链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

安全

安全新闻快讯文章, 安全深度文章, 安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

ChainSecurity 发布以太坊智能合约漏洞检测工具 Securify 2.0 版本

链闻消息,由区块链安全公司 ChainSecurity 开发的以太坊智能合约安全扫描工具 Securify 正式发布 2.0 版本,以太坊基金会也参与了资助该项目的研发,2.0 版本将继续保持免费和开源,已发布在 GitHub 中。Securify 2.0 版本将进一步提升智能合约的漏洞检测工具的优势,目前支持以太坊平台智能合约编程语言 Solidity 0.5.* 和 0.6.* 版本,并提供 37 种按严重程度分类的漏洞检测能力。链闻在本月初报道,ChainSecurity 团队宣布加入普华永道瑞士(PwC Switzerland),加速普华永道瑞士的区块链审计业务,如智能合约、区块链平台的技术审计,以及为投资加密货币的客户提供风险保障服务。

苹果放弃为 iPhone 用户的 iCloud 备份提供端到端加密的计划

链闻消息,路透社援引六位知情人士称,苹果已经放弃为 iPhone 用户的 iCloud 备份提供端到端加密的计划,此举源于美国联邦调查局(FBI)抱怨该计划将会对相关调查带来阻碍。这意味着,用户在云端保存的数据备份,会在 FBI 等联邦机构调查案件期间无保留地被展示出来,而且还有可能被作为法庭上的证据。过去,FBI 主要采用破解安全漏洞的黑客软件侵入苹果手机,但这种方法需要直接访问手机,因此会提醒用户,使他们觉察到自己成为调查对象。此举将会让 FBI 开展调查工作更加方便,使用苹果 iCloud 资料可秘密地进行搜索。2019 年上半年,根据苹果半年一次的透明度报告显示,携有正规法院文件的政府机构及其他执法当局在 1568 个案件中申请用户资料调查,涉及约 6000 个账户。
·

挪威工程院院士容淳铭:中国分布式计算成熟,具备在区块链弯道超车的可能

区块链体制基于美国,中国能实现弯道超车吗?挪威工程院院士容淳铭从 5 个方面谈对区块链的认识。
挪威工程院院士容淳铭:中国分布式计算成熟,具备在区块链弯道超车的可能

BTCPay 发布桌面应用 BTCPay Vault,安全集成外部硬件钱包

链闻消息,BTCPay 宣布发布一款桌面应用 BTCPay Vault,以将用户的硬件钱包集成到该系统中,并允许用户利用其比特币全节点进行验证。这意味着,用户可以基于全节点实现硬件钱包与 BTCPay 之间的通信,无需牺牲隐私和安全性。BTCPay 是一个开源的自托管比特币支付处理器,不会存储用户私钥,但如果用户要花费钱包中收到的资金,就必须访问私钥,这就需要使用外部钱包,由于市面上几乎所有钱包都有严格的限制(gap 限制、可信任的第三方、没有 xpub 导出支持等),因此大多数用户经常选择使用诸如 Electrum 之类的钱包解决方案,从而导致将敏感的财务信息泄露给第三方服务器。此次推出的桌面应用 BTCPay Vault,旨在通过集成 BTCPay Server 和连接在用户电脑上的硬件钱包来解决此问题。所有资金由用户自己的比特币全节点进行验证,这样用户就可在 BTCPay Server 上完成支付,而无需放弃对私钥的控制。

区块链证明引擎 Tierion 开源利用闪电网络技术实现的匿名授权令牌

链闻消息,区块链证明引擎 Tierion 宣布推出一系列开放源代码工具,供开发人员开发支持 LSAT 的应用程序。LSAT 是 Tierion 联合 Lightning Labs 工程师合作推出的匿名授权令牌,LSAT 可使用比特币闪电支付实现安全和隐私身份验证,而无需用户帐户或存储任何用户数据。LSAT 是一个 HTTP 头字段,可对 macaroon 和相应的闪电发票进行编码。支付证明是产生有效 LSAT 的基本要求。
·

一文读懂加密货币智能钱包生态先行者

作为区块链大规模应用的起始点,众多钱包正在采用智能合约等技术降低用户保管私钥的门槛。抛开私钥和助记词,你需要一个智能钱包。
一文读懂加密货币智能钱包生态先行者
·

质疑比特币的金融大佬忘了私钥,该被指责吗?

在围城之外的人被「私钥」、「助记词」束缚得难以呼吸,加密世界的入口亟待加上更低门槛的安全门。
质疑比特币的金融大佬忘了私钥,该被指责吗?

区块链安全工具平台「望岳」推出 XRP 假充值攻击测试功能

链闻消息,区块链安全工具平台「望岳」推出「XRP 假充值攻击测试」功能,用户在提交一个激活的交易所充值地址和校验 MEMO 后,该功能将为该地址充值 1 万 XRP 进行测试。「望岳」是区块链领域的跨平台一站式安全工具,集成了漏洞扫描、安全审计、安全工具、技术教学等⽹络安全插件式工具,其微信小程序「望岳 Security」已上线。该 XRP 的漏洞是一个官方早就披露过的问题,但是经过望岳团队测试,依旧有至少 12 家交易平台存在该假充值漏洞。该平台目前由匿名团队发布。
·

私钥也能找回?了解 Vitalik Buterin 提出的秘密多重签名恢复方案

私钥丢失也能找回?Vitalik Buterin 等提出了一种秘密多重签名恢复方案。它能够帮助忘记钱包密码或私钥的用户找回私钥,但也存在着安全隐患。
私钥也能找回?了解 Vitalik Buterin 提出的秘密多重签名恢复方案
·

五分钟了解同态加密及三种常见方案

同态加密是一种允许直接对加密数据执行计算而无需解密密钥加密方案。从理论上讲其功能强大且在学术上很具有吸引力,但是实际使用门槛较高。
五分钟了解同态加密及三种常见方案

慢雾:Electrum 「更新钓鱼」盗币攻击补充预警

Electrum 是全球知名的比特币轻钱包,支持多签,历史悠久,具有非常广泛的用户群体,许多用户喜欢用 Electrum 做比特币甚至 USDT(Omni) 的冷钱包或多签钱包。基于这种使用场景,Electrum 在用户电脑上使用频率会比较低。Electrum 当前最新版本是 3.3.8,而已知的 3.3.4 之前的版本都存在「消息缺陷」,这个缺陷允许攻击者通过恶意的 ElectrumX 服务器发送「更新提示」。这个「更新提示」对于用户来说非常具有迷惑性,如果按提示下载所谓的新版本 Electrum,就可能中招。据用户反馈,因为这种攻击,被盗的比特币在四位数以上。本次捕获的盗币攻击不是盗取私钥(一般来说 Electrum 的私钥都是双因素加密存储的),而是在用户发起转账时,替换了转账目标地址。慢雾提醒用户,转账时,需要特别注意目标地址是否被替换,这是近期非常流行的盗币方式。并建议用户使用 Ledger 等硬件钱包,如果搭配 Electrum,虽然私钥不会有什么安全问题,但同样需要警惕目标地址被替换的情况。

慢雾预警:全球知名比特币钱包 Electrum 「更新钓鱼」盗币行为在继续

2018 年 12 月,慢雾第一次发现并预警了有攻击者利用 Electrum 钱包客户端的消息缺陷,在用户转币操作时强制弹出「更新提示」,诱导用户更新下载恶意软件,进而实施盗币攻击。近期,慢雾科技反洗钱 (AML) 系统通过持续追踪发现,其中一个攻击者钱包地址 bc1qc...p2kny 已累计盗取 30 多枚 BTC,作案时间持续半年,并且近期还在活跃。慢雾提醒 Electrum 用户注意「更新提示」,这种「更新提示」里的新版本 Electrum 很可能是假的,如果有安装,请及时在其他安全环境将比特币转出。同时慢雾呼吁广大加密货币交易所、钱包等平台的 AML 风控系统拉黑并监测如上比特币地址。这种「更新提示」是攻击者利用 Electrum 客户端和 ElectrumX 服务器的消息缺陷发起的钓鱼攻击,攻击者需要提前部署恶意的 ElectrumX 服务器,并且这个恶意服务器被用户的 Electrum 客户端纳入本地(因为 Electrum 客户端是轻钱包,用户需要 ElectrumX 服务器来广播交易)。疯狂时,恶意的 ElectrumX 服务器占全部的 71% 之多,据不完全统计,过去一年多,这种钓鱼攻击已经盗取了数百枚比特币。虽然在 2019 年初 Electrum 官方就说要采取一些安全机制来杜绝这种「更新钓鱼」的发生,比如:1. 补丁 Electrum 客户端不显示丰富的文本,不允许任意消息,只有严格的消息;2. 补丁 ElectrumX 服务器实现检测 Sybil Attack(即女巫攻击,发送钓鱼消息的恶意服务器),并不再向客户端广播它们;3. 实施黑名单逻辑,在 Electrum 客户端视图之外提醒恶意服务器;4. 在社交网站、网站和与用户存在的所有通信形式上大力宣传,他们应该始终运行最新版本,并且始终只从官方来源 (electrum.org) 安装,通过安全协议 (https) 访问,并事先验证 GPG 签名。但许多用户的 Electrum 还处于老版本状态(小于 3.3.4),老版本还处于威胁之中,但是慢雾认为不排除新版本也会有相似威胁。

慢雾:Cryptopia Hacker 洗钱地址连续转移近 1200 ETH 到 60cek.org 匿名兑换平台

链闻消息,据慢雾科技反洗钱 (AML) 系统监测显示,自北京时间 1 月 18 日上午 10 点 36 分开始,Cryptopia Hacker 洗钱地址之一 (地址 0x341a97...73e3a8) 分 5 次共 1200 ETH 转移向 60cek.org 匿名兑换平台。另有 Cryptopia Hacker 洗钱流出的 2.1w+ ETH 分散在 2 个地址中,未发生进一步动作。

加密资产服务商 Keystore 获建元基金、分布式资本千万美元投资

链闻消息,企业级加密资产服务商 Keystore 完成千万美元 Pre-A 轮融资,本轮融资由隧道股份旗下建元基金领投,分布式资本跟投。Keystore 创始人兼 CEO 欧阳蒙表示,本轮融资主要用于公司人才建设和技术更新。作为建元基金在区块链领域的首笔投资,建元基金管理合伙人沈培良称,「作为最先布局区块链技术的传统股权投资基金之一,我们对区块链行业一直高度关注。加密资产的安全性是行业最基础也最为核心的一项需求,是区块链行业能否稳定发展的关键因素。 我们非常看好 Keystore 在底层技术的创新性和未来业务的巨大发展空间。」作为跟投方,分布式资本创始人沈波表示,「分布式资本这几年见证了行业的飞速发展,同时也看到行业内一直缺少底层安全基础设施的建设,Keystore 所涉及的存管及衍生服务将会是分布式资本接下来重点关注的领域。」据 Block123.com 显示,Keystore 成立于 2018 年 8 月,定位于全球性企业级加密资产服务商,以安全存储私钥为核心业务,向企业用户提供信息安全防护和加密数据处理技术。

隐私计算项目 PlatON 与慢雾科技达成合作,启动安全审计专项合作

链闻消息,隐私计算及分布式经济基础设施 PlatON 宣布与区块链生态安全公司慢雾科技达成战略合作关系,并启动安全审计专项合作。慢雾科技安全团队针对 PlatON 的 P2P、RPC、加密签名等 7 个模块,进行了为期一个月的安全审计。据审计报告结果显示,PlatON 确保了已被审计部分暂未被发现任何网络安全风险。慢雾科技表示将进一步对 PlatON 开展链审计、周边工具审计、合约审计等,提供持续性区块链威胁情报与联动防御方面全方位的解决方案,旨在共同保障 PlatON 生态安全。
·

古灵币 Grin 已完成第二次硬分叉升级

链闻消息,匿名币项目古灵币 Grin 已于区块高度 524,160 完成第二次硬分叉升级。本月初 Grin 已发布最新的 3.0 客户端以支持本次硬分叉升级。除了一些优化之外,本次升级最重要的是 Grin 将抵抗 ASIC 的工作量证明算法更新为 Cuckaroom29。按照既定规划,Grin 将在最初两年中进行 4 次硬分叉,即每经过 262,080 个区块(约 6 个月间隔)进行一次硬分叉。

成都链安宣布获联想创投、复星高科领投多轮数千万元融资,将持续深化区块链安全布局

链闻消息,区块链安全公司成都链安科技有限公司宣布近期连获多轮融资,共计数千万人民币,由联想创投、复星高科领投,成创投、任子行战略投资,分布式资本、界石资本、盘古创富等老股东均跟投。此次融资将用于持续深化区块链全生态安全布局、研发「一站式」区块链安全服务平台、开展自主可控的区块链安全技术研究、提升用户全新体验及全球化市场的拓展,助力成都链安成为全球区块链安全领域的行业标杆。此前,链安科技曾于 2018 年 5 月获得分布式资本种子轮投资,2018 年 11 月获得界石资本、盘古创富的天使轮投资。

联想和复星入股成都链安,并列第四大股东

链闻消息,工商信息显示,成都链安科技有限公司发生多项工商变更,联想(北京)有限公司、上海复星高科技(集团)有限公司、任子行网络技术股份有限公司新增为其股东。其他变更还包括:北京盘古创富成长三号投资中心(有限合伙)退出其股东行列,宁波盘古创富和富股权投资合伙企业(有限合伙)、成都创新风险投资有限公司、成都成创智联科技合伙企业(有限合伙)新增为其股东。在入股之后,联想和上海复星分别持有成都链安 5.35% 的股份,为并列第四大股东。任子行网络技术股份有限公司曾在去年 11 月 28 日发布公告,拟以自有资金 1,000 万元向成都链安科技有限公司增资,以获得成都链安 5.39% 股权。
·

慢雾:我们看到 2019 年区块链安全与隐私领域发生这些大事件

慢雾科技梳理了 2019 年区块链安全与隐私生态发生重大影响的 13 件事,并给出了相应的观点和建议。
慢雾:我们看到 2019 年区块链安全与隐私领域发生这些大事件
返回页面顶部
返回链闻首页
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpHomeAppleAndroid