链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

安全

安全新闻快讯文章, 安全深度文章, 安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

·

Bybit 首席安全官:区块链应用场景下安全的本质并没有发生大的变化

链闻消息,Bybit 首席安全官 Benjamin 在「金色沙龙-全球应用安全加速」主题峰会上表示,「从安全从业者角度来讲,区块链应用场景下安全的本质并没有发生大的变化,安全还是保护用户、保护公司数据和资产、保护公司品牌,安全技术也还是实现保密性、可用性和完整性。与金融或者互联网领域相比,安全比较大的一个区别是区块链场景与链下结合时用户隐私保护,这将更富有挑战性。」此次大会主要围绕区块链安全等相关主题展开讨论,除了 Bybit 首席安全官 Benjamin 之外,参与者还有阿里云高级架构师福威、HBTC 创始人巨建华等相关领域的专家。
·
·
·

成都链安:F5 BIG-IP 远程代码执行漏洞预警 CVE-2020-5902

漏洞威胁:高,受影响版本:BIG-IP 15.x: 15.1.0/15.0.0、BIG-IP 14.x: 14.1.0 ~ 14.1.2、BIG-IP 13.x: 13.1.0 ~ 13.1.3、BIG-IP 12.x: 12.1.0 ~ 12.1.5 和 BIG-IP 11.x: 11.6.1 ~ 11.6.5。漏洞描述:在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/ 配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于 : 执行任意系统命令、开启 / 禁用服务、创建 / 删除服务器端文件等。修复方案:官方建议可以通过以下步骤暂时缓解影响(临时修复方案) 1) 使用以下命令登录对应系统 tmsh2) 编辑 httpd 组件的配置文件 edit /sys httpd all-properties3) 文件内容如下 include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '4) 按照如下操作保存文件,按下 ESC 并依次输入 :wq 5) 执行命令刷新配置文件 save /sys config 6) 重启 httpd 服务 restart sys service httpd 并禁止外部 IP 对 TMUI 页面的访问成都链安在此建议使用该应用的交易所进行安全自查,按照官方安全建议进行修复,避免造成不必要的经济损失。

Ravencoin 官方确认漏洞存在,已增发总量的 1.5%

链闻消息,Ravencoin 社区成员 CryptoScope 团队发现 Ravencoin 区块链存在漏洞,已被未知人员铸造 RVN 总量 210 亿其中的 1.5%。Ravencoin 开发者 Tron Black 表示,这些代币在被开采后可能已经被出售给市场了,因此经济损失已经被 Ravencoin 生态所吸收。官方提醒所有的矿工、矿池或交易所将客户端升级为最新版本,使用最新版本即可,而社区也在考虑各种方案减少该事件带来的后续影响,比如将减半时间提前,让总量恢复到原来计划的 210 亿。
·

ZenGo 披露 Ledger、BRD 和 Edge 等主流加密钱包漏洞,漏洞会使未确认的交易计入用户余额

链闻消息,加密钱包 ZenGo 发布报告称其在 Ledger、BRD 和 Edge 等主流加密货币钱包中发现了一个漏洞(命名为「BigSpender」)。该漏洞可能会使未确认的交易计入用户的总余额中,而此时,攻击者可在交易确认之前撤销该笔交易。攻击者利用了比特币协议中的一项费用替代「Replace-by-Fee」功能。该功能可通过支付更高的手续费来替换此前的一笔交易。攻击者可以连续多次使用该功能进行 BigSpender 攻击。值得注意的是,BigSpender 并不是比特币协议中的漏洞,不会让攻击者窃取比特币,但可用来混淆用户。ZenGo 已经在 90 天之前披露了该漏洞,并同意为这些钱包保密 90 天,保密期限已于 7 月 1 日到期。Ledger 和 BRD 现已向 ZenGo 授予了漏洞赏金。另外,BRD 目前已经发布了修复程序。更新:Ledger 对此回应称,这不是漏洞,只是有恶意行为者会利用该费用替代功能进行诈骗。用户的私钥、PIN 码等信息是安全的。另外,截至目前从未出现过用户被欺骗的报告。Ledger 现已更新 Ledger Live,包括提升用户体验(UX)。用户可直接验证交易状态,并会在有未确认交易的情况下接收到提示通知。
·

Cobo 金库公开代码审计报告,后续将实现部分安全芯片加密算法层的代码开源

链闻消息,硬件钱包 Cobo 金库公布了与区块链安全公司 PeckShield 合作进行的代码审计报告,报告指出,目前仅有的两个未修复的问题,其本身是低风险问题,未修复的原因主要是跟业务逻辑有冲突。为了能够让硬件钱包尽可能地趋近于 100% 透明可验证,接下来还有很多后续工作需要开展,比如实现部分安全芯片的加密算法层的代码开源、重新实现 ARM 芯片相关代码并开源、生产 Cypherpunk 版本 Cobo 金库,允许用户自行编译并烧录安全芯片固件以及钱包应用等。
·

黑客在 Uniswap 上仅用 0.9ETH 盗走价值 90 万美元的 VETH

链闻消息,Coingecko 研究人员 Daryllautk 发推称,VETH 在去中心化交易所 Uniswap 遭遇黑客攻击。黑客仅使用 0.9ETH 就盗走了 919,299 VETH (价值 90 万美元)。攻击事件发生后,VETH 官方表示,「该合约被其放置在 transferForm ()中的 UX 改进所利用,这是我们的过错。我们将重新部署 vether4,并将补偿所有受影响的 Uniswap 质押者。」

比特币侧链 Liquid Network 存在一个长期安全漏洞,Blockstream 回应称暂无资金被盗

链闻消息,比特币开发商、加密初创公司 Summa One 创始人 James Prestwich 表示,区块链初创公司 Blockstream 的比特币侧链网络 Liquid Network 存在一个长期漏洞,这可能导致上百万比特币被盗。由于时间锁(TimeLock)不一致,该安全漏洞影响了 Liquid Network 上的基本帐户。这种不一致可能会让员工通过紧急恢复流程提取比特币,只需要 3 个密钥持有者中的 2 个签署交易将绕过 multisig (多签名)进程,该进程原本需要 15 个密钥持有者中的 11 个来签署交易。据 James Prestwich 表示,该账户本周控制了 870 枚比特币 (约 800 万美元),控制时间超过一个多小时。然而,这个潜在漏洞已经存在了 18 个月,可能已经造成了数百万美元的损失,影响了 2000 多个交易输出(UTXO)。Blockstream 首席执行官 Adam Back 承认该漏洞是一个「已知问题」。他表示,一个完整的修复程序已经进行了一段时间,但由于几个原因被推迟了。他补充说,开发人员目前正在与 Liquid Federation 合作,以创建和部署最后的补丁。目前,已存在一种解决方法,它将以一种暂时且有限的方式解决这个问题。Adam Back 指出,Blockstream 对这种情况的处理「没有达到通常的信任最小化标准」。以 Blockstream 的信誉而言,实际上没有资金被窃取。此外,这个漏洞只会导致员工内部盗窃的可能性,而不是外部攻击的可能。
·

金融科技公司 Plaid 被指控收集 Cash App 等应用程序的数据信息

链闻消息,据 Cointelegraph 报道,金融科技公司 Plaid 面临一项集体诉讼。原告声称,Plaid 通过累积数百万用户的金融交易并将其货币化,侵犯了用户的隐私信息。原告指控 Plaid 通过「数据管道」(Data plumbing)积累 Venmo、Stripe、Square 的 Cash App 和 Robinhood 等服务的相关数据信息。链闻此前报道,今年 1 月份,Visa 宣布以 53 亿美元收购金融科技公司 Plaid。Plaid 可以通过软件接口(API)的形式为初创公司提供接入用户银行账户的服务,比如零佣金股票和加密货币交易工具 Robinhood 和加密货币交易所 Coinbase、Gemini 都是其客户。
·

TikTok 和其他部分应用疑似通过 iOS 剪贴板访问加密钱包地址等敏感信息,TikTok 表示将停止在 iOS 设备上访问剪贴板内容

链闻消息,据美国科技博客媒体 Ars Technica 报道,在今年 3 月份研究人员 Tommy Mysk 和 Talal Haj Bakry 发布报告表示字节跳动旗下短视频平台 TikTok 和其他一些应用会定期从 iOS 和 iPadOS 剪贴板中调出数据之后,尽管 TikTok 承诺要遏制这种做法,但其仍继续访问 Apple 用户的一些隐私数据,其中包括密码、加密货币钱包地址、帐户重置链接以及一些个人消息。许多其他应用程序也在继续访问 Apple 用户隐私信息。TikTok 代表在一份声明中写道,「自 6 月 22 日发布 iOS14 测试版以来,用户在使用许多应用程序时看到了这些通知。对 TikTok 而言,这是由旨在识别重复性垃圾邮件行为的功能触发的。我们已经向 App Store 提交了该应用程序的更新版本,其中删除了反垃圾邮件功能。TikTok 致力于保护用户的隐私。」

江西吉安中级人民法院点名多个虚拟货币骗局

链闻消息,江西吉安市中级人民法院撰文称,80% 以上的资金盘是来自美国的国际老。每推出一个新盘,在前期市场空白阶段,为提高假象的「暴增速度」来吸引投资者,他们就向市场抛售几个、十几个甚至几十个亿的报单虚拟币。同时,在前期最多回放 20% 给与参与者「兑现提款」,再由有收益的「提款成功」者传播,就能招募更多的「贪婪者」参与投资。其它 80% 资金通过各种渠道洗出境外。在吉安市中级人民法院归类虚拟货币和新概念外汇跟单为「最潮流骗局」,并点名了多个项目,包括张健五行币,下线多达 18 万人,传销头目宋密秋已被中国警方抓获;亚欧币,诈骗 40 亿元,7 万余人被骗一空;GCB 光彩币,注册会员数十万,涉案金额上亿元;EGD 网络黄金,注册会员 50 万人,涉案金额 109 亿;万福币,注册会员 13 万人,涉案金额 20 亿元;暗黑币,注册会员 3 万多人,涉案金额 15 亿;维卡币,注册会员 180 万人,涉案金额 6 亿余元;莱汇币,注册会员 20 万人,涉案金额 5 亿余元;Discovery 摸金派π、克拉币、DGC 共享币、百川币、麦格币、恒星币、Gem Coin 珍宝币、FC 赫尔币、开心理财网、蒂克币、BGB 贝格邦、BBT 金币、OFC 万维币、马克币、利阁币、雷达币、摩哈币、中国物联网数字货币中心。
返回页面顶部
返回链闻首页