交易所。

Libra 协会推出漏洞奖金计划,奖金最高 1 万美元

链闻消息,Libra 协会宣布漏洞奖金计划(Bug Bounty Program),号召来自世界各地的开发者提交 Bug,在 Libra 项目发布之前检查区块链的安全漏洞,确保其安全性。根据漏洞类型和严重程度,Libra 协会提供不同数额的漏洞奖金,在「漏洞聚焦」 期间,研究人员所提交的漏洞将会获得翻倍奖金,解决「关键问题」 最高可获得 10,000 美元的赏金,此外,Libra 还与黑客赏金社区 HackerOne 达成了合作。

Brave 浏览器软启动加密钱包 Crypto Wallets,将兼容 Brave Rewards

链闻消息,Brave 浏览器宣布软启动原生加密钱包 Crypto Wallets,该浏览器内生钱包支持 Brave 原生代币 BAT,以及其他众多以太坊 ERC-20 代币、ETH、以太坊收藏品代币以及与 DApp 之间进行交互。使用 Crypto Wallets,用户可以在 Brave 软件钱包中管理密钥,或者连接硬件钱包(Ledger 或 Trezor)以实现更安全的密钥管理。8 月 27 日 Brave 官方发布的博客文章称,该钱包目前还不兼容 Brave Rewards,但未来会在钱包 Crypto Wallets 中添加对 Uphold 的支持,最终实现 Brave Rewards 和 Crypto Wallets 之间转移加密资产。公司强调,这款新产品目前适用于已经对加密货币(特别是以太坊)有所了解的人,并建议用户可以尝试在 Dev 和 Nightly 版本中试用 Crypto Wallets,并提醒务必「使用少量资产并保持定期备份」。昨天,Brave 在推特上宣布已将维基百科添加到经过验证的出版商名单中。此前,链闻曾报道,Brave 发布浏览器版本将支持用户使用原生代币 BAT 为 Vimeo 和 Reddit 打赏。

慢雾:交易所被黑且已披露的资金损失逾 40 亿美元

据 SlowMist Hacked 统计,历史上交易所被黑且已披露的有 56 起,资金损失总额超 40 亿美金,占所有加密货币已披露的资金损失约 47%。从已披露的来看,平均一年有 8 起交易所被黑导致资金损失,而近一年来看,平均每个月有 2.5 起被黑。但需要注意的是从慢雾安全团队的内部数据来看,至少有 2/3 以上被黑是未披露的。

使用 DOS 攻击 Zcash 每日成本仅需 2.99 美元

链闻消息,根据一项拒绝服务攻击(DOS)协议 Sapling Woodchipper 的网站显示,每日仅需 2.99 美元的成本即可对任何应用 Zcash 2.0 Sapling 以上版本的加密货币进行 DoS 攻击,但该 DOS 攻击的严重程度取决于链上参数。该攻击协议的原理是耗尽该区块链的所有资源,阻止普通用户进行交易,然而 Sapling Woodchipper 攻击需要强大的 CPU 才能正常运行,但仍然成本低廉。该协议的开发者 Duke Leto 表示,该攻击协议旨在迫使 Zcash 团队应对困扰网络的严重问题采取行动,使得 Zcash 代码和网络更加安全。

PeckShield:PlusToken 跑路资金中 4.8 亿枚 XRP 发生转移

据 PeckShield 数字资产护航系统 (AML) 数据显示,今天下午 13 点 39 分,XRP 链上出现一笔超大额转账交易,rNfRpq 开头的地址将 484,775,570 个 XRP 转入了 r3C9BX 开头的地址中,价值约 1.3 亿美元。此笔交易的发起方 rNfRpq 开头的地址为 PlusToken 跑路资产中的 XRP 部分。此前,PeckShield 监控到 PlusToken 跑路资产中的 BTC 部分已频繁发生转移,而 ETH 部分和 EOS 部分资产尚未发生异动。鉴于最近钱包跑路事件频出,PeckShield 在此提醒广大用户务必注意辨识一些可疑的「诈骗」钱包,谨慎参与投资,避免数字资产遭到损失,同时在此呼吁各大交易所应做好地址标记,协助及时冻结流入的脏款。

上海勤胜医药股东郑福景、郑广华比特币地址被美国财政部列入黑名单

链闻消息,据美国财政部外国资产控制办公室(OFAC)发布的信息,上海勤胜医药科技有限公司股东郑福景和郑广华的比特币地址被美国财政部列入黑名单,因其涉嫌在美国非法销售合成阿片类药品。美国财政部外国资产控制办公室援引同样原因,将另一位中国公民颜晓兵的比特币地址也列入了黑名单。上海勤胜医药科技有限公司是一家注册在上海,从事医药中间体、原料药和精细化工品贸易的公司。

慢雾:RubyGems 的 11 个 Ruby 库中包含后门代码用来挖矿或盗币

链闻消息,慢雾安全团队表示,包管理器 RubyGems 的 11 个 Ruby 库中包含后门代码用来挖矿或盗币。慢雾安全团队称,RubyGems 软件包存储库的维护者已经提取了 11 个 Ruby 库中 18 个包含后门代码的恶意文件,并且捕获了恶意代码,这些代码在其他人的 Ruby 项目中启动了隐藏的加密货币挖掘程序,用来挖掘加密货币或盗币。恶意代码是昨天在四个版本的 rest-client 中首次发现,这是一个非常流行的 Ruby 库。根据荷兰 Ruby 开发人员 Jan Dintel 的分析,在 rest-client 中发现的恶意代码会收集并将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器,该代码还包含一个后门机制,允许攻击者执行恶意命令。

Brave 浏览器整合身份验证服务商 Yubico 最新产品,支持为 iOS 设备提供安全密钥

链闻消息,隐私保护浏览器 Brave 宣布已支持身份验证硬件服务商 Yubico 的最新产品 YubiKey 5Ci,目前已同时支持在 iPhone 及 iPad 等 iOS 设备上提供安全密钥以防止网络钓鱼。Brave 已宣布和 Yubico 合作,此次整合新产品将 YubiKey 的支持带到 Brave iOS 客户端。安全密钥可以同时对网站和登录人员进行身份验证,新的 YubiKey 5Ci 整合 Lightning 和 USB-C 接口,使其兼容 iOS 和 Android 的移动设备、笔记本电脑和台式机。Brave Software 首席执行官 Brendan Eich 表示,Brave 浏览器致力于提供安全无缝的体验,只要经过认证的技术可用,我们就将其整合在一起,很高兴 Brave 成为首款支持 YubiKey 5Ci 的浏览器。据 Block123.com 显示,Yubico 是提供身份验证硬件产品的服务商,使用 U2F 和 WebAuthn 协议为在线登录提供安全的防网络钓鱼认证。

慢雾预警:用户警惕新型钓鱼盗币方式

链闻消息,慢雾安全团队表示,捕获到针对数字货币行业供应链攻击的一种新方式,大概过程如下:攻击者劫持某知名权威的数字货币行情 / 导航站,里面的主流交易所网址都被替换为精心准备的钓鱼网站,而许多用户喜欢通过这些知名入口来访问交易所网站,但这时他们上的都是假的;整个攻击过程,包括双因素认证登录、挂单交易、充提都是无感的,盗币于无形。

慢雾:交易所与钱包需警惕 ERC20 Token 假充值漏洞

据慢雾区块链威胁情报系统 (BTI) 捕获,以太坊链上出现大量利用 ERC20 Token 假充值漏洞攻击数字货币交易所及钱包的行为,其中包含几个知名 ERC20 Token,慢雾安全团队提醒广大交易所及钱包注意自查平台内上线的 ERC20 币种是否存在假充值漏洞。漏洞原理及修复方案可在来源链接查看慢雾安全团队 2018 年 7 月披露的漏洞分析文章,且慢雾安全团队在 5 月发布的「假充值漏洞扫描器」可应对此类攻击。

成都链安与交易所 BitMart 达成战略合作,提供智能合约安全审计等服务

链闻消息,区块链安全公司成都链安 Beosin 宣布交易所与 BitMart 达成安全战略合作协议,提高 BitMart 平台安全性,保障用户资产安全,双方表示将在智能合约安全审计、信息与网络安全资讯、数据监控、异常分析及追踪、黑客攻击、反洗钱调查等方面展开深度合作。BitMart 于 2017 年成立,2018 年 3 月 15 日正式运营,称目前每日交易量约在 52 亿人民币,用户注册量逾 85 万。Beosin 成都链安称建立了覆盖区块链安全开发、基于形式化验证的安全检测、运行时安全监控与防护的全生态安全解决方案,包括智能合约安全审计、链平台安全检测、交易所安全服务等,并表示搭建了一站式区块链安全服务平台,包括智能合约开发工具(Beosin-IDE)、基于形式化验证的一键式智能合约安全检测平台 (Beosin-VaaS) 等安全产品。此外,成都链安表示已累计发现各公链生态漏洞近百份,为千余份智能合约和几十个链平台项目提供了安全审计服务,并与普华永道、微众银行、ONT、NEO、Qtum、布比区块链、R3V 等区块链企业建立了长期战略合作关系。
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpAppleAndroid