安全

安全区块链新闻快讯文章, 安全是什么, 安全快讯, 安全新闻, 安全官网, 安全解读, 创始人, 招聘, 融资, 价格

降维安全实验室:交易所被撞库攻击,交易所自身占主要责任

据部分用户爆料,国内某知名数字资产交易所疑似被撞库攻击,目前已有部分用户账户被盗用,撞库攻击指的是攻击者通过利用已掌握的历史数据库中的用户名和密码对目标交易所进行登录,进而获取账号控制权。针对该交易所的漏洞,2018 年 9 月份某白帽黑客在白细胞安全社区发布过该漏洞,白细胞安全社区已对该数字货币交易平台进行预警,但一直未得到该交易平台方面的回应。降维安全实验室认为:交易所被撞库,不应是用户责任而是交易所的责任,交易所应构建自己的风控体系,在登录 IP、设备指纹、浏览器指纹等层面进行多因素认证,以抵御撞库攻击,并及时处理第三方安全公司安全预警。

EOS 竞猜游戏 LuckyGo 遭交易阻塞攻击

链闻消息,今天下午 16:25~16:30 之间,PeckShield 安全盾风控平台 DAppShield 监测到黑客向 EOS 竞猜类游戏 LuckyGo 发起连续攻击,获利数百 EOS。PeckShield 安全人员分析认为,黑客实施攻击的方式依然为交易阻塞攻击(CVE-2019-6199)。

慢雾余弦:不用太担心门罗币算力大跌引发的安全问题

链闻消息,区块链安全公司慢雾联合创始人余弦在线上表示,3 月 9 日门罗币硬分叉升级后可对抗 ASIC 算力,但算力跌掉了 85% 左右,引发了一些安全顾虑。慢雾团队认为属于正常范围,门罗币的硬分叉升级每半年一次,大概一年前的硬分叉也是跌掉 85% 左右的算力,这是社区共识的节奏。即使跌掉这么多的算力,剩下的都是 GPU/CPU 友好的算力,也足够维持门罗币网络的安全。除非出现重大漏洞,导致对抗 ASIC 失败,突增的 ASIC 算力可能超过 51%,这才会导致门罗币网络出现风险。另一方面,门罗币由于 GPU/CPU 算力友好,衍生了特别的算力来源。这些算力来自蠕虫恶意挖矿,全球网络空间有无数网络设备、服务器设备、个人电脑设备。具不完全统一,被蠕虫感染进行恶意挖矿的设备最多的量级峰值可达千万级。慢雾团队认为这不是主要的算力源。除了算力,应该关注整个生态的特点,社区的思考,代码的质量,工程的稳定。

报告:Coincheck 等五起 5.71 亿美元加密货币交易所窃案系朝鲜黑客组织 Lazarus 所为

联合国安理会朝鲜制裁委员会专家小组引用网络安全机构 Group-IB 的调查数据显示,2017 年 1 月至 2018 年 9 月之间,共有 14 起加密货币交易所窃案发生,损失金额高达 8.82 亿美元。其中朝鲜黑客组织 Lazarus 制造了五起加密货币窃案,攻击目标分别为韩国 Yapizon(损失 3,816 BTC,合 530 万美元)、韩国 Coinis(损失不详)、韩国 YouBit(损失 17%资产)、日本 Coincheck(损失 5.23 亿 NEM,合 5.34 亿美元)、韩国 Bithumb(损失 3200 万美元),五次攻击获利总额高达 5.71 亿美元。其他九次攻击未能确认攻击者。

以太坊 AirDrop 薅羊毛攻击再现,数十个智能合约被攻击

13:19 时 PeckShield 安全盾风控平台监测到 0x84ec 开头的以太坊账号先后对 FOMO Lightning、MC2 COSMOS 等 29 个游戏、Token 合约进行了 AirDrop 空投攻击,以薅羊毛的方式持续获利。PeckShield 安全人员分析发现,该攻击者于今天 13:19 创建了 0x42fe 开头的控制合约,又通过该合约先后针对每个目标游戏创建部署了相应的攻击合约,进而成功实施攻击。此种攻击在去年 FOMO3D 类现象级游戏火爆时,就已被 PeckShield 披露并命名,今天发生的连续攻击行为表明,攻击者一直在寻找潜在目标并进行攻击尝试,PeckShield 团队提醒各项目开发者提起重视并及时修复漏洞,避免造成不必要的数字资产损失。

EOS 假充值攻击浮现,知名数字钱包未能幸免

降维安全实验室 johnwick.io 近日观察到某知名区块链数字货币钱包应用的转账通知机制存在缺陷,会将 EOS「假充值」攻击生成的虚假转账交易以通知方式推送给钱包用户,如果此缺陷被攻击者利用来进行垃圾广告推广、诈骗等活动,那么会给钱包用户造成很大困扰和风险。在此,降维安全实验室建议相关项目方注意风险并及时采取应对措施。

EOS 竞猜游戏 dBet Games 遭交易阻塞攻击,损失数百个 EUSD

12:10 至 12:33 之间,PeckShield 安全盾风控平台 DAppShield 监测到黑客向 EOS 竞猜类游戏 dBet Games 发起连续攻击,获利数百个 EUSD(EOS 上发行的稳定币),并已通过去中心化交易所 Newdex 卖出。PeckShield 安全人员分析认为,黑客实施攻击的方式依然为交易阻塞攻击(CVE-2019-6199),在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前黑盒测试及基础安全防御部署。

慢雾红色预警:数字货币交易所、钱包须警惕严重的假充值攻击

区块链安全公司慢雾发布红色预警:如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS,而且这些 EOS 可以进行正常交易。慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停 EOS 充提,并对账自查。具体攻击细节慢雾安全团队会择机披露。

EOS 某非竞猜类 DApp 遭黑客攻击损失 5 万 EOS

凌晨 2:23-2:40 之间,PeckShield 安全盾风控平台 DAppShield 监测到黑客向 EOS DApp nkpaymentcap 发起连续攻击,成功获利 5 万个 EOS。PeckShield 安全人员分析发现,黑客采用假转账通知攻击获取大量合约代币,又将代币通过 DApp 合约兑换成真 EOS 进行套现。PeckShield 安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。

成都链安安全负责人:区块链生态中无论任何角色都必须注重安全问题

链闻消息,NEO Game Conference 于昨日在日本东京开幕,今天成都链安科技安全负责人胡洪宇在「区块链游戏的未来」为主题的圆桌讨论中表示,国内的游戏发展比较迅速,无论是端游还是手游,对于玩家来说,需要新鲜感,而区块链正好可以带来这些,从去年下半年开始,在某些公链上,游戏的开发数量呈爆发式增长。胡洪宇建议,对于区块链生态来说,无论是任何角色,都应该注重安全。不同的公链有不同的特性,开发者刚入门容易犯很多错误,所以公链的平台方应该更多的指导开发者实现游戏逻辑,游戏开发者首先应该保证完备的游戏设计,因为玩家的重要资料与资产都在游戏中;而社区应该对开发者提供资源与帮助;用户则应该保护好自己的私钥。

EOS 竞猜游戏 Vegas Town 遭黑客攻击

昨日晚间,PeckShield 安全盾风控平台 DAppShield 监测到黑客向 EOS 竞猜类游戏 Vegas Town 发起连续攻击,获利数千枚 EOS ,并已转至 ZB 交易所。PeckShield 安全人员初步分析发现,黑客利用失败的(hard_fail)转账交易骗过游戏方服务器,导致持续获奖。PeckShield 安全人员在此提醒,开发者应在合约上线前做好安全测试,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。

EOS 竞猜游戏 Gamble EOS 遭假转账通知攻击

12:23-13:59 之间,PeckShield 安全盾风控平台 DAppShield 监测到黑客向 EOS 竞猜类游戏 Gamble EOS 发起连续攻击,成功获利数千 EOS,并已转至火币交易所。PeckShield 安全人员分析发现,黑客采用的攻击手段是假转账通知。PeckShield 安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。

智能合约审计公司 Quantstamp 获日本最大投行野村控股投资

链闻消息,美国智能合约审计初创公司 Quantstamp 宣布获得日本最大的投资银行野村控股和东京互联网集团 Digital Garage 的投资,并在日本设立子公司,帮助该国的初创公司和企业使用安全的区块链技术。Quantstamp 成立于 2017 年,同年加入创业种子加速器 Y Combinator。该公司为开发人员和用户提供自动化工具,帮助发现智能合同中的保护漏洞,并为大规模区块链项目提供审计服务,以保证其安全性。Quantstamp 表示其服务已保护价值逾 5 亿美元的交易。

PeckShield:EOS 竞猜游戏 Fishing Joy 遭交易阻塞攻击

12:18-12:24 之间,PeckShield 安全盾风控平台 DAppShield 监测到黑客向 EOS 竞猜类游戏 Fishing Joy 发起连续攻击,获利数百 EOS。PeckShield 安全人员分析认为,黑客利用交易阻塞(CVE-2019-6199)触发游戏退币机制,导致百分百获利。在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前黑盒测试及基础安全防御部署。
·

五大维度全方位分析,谁才是熊市中最有实力的交易所

数字资产行业发展至今,交易所始终处于行业盈利能力最强、最稳定的一环,交易所领域也成为了资本追逐的焦点,让这个领域成为了竞争的血海。
五大维度全方位分析,谁才是熊市中最有实力的交易所

成都链安 Beosin 预警:黑客攻击 EOS 竞猜类游戏,已获利数百 EOS

成都链安 Beosin 预警:15:27-15:44 之间,根据成都链安区块链安全态势感知系统 Beosin-Eagle Eye 检测发现,黑客 co****op 向 EOS 竞猜类游戏合约 xlo*****io 发起连续攻击,已经获利数百 EOS。经过成都链安技术团队初步分析,攻击者通过直接调用 transfer 方式,利用游戏合约逻辑缺陷,多个账号协同实施攻击。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性,同时呼吁游戏项目方在项目上链前进行完善的代码安全审计,必要时可借助第三方专业审计团队的力量防患于未然。

Grin 开发团队修补一漏洞,呼吁节点升级至 1.0.2 版本

链闻消息,Grin 社区披露,该项目聘请的代码审计公司 Coinspect 于 2 月 22 日在 Grin Server 1.01 及更早版本中发现漏洞,节点在同步过程中有可能导致远程攻击,开发团队于 2 月 25 日修补了漏洞,发布 1.02 版本软件,并于 26 日通告已知的交易所、矿池。Grin 核心开发团队现公开披露该漏洞,呼吁各节点尽快升级 Grin Server 至 1.0.2 版本。

PeckShield:已有价值近千万 EOS 偷跑,黑客销赃方式无规律可循

据 PeckShield 数字资产护航系统数据显示,「209 万 EOS 偷跑事件」有了进一步动态,截至目前,黑客已经将总计 44 万个 EOS 分散转入火币、币安、Bitfinex、ChangeNOW 交易所,价值近千万元。02 月 22 日,PeckShield 率先发现曾被 ECAF 冻结的账号 gm3dcnqgenes 出现异动,转走了 209 万个 EOS。此后,PeckShield 安全人员通过一段时间追踪发现,为逃避资产追踪,黑客先是将赃款分散至多个不同的 EOS 账号,在转移赃款时再分散转至多个不同的交易所,且逐渐倾向于小交易所。转入交易所后,黑客会将赃款通过 EOS 交易对转化为其他代币再进行抛售,销赃时间频次和交易额度并无规律可循。目前,PeckShield 在火币、币安等交易所的协同下,正进一步追踪赃款流向,尽最大可能帮助受害者挽回损失。

慢雾预警:Ledger 警告称不要和门罗币客户端 v0.14 一起使用 Monero Ledger HW 应用程序

由于 Ledger 硬件钱包门罗币的一起「丢币」事故,Ledger 警告称不要和门罗币客户端 v0.14 一起使用 Monero Ledger HW 应用程序(或 Ledger Nano S),可能会引起「丢币」事故,门罗币官方转发了这条消息。而这之前门罗币官方预计 3 月 6 日发布的漏洞补丁,已于昨日紧急发布最新的修复版本 v0.14.0.1,解决了在 coinbase 交易中 RingCT 输出的错误处理问题,正是这个可能导致了「丢币」事故。之所以是紧急修复是因为漏洞相关细节已经被「不负责任」地公布。慢雾安全团队分析了相关情报及技术细节,在此提醒接入门罗币的相关交易所或钱包及时更新门罗币客户端,以免出现类似安全事故。

慢雾联合创始人余弦:攻击事件多的公链更可能快速发展,但优秀的公链应当敬畏黑客

链闻消息,区块链安全公司慢雾联合创始人余弦在线上表示,至少有四个理由表明黑客攻击事件多的公链反而更可能快速发展:1、只要不会出现超巨额不可挽救损失,积极的社区治理总能渡过难关,而且可以大大提高公链的知名度;2、公链如果关注度低或价值低,攻击者也不一定会感兴趣,机会成本的问题,除非攻击者本身就属于这条公链生态的一部分或可以轻易了解这条公链;3、越偏应用层的攻击会越多,比如 DApp 越多,原则上被攻击成功的数量也会多,这可能会造成一种假象:这条公链似乎很不安全,但真相可能恰恰相反;4、类比早期的 Windows XP,安全问题极多,但却奠定了个人电脑操作系统生态的霸主地位。与此同时,余弦总结道:持续黑客攻击导致破产倒闭、低价被收购的血淋淋案例。所以优秀的公链是敬畏黑客,但又不惧黑客的。
下载链闻 APP
链闻 ChainNews Apps 下载
链闻 Apps
扫码下载
WeChatWeiboFacebookTwitterLinkedInMediumGitHubRSS收藏搜索移动Email文章Up