安全

安全新闻快讯文章, 安全深度文章, 安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

MolochDAO 联合创始人:Compound 上出借 DAI 存在智能合约风险、中心化单点故障和挤提风险

链闻消息,MolochDAO 联合创始人兼 SpankChain CEO Ameen Soleimani 发布博文列举了在 Compound 出借 DAI 的风险,他在文章中称,自己管理公司近 50 万 DAI,根据 DAI 10%的利息,大约每个月能产生 4000 美元的收入,如果将这些 DAI 放入 Compound 中是有机会成本的。此外,在 Compound 放贷还有很大的风险,包括智能合约的安全风险、中心化单点故障(他解释,Compound 是一个托管系统,如果管理私钥泄露,所有租借池的资产都可能被盗走)和挤提风险(资金利用率高达 98.62% 的 Compound 没有足够的资产储备保证出借人随时取回资产)。此前,链闻曾报道,智能合约安全公司 Zeppelin 对 Compound 进行安全审计的报告暴露了 DeFi 项目普遍存在的一些风险问题,包括有可能导致平台资产被窃取和操纵的中心化风险,以及不合理的智能合约漏洞可能让矿工产生攻击行为,而清算激励机制在某些情况下可能会使借款人破产的可能性变高。
·

Compound 安全审计报告:DeFi 项目中心化风险不容忽视

使用 DeFi 产品时应该注意该智能合约是否有经过安全审计?治理运作方式是什么样的?以及喂价机制是否有被操纵的可能?
Compound 安全审计报告:DeFi 项目中心化风险不容忽视

Compound 审计报告:DeFi 项目中心化风险和智能合约漏洞不容忽视

链闻消息,智能合约安全公司 Zeppelin 对去中心化借贷平台 Compound 进行了一次安全审计,该审计报告结果并未显示 Compound 存在严重的漏洞,但却呈现了 DeFi 项目普遍存在的一些不容忽视的风险问题。其中之一是「中心化风险」,具体而言,Compound 是由中心化管理员决定其协议的工作模式,包括借贷资产可选项、资产利率模型、抵押要求等,另外,Compound 团队自行控制的喂价模型,有可能会导致系统中的大部分(如果不是全部)资产被窃取。为此,Compound 团队打算用更去中心化的治理机制取代现有的管理员角色,并计划通过「开放式预言机系统」改变原来的喂价机制。另一个问题是「智能合约相关的问题」,这个锁定资产超过 1 亿美元的第二大 DeFi 项目,借款人不必支付任何利息获得多次小额短期贷款,这可能会让矿工产生攻击行为,另外,在某些情况下,Compound 的清算激励机制会导致借款人更接近破产。这些风险并不是 Compound 独有的,链闻提醒,所有用户在使用 DeFi 产品时都应该注意,该智能合约是否经过审计?治理运作方式是什么样的?以及喂价机制是否可以有可能被操纵?#DeFi with ChainNews#

成都链安:EOS 游戏 skreosladder 再遭黑客攻击,损失近千 EOS

链闻消息,Beosin 成都链安态势感知系统报警称,从晚间 22:10 开始截止目前,skreosladder 游戏再次遭受黑客攻击,黑客目前已经获利近千 EOS。该黑客曾多次攻击该游戏,已被项目方加入黑名单,但黑客仍使用小号绕过了限制。
·

区块链如何保证交易安全?硬核详解唯链「强制交易依赖性」功能

如果一笔交易的执行依赖另一笔交易,只有在被依赖的交易出现在账本上且没有被撤销的情况下,这笔交易才会被接受并处理。
区块链如何保证交易安全?硬核详解唯链「强制交易依赖性」功能

观点:新一代公链面临比早期比特币更严峻的挑战,更容易被攻击

链闻消息,加密资产投资基金 ASP 创始人兼运营负责人阿里安娜·辛普森(Arianna Simpson)发布推文陈述了一个观点,认为「即将上线的一系列底层公链将面临比早期的比特币更加严峻的挑战」。具体来说,这些备受瞩目的公链项目面对的情形要比比特币和以太坊当年推出时的状况复杂得多。这些市值靠前的公链项目,自打一诞生起就备受期待,动不动获得数十亿美元(这个数字还在不断攀升)的投资,从而也将催生更有经济动力的攻击,随着新一代区块链技术变得越来越复杂,系统脆弱性和攻击面变得越来越大,更容易出现 bug,而攻击者也更有经济上的动机去进行恶意攻击获利。与此同时,今天的区块链项目是站在巨人的肩膀上,受益于早期区块链项目的技术经验,开发者也对此抱有更高的预期。此外,TokenDaily 补充了一点,认为由于以太坊强大的社区生态和先发优势,今天新一代的智能合约公链项目,将难以获得来自以太坊网络中的开发者的注意力。

慢雾对币安当前安全体系建设的整体评估为「优秀」

链闻消息,据慢雾科技的近期安全监测显示,加密货币交易所币安(Binance)的生产环境架构、服务器安全、应用安全、钱包私钥安全、办公环境安全等重要安全项目当前处于优质状态,同时币安的风控体系完善,配备多项措施保障用户资产安全,慢雾科技对币安当前的安全体系建设工作整体评估为:优秀。慢雾科技称,这是以客观专业的第三方安全机构视角,在获得币安书面授权情况下,针对币安目标业务进行全面的安全体系建设工作的持续安全监测并辅以场内确认,最终根据双方意愿客观披露阶段性的安全监测结果。

慢雾:8 月共发生 12 起较典型的安全事件,假充值漏洞给交易所造成巨大损失

链闻消息,据 SlowMist Hacked 统计,8 月共发生 12 起较典型的安全事件,累计造成近千万美元损失。慢雾区块链威胁情报 (BTI) 系统监测发现,多家交易所遭受假充值漏洞攻击,使用的攻击手法有:USDT(Omni) 假充值漏洞、ERC20 Token 假充值漏洞、EOS 假充值漏洞、XRP 假充值漏洞以及门罗币 (XMR) 转账锁定漏洞,给交易所造成巨大损失。同时慢雾 BTI 系统也发出预警,近期针对交易所的 APT(Advanced Persistent Threat) 攻击也愈演愈烈,慢雾安全团队在此提醒各交易所,提前做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。

推特创始人 Jack Dorsey 推特帐号被黑,因 SIM 劫持所致

链闻消息,美国当地时间上周五下午推特创始人兼 CEO Jack Dorsey 的推特账号被黑,并用这个有超过 421 万粉丝的推特大号连续发布了 10 多条包括种族主义言论和为纳粹德国辩护的推文。该事件发生后不久,这些推文已被删除,目前 Jack Dorsey 已经更换 SIM 卡。公司一名发言人在为该事件的声明中表示,由于移动服务提供商安全上的疏忽,导致与该帐户关联的电话号码遭到了攻击,最终黑客通过使用手机号码编写短信发送推文,目前这个问题已经解决了。如果一些个人信息(比如社保号最后四位、信用卡号码,甚至是假身份证)遭到泄漏,黑客就可以用这些信息要求运营商客户,将该移动帐户转到另一张 SIM 卡。一位知情人士称「这太残酷了」,因为黑客似乎使用了 Twitter 旗下产品 Cloudhopper 进行攻击,鉴于不断升高的短信成本 Twitter 收购于 2010 年收购了 Cloudhopper。另外,多位相关人士认为,推特高管的安全意识仍有待提高,由于不喜欢在路上随身携带物品,Jack Dorsey 喜欢用 iPhone 完成大部分工作,因此拒绝使用 Twitter 安全团队提供的安全性能更高的笔记本电脑。另一位 Twitter 前员工则表示,Twitter 高管使用双重身份验证的人数很少,他们的安全意识「简直就是一场灾难」。独立调查记者 Brian Krebs 发推称,推特 CEO Jack Dorsey 推特账号遭黑客攻击,可能会引起人们对 SIM 劫持引发的安全事故的关注。币安 CEO 赵长鹏转发其推文,并评论请为您的币安帐户使用 YubiKey,以保护用户资产安全。

成都链安:8 月份发生安全事件共 11 起,造成超 6 千万人民币的损失

链闻消息,据成都链安态势感知平台 Eagle-Eye 统计数据显示,8 月各类攻击事件、丢币事件频发,在可统计的范围内,8 月共发生 11 起较为典型的安全事件,损失超过 6 千万人民币。其中包括 EOS 链上发生 3 起 dapp 被攻击事件,黑客攻击获利超 20000EOS。恶意网站伪造 Electrum 网站进行钓鱼,某用户声称被窃 700 枚比特币。Telegram「搬砖套利」骗局层出不穷,一名新的受害者共被骗取 201 个 ETH。亚马逊服务器 AWS 出现问题 , 多个交易所数据异常并限制用户提币。币安、bitstamp、CoinTiger、Citex 几家交易所接连爆出安全事件。其中,币安和 bitstamp 交易所主要为用户信息泄露问题,被泄露信息用户数量较大,涉及多个国家。CoinTiger 交易所存放 PTT 的冷钱包被黑客攻击,401,981,748 枚 PTT 被盗。交易所 Citex 平台上的 VEIL 代币遭 Zerocoin 攻击,导致 VEIL 交易被迫暂停。

PeckShield: 8 月共发生 12 起安全事件,PlusToken 跑路资金开启密集洗钱

链闻消息,据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态发生 12 起较为突出的安全事件。危害程度评级为「中级」,受损金额近 900 万美元,涉及交易所 3 起、DApp 5 起、智能合约 1 起、钓鱼诈骗等 3 起,PlusToken 多资产频繁洗钱。具体而言,EOS DApp 生态共计发生 5 起黑客攻击事件,共损失 52,912 个 EOS,攻击方式主要为交易阻塞。币安 AWS 日本机房缓存服务器故障导致实时数据同步错位,影响在可控范围内。CoinTiger 交易所声称冷钱包被盗引发行业广泛热议。PlusToken 理财钱包 BTC、XRP、EOS 部分资产出现异动,且在频繁的洗钱操作中,有小部分资金在混淆处理后从 OTC 渠道卖出。PeckShield 认为,交易所安全问题依然是整个生态面临的头号威胁,应加强布控和防范工作。由于 PlusToken 跑路资金涉及额度巨大,较频繁的资金异动和砸盘可能性,会成为撩动市场恐慌情绪的导火索。

以太坊客户端 Parity 更新 RPC 漏洞修复,该漏洞可恶意关闭部分节点

链闻消息,以太坊客户端 Parity 发现远程过程调用(RPC)漏洞,可能导致服务器意外关闭,目前 Parity Technologies 公司已修复并更新代码。该漏洞由区块链分析公司 Amberdata 发现,其工程副总裁 Scott Bigelow 表示,该漏洞如果被利用攻击,则可能会导致「客户端崩溃,无法窃取资金,但可以恶意关闭部分以太坊节点」。Parity Technologies 在其官方博客表示,Parity Ethereum 在默认情况下「不启用追踪模块或面向公众的远程过程调用(RPC)」,因此大多数节点不应受到影响,但建议「所有运行 Parity 以太坊节点的用户升级最新版本」。

PeckShield:PlusToken 跑路资金中 13,554 个 BTC 被转移至单签地址

据 PeckShield 数字资产护航系统 (AML) 数据显示,PeckShield 锁定监控的 PlusToken 跑路资金多签地址在前几日发生汇聚后于今日凌晨发生异动,开头为 1Li4mU 的地址 03 点 10 分向 8 个不同地址转出超 13,500 枚 BTC。PeckShield 安全人员跟进分析发现,91,779 个原属于多签地址的 BTC 已被集中汇聚到 5 个单签地址中,这意味着资金存在进一步洗钱的动机和可能,不过暂时并没监测到有资金流入交易所,猜测其凌晨砸盘的可能性较低。PeckShield 在此敬请广大投资者警惕行情变动,谨慎应对市场风险。

PeckShield:部分 PlusToken 跑路资金疑似被混淆后从场外 OTC 卖出

据 PeckShield 数字资产护航系统 (AML) 数据显示,PeckShield 锁定监控的 PlusToken 部分跑路关键地址于前几日发生大额异动后,最近两天被频繁切分为 0.1-10BTC 不等的大量小额地址,进一步被汇聚转出。PeckShield 安全人员跟进分析发现这些资金并没有直接流入交易所,而是通过类似 ChipMixer 的工具进行混淆,再通过场外 OTC 的渠道卖出。截至目前,已经有部分通过场外 OTC 卖出的 BTC 洗白后再次流入币安交易所。

Libra 协会推出漏洞奖金计划,奖金最高 1 万美元

链闻消息,Libra 协会宣布漏洞奖金计划(Bug Bounty Program),号召来自世界各地的开发者提交 Bug,在 Libra 项目发布之前检查区块链的安全漏洞,确保其安全性。根据漏洞类型和严重程度,Libra 协会提供不同数额的漏洞奖金,在「漏洞聚焦」 期间,研究人员所提交的漏洞将会获得翻倍奖金,解决「关键问题」 最高可获得 10,000 美元的赏金,此外,Libra 还与黑客赏金社区 HackerOne 达成了合作。

Brave 浏览器软启动加密钱包 Crypto Wallets,将兼容 Brave Rewards

链闻消息,Brave 浏览器宣布软启动原生加密钱包 Crypto Wallets,该浏览器内生钱包支持 Brave 原生代币 BAT,以及其他众多以太坊 ERC-20 代币、ETH、以太坊收藏品代币以及与 DApp 之间进行交互。使用 Crypto Wallets,用户可以在 Brave 软件钱包中管理密钥,或者连接硬件钱包(Ledger 或 Trezor)以实现更安全的密钥管理。8 月 27 日 Brave 官方发布的博客文章称,该钱包目前还不兼容 Brave Rewards,但未来会在钱包 Crypto Wallets 中添加对 Uphold 的支持,最终实现 Brave Rewards 和 Crypto Wallets 之间转移加密资产。公司强调,这款新产品目前适用于已经对加密货币(特别是以太坊)有所了解的人,并建议用户可以尝试在 Dev 和 Nightly 版本中试用 Crypto Wallets,并提醒务必「使用少量资产并保持定期备份」。昨天,Brave 在推特上宣布已将维基百科添加到经过验证的出版商名单中。此前,链闻曾报道,Brave 发布浏览器版本将支持用户使用原生代币 BAT 为 Vimeo 和 Reddit 打赏。

慢雾:交易所被黑且已披露的资金损失逾 40 亿美元

据 SlowMist Hacked 统计,历史上交易所被黑且已披露的有 56 起,资金损失总额超 40 亿美金,占所有加密货币已披露的资金损失约 47%。从已披露的来看,平均一年有 8 起交易所被黑导致资金损失,而近一年来看,平均每个月有 2.5 起被黑。但需要注意的是从慢雾安全团队的内部数据来看,至少有 2/3 以上被黑是未披露的。

使用 DOS 攻击 Zcash 每日成本仅需 2.99 美元

链闻消息,根据一项拒绝服务攻击(DOS)协议 Sapling Woodchipper 的网站显示,每日仅需 2.99 美元的成本即可对任何应用 Zcash 2.0 Sapling 以上版本的加密货币进行 DoS 攻击,但该 DOS 攻击的严重程度取决于链上参数。该攻击协议的原理是耗尽该区块链的所有资源,阻止普通用户进行交易,然而 Sapling Woodchipper 攻击需要强大的 CPU 才能正常运行,但仍然成本低廉。该协议的开发者 Duke Leto 表示,该攻击协议旨在迫使 Zcash 团队应对困扰网络的严重问题采取行动,使得 Zcash 代码和网络更加安全。

PeckShield:PlusToken 跑路资金中 4.8 亿枚 XRP 发生转移

据 PeckShield 数字资产护航系统 (AML) 数据显示,今天下午 13 点 39 分,XRP 链上出现一笔超大额转账交易,rNfRpq 开头的地址将 484,775,570 个 XRP 转入了 r3C9BX 开头的地址中,价值约 1.3 亿美元。此笔交易的发起方 rNfRpq 开头的地址为 PlusToken 跑路资产中的 XRP 部分。此前,PeckShield 监控到 PlusToken 跑路资产中的 BTC 部分已频繁发生转移,而 ETH 部分和 EOS 部分资产尚未发生异动。鉴于最近钱包跑路事件频出,PeckShield 在此提醒广大用户务必注意辨识一些可疑的「诈骗」钱包,谨慎参与投资,避免数字资产遭到损失,同时在此呼吁各大交易所应做好地址标记,协助及时冻结流入的脏款。
·
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpAppleAndroid