链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

安全

安全新闻快讯文章, 安全深度文章, 安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

·
·
·

研究:以太坊混币平台 Tornado Cash 可能会因某个用户操作不当而削弱其他用户的隐私

链闻消息,据匈牙利科学院计算机学者 Ferenc Béres 等人发表的一篇论文,案例研究显示,以太坊混币平台 Tornado Cash 可能会因为某个用户的操作不当而削弱其他用户的隐私。安比实验室创始人郭宇对链闻回应称,该问题不严重,这是所有混币器面临的共同问题。
·
·

成都链安:Apache Tomcat 远程代码执行漏洞预警(CVE-2020-9484)

链闻消息,成都链安威胁情报系统预警,Apache Tomcat 远程代码执行存在漏洞,部分交易所仍然在使用此 web 服务器,黑客可利用此漏洞进行犯罪入侵,我们建议使用相关软件的交易所及时自查并进行修复。漏洞威胁:高。受影响版本:Apache Tomcat 10.0.0-M1 至 10.0.0-M1、Apache Tomcat 9.0.0.M1 至 9.0.34、Apache Tomcat 8.5.0 至 8.5.54、Apache Tomcat 7.0.0 至 7.0.103。漏洞描述:1) 攻击者可以通过此漏洞控制服务器以及计算机上的文件;2) 服务器将会被配置 FileStore 和 PersistenceManager;3) PersistenceManager 配置有 sessionAttributeValueClassNameFilter =「 null」(除非使用 SecurityManager,否则为默认值)或不严谨的过滤器,允许攻击者执行反序列化操作;4) 攻击者知道从 FileStore 使用的存储位置到攻击者可以控制的文件的相对文件路径;然后,使用特殊请求,攻击者将能够在其控制下通过反序列化文件来触发远程代码执行。(攻击成功必须满足以上四个条件) 成都链安安全团队建议根据官方提供的修复方案进行修复,修复方案如下:Apache Tomcat 10.0.0-M1 至 10.0.0-M1 版本建议升级到 Apache Tomcat 10.0.0-M5 或更高版本;Apache Tomcat 9.0.0.M1 至 9.0.34 版本建议升级到 Apache Tomcat 9.0.35 或更高版本;Apache Tomcat 8.5.0 至 8.5.54 版本建议升级到 Apache Tomcat 8.5.55 或更高版本;Apache Tomcat 7.0.0 至 7.0.103 版本建议升级到 Apache Tomcat 7.0.104 或更高版本。用户也可以通过 sessionAttributeValueClassNameFilter 适当的值配置 PersistenceManager,以确保仅对应用程序提供的属性进行序列化和反序列化。
·
·
·

Fastjson 全版本远程代码执行漏洞曝光,降维发布预警

据降维安全实验室(johnwick.io) 报道,Fastjson <=1.2.68 全版本存在反序列化漏洞,利用该漏洞,黑客可远程在服务器上执行任意代码直接获取服务器权限。此漏洞异常危险,降维安全实验室建议使用了该 java 库的相关交易所及企业及时将 Fastjson 升级至 1.2.68 版本、打开 SafeMode、并持续关注 fastjson 官网等待 1.2.69 版本的更新并立即升级以防止被攻击。

DDEX:提醒用户识别冒用 DDEX 相关名义进行合约交易等虚假信息

链闻消息,去中心化交易所 DDEX 发布公告表示,有人冒用 DDEX 相关名义,通过网虚假网站 http://real.ddexbank.cn 、APP、邮箱 ddex1188@163.com, 微信群等渠道冒充官方发布虚假信息,封禁用户资金, 开展合约交易等。DDEX 声明表示, 从未通过网站、APP、微信等任何渠道,也从未授权任何实体或个人,以 DDEX 相关名义进行过任何此类活动,并提醒公众切勿轻信此类虚假信息,以免造成资金损失。
·

Electric Capital 提出 DeFi 产品风险管理流程框架 Guarded Launch

链闻消息,加密资产管理公司 Electric Capital 提出一种启动 DeFi 新产品时可使用的流程框架 Guarded Launch,允许 DeFi 新项目以最小开发成本部署具有全面风控的早期版本。根据 Electric Capital 的介绍,这种「受保护的启动」(Guarded Launch)启动模式将部署新合约,这些合约将带有一系列限定性的参数集,允许用户在有限范围内与产品进行交互,可最大化减少添加其他代码的风险,包括资产限制、资产类型限制、用户数量限制、使用限制(比如通过限制交易规模、限制每日交易量、限制单个帐户或限制交易速度等来增加使用摩擦)、可组合性限制(通过在核心操作中引入时间锁功能限制合约被用于组合的原子交易中的功能)、保险比率限制、LTV 比率限制、自动暂缓交易机制(实施一种自动机制可在极端情况下暂停系统)、紧急关停(设立一种实施,允许通过治理关停系统中的新活动并允许用户收回资产)。Electric Capital 称,可为 Guarded Launches 框架创建可构建智能合约库和服务的基元,从而提供可复用的组件以实现这些控制,并将其看作是一种去风险即服务(DeRisking as a Service)模式。
·
·
·

慢雾再次红色提醒:发现 ETH 新型假充值的新攻击手法

昨日慢雾安全团队首发了 ETH 新型假充值攻击 revert 的手法,慢雾安全团队持续进行深入地研究,发现了利用 Out of gas 的攻击手法。慢雾安全团队建议:如没有把握成功修复可先临时暂停来自合约地址的充值请求。针对使用合约进行 ETH 假充值时,除了 revert 和 Out of gas 的手法外,不排除未来有新的手法,慢雾安全团队会持续保持关注和研究。同时需要注意,类以太坊的公链币种也可能存在类似的风险,请警惕。

慢雾红色提醒: 警惕 ETH 新型假充值,已发现在野 ETH 假充值攻击

慢雾安全团队监测,已发现存在 ETH 假充值对交易所攻击的在野利用,慢雾安全团队决定公开修复方案,请交易所或钱包及时排查 ETH 入账逻辑,必要时联系慢雾安全团队进行检测,防止资金丢失。慢雾安全团队建议:如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作:1、针对合约 ETH 充值时,需要判断内联交易中是否有 revert 的交易,如果存在 revert 的交易,则拒绝入账;2、采用人工入账的方式处理合约入账,确认充值地址到账后才进行人工入账。同时需要注意,类以太坊的公链币种也可能存在类似的风险,请警惕。

Trail of Bits 计划利用零知识证明重塑漏洞披露流程

链闻消息,安全研究机构 Trail of Bits 宣布,正在与约翰霍普金斯大学的 Matthew Green 合作,使用零知识证明(zero-knowledge proofs)技术为科技公司和安全漏洞研究人员建立一种可信的基础设施,在新的合作方式之下,双方在针对漏洞披露(Vulnerability Disclosure)的流程中可进行合理的沟通,而不必担心受到破坏或歧视。在接下来的四年里,Trail of Bits 将会进一步推进零知识证明的理论极限,并为安全漏洞研究人员提供相应的软件,用以产生漏洞可利用性的零知识证明。这项研究也是 DARPA (美国国防部高级研究计划局)资助的「Securing Information for Encrypted Verification and Evaluation」(SIEVE)项目的一部分。
返回页面顶部
返回链闻首页
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpHomeAppleAndroid