安全

安全新闻快讯文章, 安全深度文章, 安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

慢雾:EOSPlay 遭遇新型随机数攻击

链闻消息,据慢雾区情报,基于 EOS 的去中心化应用(DApp) EOSPlay 中的 DICE 游戏于昨晚遭受新型随机数攻击,损失数万 EOS,目前项目方已经把游戏暂停。经过慢雾安全团队的分析,发现攻击者(账号:muma******mm)可能使用下列方式达到攻击目的:1、攻击者为自己和项目方租用了大量的 CPU;2、攻击者发大量 defer 交易;3、由于以上两点原因,导致 CPU 价格被拉高,从而导致其它用户 CPU 不足;4、因为 CPU 不足的原因,其他用户难以发送交易,攻击者得以使用自己交易占满区块;5、根据提前构造的交易内容,攻击者可以成功预测出区块哈希。由于项目方采用的是使用未来区块 id 的方式开奖,通过控制区块内的交易内容,就能控制区块信息,进而控制区块 id,达到预测开奖结果的目的。慢雾安全团队建议 DApp 开发者使用更为安全的随机数生成方式,避免遭到随机数攻击。同时,慢雾还特别感谢 WhaleEx 在此次分析过程中提供的帮助。

李启元推出卡片式钱包 Ballet,试图推动数字货币更广泛的应用

链闻消息,前比特币中国 CEO 李启元(Bobby Lee)推出支持多币种的卡片式冷钱包 Ballet,将于 10 月交付。李启元认为 Ballet 将会加速全球采用比特币和加密货币。Ballet 的首个产品系列是 REAL,这是一个集多币种支持和 100% 冷存储的数字资产硬件钱包,REAL 系列拥有多种的外观,每一种都有相应的主币种,可支持直接存储。同时 Ballet 还发布了一款配套的移动端应用 Ballet Crypto,通过该 App 可以发送数字资产,查询资产价值及激活多种数字资产,而且 Ballet 硬件钱包的接收和存储不依赖于该移动端 App,所以是否使用完全取决于用户。链闻注意到,Ballet 的投资方 Ribbit Capital,是 Libra 协会的成员和 Coinbase 的早期投资人。

Casa 发布资产安全协议 Wealth Security Protocol

链闻消息,比特币钱包 Casa 发布资产安全协议 Wealth Security Protocol。作为比特币安全密钥存储和管理系统,Casa Keymaster 将支持硬件五分之三多重签名,为多种硬件提供高级别的密钥安全保护,以及因灾难导致 Casa 停止运行时所有权的恢复,消除单点故障。同时,新协议改进了 Glacier 协议的复杂性,简单易于使用,设置和使用只需几分钟。此外,Casa 还存在一些潜在的安全问题,包括地址欺骗、内部人员导致密钥被盗的恶意行为、极端灾难情况和敲诈勒索。未来,Casa 还计划增加 Taproot / Mast 和 Schnorr Signatures 的使用。

闪电网络安全漏洞已被确认,官方呼吁用户尽快升级

链闻消息,闪电网络官方推特 Lightning Labs 发布推特称,已经确认安全漏洞可被利用的实例,请用户立即更新闪电网络节点,受到影响的闪电网络节点版本包括: LND 节点版本 0.7 及以下、c-lightning 节点版本 0.7 及以下、eclair 节点版本 0.3 及以下。Lightning Labs 也在推特表示,目前处于早期阶段,这也是提醒用户需要采取限制措施的好时机,以后可能会有 Bugs,不要把「超出承受范围的资金质押在闪电网络上」。链闻此前报道,比特币闪电网络开发者和规范设计者之一 Rusty Russell 报告了一个针对闪电网络的漏洞,该漏洞可能会导致资金丢失。
·

加密货币总市值已达三千亿美元,而可保险范围却不到十亿美元?

Coinbase、BitGo、富达投资、Gemini 交易所等其他一些涉及托管投资者加密货币的公司也都购买了保险。
加密货币总市值已达三千亿美元,而可保险范围却不到十亿美元?

美国税务局、移民局、FBI 等机构共花费 1000 万美元采购区块链数据分析服务

链闻消息,据 The Block 分析了联邦采购数据系统的公开数据显示,截止到现在,美国政府机构共花费了接近 1000 万美元采购区块链数据分析等相关服务。其中最大的采购方来自于美国国家税务局(IRS)、移民及海关执法局(ICE)和联邦调查局(FBI),这三家占总花费近 85%。最大的采购合约价值 160 万美元,是今年 4 月 IRS 的「网络犯罪案例支持和培训基地」合同,FBI 最大的合同是 120 万美元的「Chainalysis 系统许可」,ICE 最大的合同是 100 万美元的「软件许可」。链上数据分析公司 Chainalysis 是其中最大的供应商,总共有 900 万美元的合同,占美国政府机构总花费的 92% 以上。

成都链安:EOS 竞猜游戏 FASTWIN 遭黑客攻击,损失 700 EOS

Beosin 成都链安态势感知安全预警称,今日下午 2:21 开始,根据区块链安全态势感知系统 Beosin-Eagle Eye 检测发现,近期活跃的黑客 ju****ang 子账号 3ypa****rggff 向 EOS 竞猜游戏 FASTWIN 发起攻击,截止目前已获利 700 EOS,且攻击还在进行。经过技术团队的初步分析原因是随机数问题,我们已在第一时间发出预警并联系项目方。

Facebook 用户数据库遭泄漏,4.19 亿条用户手机号码记录被曝光

链闻消息,一个包含数亿条 Facebook 用户电话号码的数据库遭泄漏,在 TechCrunch 联系网络托管商后,目前该数据库已下线。根据 TechCrunch 报道,这个遭泄漏的服务器包括多个用户数据库的 4.19 亿条记录,其中包括美国 Facebook 用户的 1.33 亿条记录,英国用户 1800 万记录,以及越南用户超过 5000 万条记录。由于没有受密码保护,该服务器可以被任何人访问,每条记录都包含用户 Facebook ID 和账户关联的电话号码。Facebook 发言人 Jay Nancarrow 表示,这些是旧的数据集,目前已删除,我们没有看到任何证据表明 Facebook 帐户遭到入侵。TechCrunch 的安全编辑 Zack Whittaker 发推文称,「虽然 Facebook 表示这些数据在历史上被擦除,但是我们测试的这些电话号码仍然有效。」TechCrunch 将这些电话号码与列出的 ID 匹配后已经验证数据库中的多条记录为「有效」。此次泄漏事故导致 Facebook 用户面临重大的安全风险,比如最近频发的 SIM 劫持事件。此前链闻曾报道,推特创始人 Jack Dorsey 推特帐号被黑,或因 SIM 劫持所致。

MolochDAO 联合创始人:Compound 上出借 DAI 存在智能合约风险、中心化单点故障和挤提风险

链闻消息,MolochDAO 联合创始人兼 SpankChain CEO Ameen Soleimani 发布博文列举了在 Compound 出借 DAI 的风险,他在文章中称,自己管理公司近 50 万 DAI,根据 DAI 10%的利息,大约每个月能产生 4000 美元的收入,如果将这些 DAI 放入 Compound 中是有机会成本的。此外,在 Compound 放贷还有很大的风险,包括智能合约的安全风险、中心化单点故障(他解释,Compound 是一个托管系统,如果管理私钥泄露,所有租借池的资产都可能被盗走)和挤提风险(资金利用率高达 98.62% 的 Compound 没有足够的资产储备保证出借人随时取回资产)。此前,链闻曾报道,智能合约安全公司 Zeppelin 对 Compound 进行安全审计的报告暴露了 DeFi 项目普遍存在的一些风险问题,包括有可能导致平台资产被窃取和操纵的中心化风险,以及不合理的智能合约漏洞可能让矿工产生攻击行为,而清算激励机制在某些情况下可能会使借款人破产的可能性变高。
·

Compound 安全审计报告:DeFi 项目中心化风险不容忽视

使用 DeFi 产品时应该注意该智能合约是否有经过安全审计?治理运作方式是什么样的?以及喂价机制是否有被操纵的可能?
Compound 安全审计报告:DeFi 项目中心化风险不容忽视

Compound 审计报告:DeFi 项目中心化风险和智能合约漏洞不容忽视

链闻消息,智能合约安全公司 Zeppelin 对去中心化借贷平台 Compound 进行了一次安全审计,该审计报告结果并未显示 Compound 存在严重的漏洞,但却呈现了 DeFi 项目普遍存在的一些不容忽视的风险问题。其中之一是「中心化风险」,具体而言,Compound 是由中心化管理员决定其协议的工作模式,包括借贷资产可选项、资产利率模型、抵押要求等,另外,Compound 团队自行控制的喂价模型,有可能会导致系统中的大部分(如果不是全部)资产被窃取。为此,Compound 团队打算用更去中心化的治理机制取代现有的管理员角色,并计划通过「开放式预言机系统」改变原来的喂价机制。另一个问题是「智能合约相关的问题」,这个锁定资产超过 1 亿美元的第二大 DeFi 项目,借款人不必支付任何利息获得多次小额短期贷款,这可能会让矿工产生攻击行为,另外,在某些情况下,Compound 的清算激励机制会导致借款人更接近破产。这些风险并不是 Compound 独有的,链闻提醒,所有用户在使用 DeFi 产品时都应该注意,该智能合约是否经过审计?治理运作方式是什么样的?以及喂价机制是否可以有可能被操纵?#DeFi with ChainNews#

成都链安:EOS 游戏 skreosladder 再遭黑客攻击,损失近千 EOS

链闻消息,Beosin 成都链安态势感知系统报警称,从晚间 22:10 开始截止目前,skreosladder 游戏再次遭受黑客攻击,黑客目前已经获利近千 EOS。该黑客曾多次攻击该游戏,已被项目方加入黑名单,但黑客仍使用小号绕过了限制。
·

区块链如何保证交易安全?硬核详解唯链「强制交易依赖性」功能

如果一笔交易的执行依赖另一笔交易,只有在被依赖的交易出现在账本上且没有被撤销的情况下,这笔交易才会被接受并处理。
区块链如何保证交易安全?硬核详解唯链「强制交易依赖性」功能

观点:新一代公链面临比早期比特币更严峻的挑战,更容易被攻击

链闻消息,加密资产投资基金 ASP 创始人兼运营负责人阿里安娜·辛普森(Arianna Simpson)发布推文陈述了一个观点,认为「即将上线的一系列底层公链将面临比早期的比特币更加严峻的挑战」。具体来说,这些备受瞩目的公链项目面对的情形要比比特币和以太坊当年推出时的状况复杂得多。这些市值靠前的公链项目,自打一诞生起就备受期待,动不动获得数十亿美元(这个数字还在不断攀升)的投资,从而也将催生更有经济动力的攻击,随着新一代区块链技术变得越来越复杂,系统脆弱性和攻击面变得越来越大,更容易出现 bug,而攻击者也更有经济上的动机去进行恶意攻击获利。与此同时,今天的区块链项目是站在巨人的肩膀上,受益于早期区块链项目的技术经验,开发者也对此抱有更高的预期。此外,TokenDaily 补充了一点,认为由于以太坊强大的社区生态和先发优势,今天新一代的智能合约公链项目,将难以获得来自以太坊网络中的开发者的注意力。

慢雾对币安当前安全体系建设的整体评估为「优秀」

链闻消息,据慢雾科技的近期安全监测显示,加密货币交易所币安(Binance)的生产环境架构、服务器安全、应用安全、钱包私钥安全、办公环境安全等重要安全项目当前处于优质状态,同时币安的风控体系完善,配备多项措施保障用户资产安全,慢雾科技对币安当前的安全体系建设工作整体评估为:优秀。慢雾科技称,这是以客观专业的第三方安全机构视角,在获得币安书面授权情况下,针对币安目标业务进行全面的安全体系建设工作的持续安全监测并辅以场内确认,最终根据双方意愿客观披露阶段性的安全监测结果。

慢雾:8 月共发生 12 起较典型的安全事件,假充值漏洞给交易所造成巨大损失

链闻消息,据 SlowMist Hacked 统计,8 月共发生 12 起较典型的安全事件,累计造成近千万美元损失。慢雾区块链威胁情报 (BTI) 系统监测发现,多家交易所遭受假充值漏洞攻击,使用的攻击手法有:USDT(Omni) 假充值漏洞、ERC20 Token 假充值漏洞、EOS 假充值漏洞、XRP 假充值漏洞以及门罗币 (XMR) 转账锁定漏洞,给交易所造成巨大损失。同时慢雾 BTI 系统也发出预警,近期针对交易所的 APT(Advanced Persistent Threat) 攻击也愈演愈烈,慢雾安全团队在此提醒各交易所,提前做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。

推特创始人 Jack Dorsey 推特帐号被黑,因 SIM 劫持所致

链闻消息,美国当地时间上周五下午推特创始人兼 CEO Jack Dorsey 的推特账号被黑,并用这个有超过 421 万粉丝的推特大号连续发布了 10 多条包括种族主义言论和为纳粹德国辩护的推文。该事件发生后不久,这些推文已被删除,目前 Jack Dorsey 已经更换 SIM 卡。公司一名发言人在为该事件的声明中表示,由于移动服务提供商安全上的疏忽,导致与该帐户关联的电话号码遭到了攻击,最终黑客通过使用手机号码编写短信发送推文,目前这个问题已经解决了。如果一些个人信息(比如社保号最后四位、信用卡号码,甚至是假身份证)遭到泄漏,黑客就可以用这些信息要求运营商客户,将该移动帐户转到另一张 SIM 卡。一位知情人士称「这太残酷了」,因为黑客似乎使用了 Twitter 旗下产品 Cloudhopper 进行攻击,鉴于不断升高的短信成本 Twitter 收购于 2010 年收购了 Cloudhopper。另外,多位相关人士认为,推特高管的安全意识仍有待提高,由于不喜欢在路上随身携带物品,Jack Dorsey 喜欢用 iPhone 完成大部分工作,因此拒绝使用 Twitter 安全团队提供的安全性能更高的笔记本电脑。另一位 Twitter 前员工则表示,Twitter 高管使用双重身份验证的人数很少,他们的安全意识「简直就是一场灾难」。独立调查记者 Brian Krebs 发推称,推特 CEO Jack Dorsey 推特账号遭黑客攻击,可能会引起人们对 SIM 劫持引发的安全事故的关注。币安 CEO 赵长鹏转发其推文,并评论请为您的币安帐户使用 YubiKey,以保护用户资产安全。

成都链安:8 月份发生安全事件共 11 起,造成超 6 千万人民币的损失

链闻消息,据成都链安态势感知平台 Eagle-Eye 统计数据显示,8 月各类攻击事件、丢币事件频发,在可统计的范围内,8 月共发生 11 起较为典型的安全事件,损失超过 6 千万人民币。其中包括 EOS 链上发生 3 起 dapp 被攻击事件,黑客攻击获利超 20000EOS。恶意网站伪造 Electrum 网站进行钓鱼,某用户声称被窃 700 枚比特币。Telegram「搬砖套利」骗局层出不穷,一名新的受害者共被骗取 201 个 ETH。亚马逊服务器 AWS 出现问题 , 多个交易所数据异常并限制用户提币。币安、bitstamp、CoinTiger、Citex 几家交易所接连爆出安全事件。其中,币安和 bitstamp 交易所主要为用户信息泄露问题,被泄露信息用户数量较大,涉及多个国家。CoinTiger 交易所存放 PTT 的冷钱包被黑客攻击,401,981,748 枚 PTT 被盗。交易所 Citex 平台上的 VEIL 代币遭 Zerocoin 攻击,导致 VEIL 交易被迫暂停。

PeckShield: 8 月共发生 12 起安全事件,PlusToken 跑路资金开启密集洗钱

链闻消息,据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态发生 12 起较为突出的安全事件。危害程度评级为「中级」,受损金额近 900 万美元,涉及交易所 3 起、DApp 5 起、智能合约 1 起、钓鱼诈骗等 3 起,PlusToken 多资产频繁洗钱。具体而言,EOS DApp 生态共计发生 5 起黑客攻击事件,共损失 52,912 个 EOS,攻击方式主要为交易阻塞。币安 AWS 日本机房缓存服务器故障导致实时数据同步错位,影响在可控范围内。CoinTiger 交易所声称冷钱包被盗引发行业广泛热议。PlusToken 理财钱包 BTC、XRP、EOS 部分资产出现异动,且在频繁的洗钱操作中,有小部分资金在混淆处理后从 OTC 渠道卖出。PeckShield 认为,交易所安全问题依然是整个生态面临的头号威胁,应加强布控和防范工作。由于 PlusToken 跑路资金涉及额度巨大,较频繁的资金异动和砸盘可能性,会成为撩动市场恐慌情绪的导火索。

以太坊客户端 Parity 更新 RPC 漏洞修复,该漏洞可恶意关闭部分节点

链闻消息,以太坊客户端 Parity 发现远程过程调用(RPC)漏洞,可能导致服务器意外关闭,目前 Parity Technologies 公司已修复并更新代码。该漏洞由区块链分析公司 Amberdata 发现,其工程副总裁 Scott Bigelow 表示,该漏洞如果被利用攻击,则可能会导致「客户端崩溃,无法窃取资金,但可以恶意关闭部分以太坊节点」。Parity Technologies 在其官方博客表示,Parity Ethereum 在默认情况下「不启用追踪模块或面向公众的远程过程调用(RPC)」,因此大多数节点不应受到影响,但建议「所有运行 Parity 以太坊节点的用户升级最新版本」。
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpAppleAndroid