安全

安全新闻快讯文章, 安全深度文章, 安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

·

PeckShield:高危项目 FairWin 存在合约余额被「掏空」风险

据 PeckShield 态势感知平台数据显示,近日一个名为 FairWin 的资金盘项目尤为引人瞩目,其每日 Gas 利用率占比达到以太坊网络可承载 Gas 总量的近半数。PeckShield 安全人员深入分析发现,FairWin 智能合约存在一个致命缺陷,用户可以制造虚假投注捞取奖池剩余资金。具体而言:FairWin 智能合约存在一个 remedy() 接口,倘若合约 Owner 没有通过 closeAct() 关闭 actStu 时,任何用户都可以通过 remedy() 接口修改投注数据,进而实现在 0 投入的情况下,伪造大量资金投入,并通过 userWithDraw() 将合约余额奖金取出。截至目前尚没有已知攻击发生,且 FairWin 合约 Owner 已经将 actStu 关闭,潜在威胁暂时得以排除,但以太坊网络上尚存在类 FairWin 仿盘,均可能存在此类漏洞威胁。

CoinHunter:警惕假冒 imToken「交易回滚」骗局,诈骗金额已达上千 ETH

链闻消息,据降维安全实验室旗下数字资产安全追踪平台 CoinHunter 显示,近期有用户提交丢币事件反馈称遭受 imToken「交易回滚」诈骗。钓鱼账号创建假的 imToken 官方电报群并充当官方技术人员身份,引导「搬砖套利」被骗用户在指定网站输入私钥进行所谓「交易回滚」操作进行二次诈骗,目前该电报群内人数已达 68000 人,已有诸多用户遭遇「搬砖套利」及「交易回滚」诈骗。CoinHunter 提示广大用户保持警惕,不要在任何陌生网站输入私钥、助记词、验证码等敏感信息,谨防上当受骗。

慢雾:近 20 万 EOS 正从黑名单账号 craigspys211 逐步洗币到交易所 ChangeNow

据慢雾科技反洗钱 (AML) 系统监测显示,攻击者正逐步将分散在 41 个小号内的 EOS 转向 ChangeNow 交易平台,目前已有 5 个小号被清空,共计约 2.5 万枚 EOS 转入了 ChangeNow 交易平台。在此之前,攻击者利用超级节点 HashFin 黑名单不完整的缺陷,将黑名单账号 craigspys211 内 19.999 万枚 EOS 转入 eosusswallet,然后逐步递归创建小号,每个小号留 5000 枚 EOS。慢雾安全团队建议相关交易平台将这些攻击者控制的账号加入平台黑名单,禁止其向平台充币,通过公钥 EOS7JJhZM9zsHYaS5SWZBmCF2JAgYTnvjEERUYivLoNvRY9GNFhue 可查询到该攻击者控制的 41 个小号。

PeckShield:19.9 万 EOS 从 ECAF 冻结的 craigspys211 账号转出

据 PeckShield 态势感知平台数据显示,今天下午 17 时 24 分,PeckShield 监控到曾被仲裁冻结的 craigspys211 账号出现异动,转出 19.9 万个 EOS。该帐号出现异常的区块为新晋的超级节点 hashfineosio 所出。PeckShield 安全人员分析认为造成黑名单异动的原因是该出块节点没有及时更新黑名单库所致。 PeckShield 在此提醒各大 EOS 超级节点进一步查证该账号的异动信息,并及时更新 ECAF 黑名单,同时希望广大 EOS 开发者和用户警惕安全风险。

美国加州检察官起诉以太坊 DEX EtherDelta 被骇案的两名嫌疑人

链闻消息,美国加利福尼亚州北区检察官办公室已起诉两名嫌疑人 Elliot Gunton 和 Anthony Tyler Nashatka 于 2017 年 12 月骇入基于以太坊的去中心化交易所 EtherDelta。根据起诉书,这两名黑客更改 EtherDelta 的域名系统设置,通过使用电子邮件获得对 EtherDelta 域名系统帐户的访问权限,将网站的流量重定向到「类似于真实 EtherDelta 平台」的假网站,并欺骗交易所的用户以获取其加密货币地址及私钥,并从地址中提取资金。Gunton 和 Nashatka 从某一位 EtherDelta 用户窃取至少价值 80 万美元的加密货币,但法院未披露有关黑客入侵交易所并诈骗用户的总金额。

谷歌称其量子计算机已实现「量子霸权」,将全面迈入量子计算时代

链闻消息,据金融时报报道,谷歌研究人员本周在刊登在美国航天局 NASA 的网站一篇论文中表示,谷歌的处理器能够在 3 分 20 秒内执行完成当今最强大的超级计算机 Summit 需要 10000 年才能完成的计算。研究人员表示,这意味着谷歌的量子计算机已实现了「量子霸权(quantum supremacy)」,量子霸权是量子计算设备解决经典计算机实际上无法解决的问题的潜在能力。同时该研究人员预测,此次标志着迈向全面量子计算时代的里程碑,根据摩尔定律的指数速度,量子计算机的能力将以「双指数速度」(double exponential rate)发展。但研究人员也表示,该系统只能进行单一的、技术性很强的计算,使用量子计算机解决实际问题还需要数年时间。目前该论文已经从 NASA 网站撤回。链闻此前报道,目前国际密码学公认基于 Hash 函数的数字签名(Hash-based cryptography)能抗量子计算机攻击,如 Merkle 在 1989 年提出的认证树签名方案,它的安全性基于 Hash 函数的安全性。目前尚未存在有效针对一般 Hash 函数的量子计算机攻击。

PeckShield:PlusToken 跑路资金 ETH 部分首次出现异动,20,008 个 ETH 被转移

据 PeckShield 数字资产护航系统 (AML) 数据显示,今天下午 15:11,PeckShield 锁定监控的 PlusToken 跑路资产关键地址中,0xef13a2 开头的地址向 0xe380e0 开头的地址转移了 20,008 个 ETH,暂未监测到流入交易所。这是 PlusToken 被曝跑路后 ETH 资产的首次异动,上一次转移则发生于今年 06 月 25 日,不过这次转移的只是其中一中转地址,主钱包地址中 789,534 个 ETH 尚未发生异动。此外,另监控到 PlusToken BTC 部分资产近期在持续密集分散转移中,暂未发现有超大额资金流入交易所。PeckShield 在此敬请广大投资者警惕行情变动,谨慎应对市场风险。

降维安全:警惕钓鱼网站 eos-pay.vip,已有数百人被骗,被骗金额约 14600 个 EOS

链闻消息,据降维安全实验室(johnwick.io) 报道,近期钓鱼网站 eos-pay.vip 再度活跃,攻击者(eospayairdrp)通过小额代币转账群发钓鱼网站推送给 EOS 用户,诱导用户下载 APP 领取 10000 枚 EP 空投,用户一旦下载安装使用该网站 APP,则私钥会遭到窃取,所有的数字资产将被盗。据统计,该账户已盗取约 14565 个 EOS,现价值约 45 万人民币。降维安全实验室提醒广大用户对 EOS 交易转账备注内的推广链接谨慎点击,切忌安装来历不明的 APK 文件,以免遭受资产损失。

加密货币托管公司 GK8 获 400 万美元种子轮融资

链闻消息,以色列加密货币托管公司 GK8 宣布获得 400 万美元种子轮融资,由 Check Point 联合创始人 Marius Nacht 和 Israel Discount Capital 领投,区块链风险投资公司 EdenBlock、iAngels、IDEAL-HLS、StratX 以及以色列政府运营的以色列创新局等参投。该公司声称其独有的专利技术系统能在没有互联网连接的环境下交易加密货币。该公司声称,公司独有的加密算法在不需要网络连接的情况下,能为客户提供冷钱包解决方案和热钱包功能,这将能消除网络漏洞攻击。Zcash 创始科学家兼 GK8 咨询委员会成员 Eran Tromer 表示,「GK8 采用独特的冷钱包安全方法开发了一种高安全性的托管钱包解决方案,能最小化钱包攻击面,并阻止潜在攻击者对关键安全组件的影响。」目前为止,GK8 的托管技术已为 eToro 等客户保管超过 10 亿美元规模的加密货币资产。2018 年 7 月,GK8 由 CEO Lior Lamesh 和 CTO Shahar Shamai 创立于特拉维夫,曾经参与过保护以色列国有战略资产的网络安全,其顾问委员会包括 Zcash 创始科学家兼密码学专家 Eran Tromer,以色列情报部门的网络安全负责人 Ilan Levanon。

赵长鹏:此次币安期货疑似攻击为意外事件,该用户并非有意为之

链闻消息,赵长鹏在其推特回应其币安期货平台攻击事件称,与该名用户交谈之后了解到此次为一个意外事件,是由于该做市商「某一个错误的参数设置」问题导致,并不是「有意为之」。

链安:今年前 8 个月区块链安全漏洞引起的损失达 33 亿美元

链闻消息,成都链安在上海区块链周周一的活动中发布了与区块链安全现状有关的数据:系统漏洞方面,2019 年 1-8 月份,由区块链安全漏洞引起的损失达 33 亿美元,2011-2019 年累计安全损失高达 80 多亿美元;暗网黑市交易方面, 2017-2019 年,每年都有超过 8 亿美元数字货币流入暗网交易平台;在用户使用不当方面,2018-2019 年,因为账号丢失、用户被钓鱼、私钥保管不当等问题导致的直接经济损失达到了 2.44 亿美元;洗钱方面,自 2017 年以来,每年全球通过数字货币洗钱的资金达到了 45-63 亿美元,中国利用数字货币进行非法洗钱的规模达到数百亿人民币;网络犯罪方面,2014-2019 年国内涉数字货币犯罪刑事案件多达 538 件,盗窃、诈骗和网络勒索造成全球年均超过 50 亿美元的资金损失;传销盘和资金盘方面,从 18 年起,中国总共出现了 400 多种传销币的空气币,2019 年被骗金额超过 60 亿美元,较 2018 年增长 300%,受害人数 48 万多人。

慢雾:EOSPlay 遭遇新型随机数攻击

链闻消息,据慢雾区情报,基于 EOS 的去中心化应用(DApp) EOSPlay 中的 DICE 游戏于昨晚遭受新型随机数攻击,损失数万 EOS,目前项目方已经把游戏暂停。经过慢雾安全团队的分析,发现攻击者(账号:muma******mm)可能使用下列方式达到攻击目的:1、攻击者为自己和项目方租用了大量的 CPU;2、攻击者发大量 defer 交易;3、由于以上两点原因,导致 CPU 价格被拉高,从而导致其它用户 CPU 不足;4、因为 CPU 不足的原因,其他用户难以发送交易,攻击者得以使用自己交易占满区块;5、根据提前构造的交易内容,攻击者可以成功预测出区块哈希。由于项目方采用的是使用未来区块 id 的方式开奖,通过控制区块内的交易内容,就能控制区块信息,进而控制区块 id,达到预测开奖结果的目的。慢雾安全团队建议 DApp 开发者使用更为安全的随机数生成方式,避免遭到随机数攻击。同时,慢雾还特别感谢 WhaleEx 在此次分析过程中提供的帮助。

李启元推出卡片式钱包 Ballet,试图推动数字货币更广泛的应用

链闻消息,前比特币中国 CEO 李启元(Bobby Lee)推出支持多币种的卡片式冷钱包 Ballet,将于 10 月交付。李启元认为 Ballet 将会加速全球采用比特币和加密货币。Ballet 的首个产品系列是 REAL,这是一个集多币种支持和 100% 冷存储的数字资产硬件钱包,REAL 系列拥有多种的外观,每一种都有相应的主币种,可支持直接存储。同时 Ballet 还发布了一款配套的移动端应用 Ballet Crypto,通过该 App 可以发送数字资产,查询资产价值及激活多种数字资产,而且 Ballet 硬件钱包的接收和存储不依赖于该移动端 App,所以是否使用完全取决于用户。链闻注意到,Ballet 的投资方 Ribbit Capital,是 Libra 协会的成员和 Coinbase 的早期投资人。

Casa 发布资产安全协议 Wealth Security Protocol

链闻消息,比特币钱包 Casa 发布资产安全协议 Wealth Security Protocol。作为比特币安全密钥存储和管理系统,Casa Keymaster 将支持硬件五分之三多重签名,为多种硬件提供高级别的密钥安全保护,以及因灾难导致 Casa 停止运行时所有权的恢复,消除单点故障。同时,新协议改进了 Glacier 协议的复杂性,简单易于使用,设置和使用只需几分钟。此外,Casa 还存在一些潜在的安全问题,包括地址欺骗、内部人员导致密钥被盗的恶意行为、极端灾难情况和敲诈勒索。未来,Casa 还计划增加 Taproot / Mast 和 Schnorr Signatures 的使用。

闪电网络安全漏洞已被确认,官方呼吁用户尽快升级

链闻消息,闪电网络官方推特 Lightning Labs 发布推特称,已经确认安全漏洞可被利用的实例,请用户立即更新闪电网络节点,受到影响的闪电网络节点版本包括: LND 节点版本 0.7 及以下、c-lightning 节点版本 0.7 及以下、eclair 节点版本 0.3 及以下。Lightning Labs 也在推特表示,目前处于早期阶段,这也是提醒用户需要采取限制措施的好时机,以后可能会有 Bugs,不要把「超出承受范围的资金质押在闪电网络上」。链闻此前报道,比特币闪电网络开发者和规范设计者之一 Rusty Russell 报告了一个针对闪电网络的漏洞,该漏洞可能会导致资金丢失。
·

加密货币总市值已达三千亿美元,而可保险范围却不到十亿美元?

Coinbase、BitGo、富达投资、Gemini 交易所等其他一些涉及托管投资者加密货币的公司也都购买了保险。
加密货币总市值已达三千亿美元,而可保险范围却不到十亿美元?

美国税务局、移民局、FBI 等机构共花费 1000 万美元采购区块链数据分析服务

链闻消息,据 The Block 分析了联邦采购数据系统的公开数据显示,截止到现在,美国政府机构共花费了接近 1000 万美元采购区块链数据分析等相关服务。其中最大的采购方来自于美国国家税务局(IRS)、移民及海关执法局(ICE)和联邦调查局(FBI),这三家占总花费近 85%。最大的采购合约价值 160 万美元,是今年 4 月 IRS 的「网络犯罪案例支持和培训基地」合同,FBI 最大的合同是 120 万美元的「Chainalysis 系统许可」,ICE 最大的合同是 100 万美元的「软件许可」。链上数据分析公司 Chainalysis 是其中最大的供应商,总共有 900 万美元的合同,占美国政府机构总花费的 92% 以上。

成都链安:EOS 竞猜游戏 FASTWIN 遭黑客攻击,损失 700 EOS

Beosin 成都链安态势感知安全预警称,今日下午 2:21 开始,根据区块链安全态势感知系统 Beosin-Eagle Eye 检测发现,近期活跃的黑客 ju****ang 子账号 3ypa****rggff 向 EOS 竞猜游戏 FASTWIN 发起攻击,截止目前已获利 700 EOS,且攻击还在进行。经过技术团队的初步分析原因是随机数问题,我们已在第一时间发出预警并联系项目方。

Facebook 用户数据库遭泄漏,4.19 亿条用户手机号码记录被曝光

链闻消息,一个包含数亿条 Facebook 用户电话号码的数据库遭泄漏,在 TechCrunch 联系网络托管商后,目前该数据库已下线。根据 TechCrunch 报道,这个遭泄漏的服务器包括多个用户数据库的 4.19 亿条记录,其中包括美国 Facebook 用户的 1.33 亿条记录,英国用户 1800 万记录,以及越南用户超过 5000 万条记录。由于没有受密码保护,该服务器可以被任何人访问,每条记录都包含用户 Facebook ID 和账户关联的电话号码。Facebook 发言人 Jay Nancarrow 表示,这些是旧的数据集,目前已删除,我们没有看到任何证据表明 Facebook 帐户遭到入侵。TechCrunch 的安全编辑 Zack Whittaker 发推文称,「虽然 Facebook 表示这些数据在历史上被擦除,但是我们测试的这些电话号码仍然有效。」TechCrunch 将这些电话号码与列出的 ID 匹配后已经验证数据库中的多条记录为「有效」。此次泄漏事故导致 Facebook 用户面临重大的安全风险,比如最近频发的 SIM 劫持事件。此前链闻曾报道,推特创始人 Jack Dorsey 推特帐号被黑,或因 SIM 劫持所致。
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpAppleAndroid