链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

漏洞文章 资讯 新闻 快讯 深度评论 介绍 解读

漏洞新闻快讯文章, 漏洞深度文章, 漏洞快讯, 区块链漏洞, 漏洞是什么, 漏洞介绍, 漏洞解读, 漏洞项目, 三分钟了解漏洞, 秒懂漏洞, 如何评价漏洞, 漏洞怎么样, 漏洞创始人, 漏洞招聘, 漏洞融资, 漏洞价格, 漏洞技术, 漏洞社区, 漏洞论坛, 漏洞浏览器, 漏洞排名, 漏洞白皮书, 漏洞本质, 漏洞意义, 漏洞代码, 漏洞游戏, 漏洞什么意思, 漏洞学习, 漏洞培训, 漏洞教程, 漏洞投资, 漏洞赚钱, 漏洞安全, 漏洞漏洞

Alpha Homora V2 被攻击,正在调查被盗资金

链闻消息,跨链 DeFi 平台 Alpha Finance Lab (ALPHA)发推称,「我们收到关 Alpha Homora V2 被攻击的通知,现在正在与 Andre Cronje 和 Cream.Finance 共同应对。漏洞已修复,正在调查被盗资金,已经锁定了主要嫌疑人。用户无法从 Alpha Homora v2 借入更多资金等于没有新的杠杆头寸,只能在现有头寸上借入。V1 在安全运行,我们正处于高度戒备状态,区块链安全研究员 samczsun 和其他人正在调查问题,随后将披露更多信息。」

Cream.Finance 发现潜在漏洞正在着手调查

链闻消息,抵押借贷平台 Cream.Finance 官方发推称,「我们发现了一个潜在的漏洞,并正在着手调查,感谢您对我们调查的支持。」
·

慢雾:技术拆解 Sysrv-hello 僵尸网络入侵原理

由于 Maven 是个流行服务,因此给了 Sysrv-hello 僵尸网络的大范围感染机会。
慢雾:技术拆解 Sysrv-hello 僵尸网络入侵原理

Dedaub 已通过一次白帽攻击将 DeFi Saver 客户的资金安全转移

链闻消息,智能合约安全公司 Dedaub 发文称已通过一次白帽攻击将 DeFi Saver 客户的资金安全转移。该文称,在 DeFi Saver 部署的智能合约中发现一个关键漏洞后,Dedaub 利用了该漏洞,并于 1 月 5 日于团队取得联系。DeFi Saver 团队立即作出回应,不到 20 小时,客户资金已通过一次白帽攻击恢复安全。...
·

PlatON 隐私 Token 合约正式开源

隐私计算网络与分布式经济体基础设施 PlatON 宣布,隐私 Token 合约于今日正式开源。

DeFi 智能投顾 Rari Capital 已修复合约漏洞,正在进行代码重审

链闻消息,DeFi 智能投顾 Rari Capital 发布官方推特称在 Quantstamp 的协作下已修复合约漏洞,没有资金丢失。此前,由于 RGT Distributor 的合约出现漏洞,已暂停 RGT 代币申领和存提款操作。Rari Capital 目前正在对代码更新进行重新审核,以确认整个代码中没有其他漏洞。

SushiSwap 社区治理人 0xMaki :有人通过 SushiSwap 漏洞获利 1 至 1.5 万美元,用户资金是安全的

链闻消息,推特网友 @Juan_Snow1 表示,「0xMaki 在链上一笔交易中备注了带有漏洞赏金的留言,似乎 SushiSwap 遇到了一个漏洞」。链闻查询发现,该笔交易由 0x285b7eea81 开头地址转向 0x1925e832c225,交易金额为 0.01337 枚 ETH,交易备注为「我发现你了,我们正在努力修复。在 Discord 上与我联系以获取漏洞赏金- 0xMaki」。流动性挖矿项目 SushiSwap (SUSHI)社区治理人 0xMaki 在推特回应称「有人在 Sushiswap 0.05% 的交易费支出中获取了 1 至 1.5 万美元。xSushi 流动性资金池的代币是安全的,感谢核心开发人员的快速反应和帮助,接下来会公布带有时间戳的文本内容。」

Pickle Finance 官方披露攻击最新进展,已修复 PickleJar 控制器漏洞

链闻消息,DeFi 项目 Pickle Finance 发布官方博客披露攻击最新进展。博文回顾了此次攻击事件的全程经过,事件发生后,包括 Yearn 核心开发人员 banteg 在内的多名白帽和 Pickle Finance 核心开发人员取得了联系,对此次交易进行反向工程,复现了此次攻击,最终确认这是一次非常复杂的攻击,涉及 Pickle 协议的多个组件。截至目前,没有其他任何基金处于风险中。此外,PickleJar 控制器漏洞已经修复,其他 Jar 存款功能已恢复,但暂时不要在 DAI Jar 中进行存款。Pickle Finance 称将会发布更详细的报告,并根据新事件发展,持续更新此篇博文。

知名白帽 Sam Sun 与 Tina Zhen、星火矿池等合作帮助 Lien 免受漏洞攻击并保护 960 万美元的资金

链闻消息,知名区块链安全研究员 Sam Sun 在博客发布一篇名为「逃离黑暗森林」的文章,详细叙述发现去中心化稳定币协议 Lien Finance 的智能合约漏洞并及时帮助退出超过 960 万美元的加密资产的事情。此前 Lien Finance 已与 ConsenSys Diligence 及 CertiK 进行代码审计,Sam Sun 表示与 Pi-rate Ship Community 的 Tina Zhen 合作联系包括 CertiK 各方相关者,并通过联系 SparkPool 星火矿池联合创始人少平,达成与以太坊矿工合作进行保护性的转账交易。Sam Sun 同时在文章结尾感谢包括 Alex Wade,Scott Bigelow、Tina Zhen、Georgios Delkos 以及 SparkPool 星火矿池在过程中的联系以及帮助。

闪电实验室开发者:闪电网络通道 wumbo 存在漏洞,或导致通道瘫痪两周

链闻消息,闪电实验室(Lightning Labs)独立开发者 Joost Jager 表示闪电网络大额通道 wumbo 存在漏洞,可以致使攻击者在几乎不费力气且零成本的情况下攻击支付通道。不过目前正在努力寻找一个可能的解决方案。该攻击导致 wumbo 通道可能被利用,因为该通道在任何时候都不能持有超过 483 哈希和时间锁合约(HTLCs),不管容量有多大。因此一个攻击者向自己发送 483 笔小额支付,并控制 HTLCs 足以使一个通道瘫痪长达两周。他已经为闪电节点项目启动 Circuit Breaker (熔断)的新防火墙来解决这个问题。

DeFi 稳定币协议 Lien 审计人员发现一 App 漏洞,已开启平台维护

链闻消息,DeFi 稳定币协议 Lien 发布公告表示,团队的审计人员发现一个 Lien App 中的漏洞,决定暂时维护平台以防止漏洞被利用,该项目表示用户存放协议的以太坊资产是安全的,同时没有出现资金被盗的问题。Lien 计划退回用户持有的 LBT、SBT 以及 LP 流动性代币,并在修复该漏洞后重新开放平台服务。

BitBox 开发人员称硬件钱包 Trezor 和 KeepKey 易受远程勒索攻击,Trezor 已发布修复程序

链闻消息,加密硬件钱包 BitBox 的开发人员 Benma 撰文称 Trezor 的硬件钱包低于 v1.9.3 版本的 Trezor One 和低于 v2.3.3 版本的 Trezor Model T 以及 KeepKey 钱包容易受到远程勒索攻击。Benma 指出,该漏洞允许攻击者在不靠近设备的情况下持有用户的加密货币以进行勒索。ShiftCrypto 开发人员在 2020 年春季发现此漏洞后分别在 4 月和 5 月通知了 Trezor 和 KeepKey 团队。Trezor 已于 9 月 2 日在 Trezor One v1.9.3 和 Model T v2.3.3 中发布了修复程序,建议 Trezor 用户更新其钱包。目前,KeepKey 尚未对该漏洞进行修复。链闻此前报道,Ledger 硬件钱包安全研究团队 Ledger Donjon 曾于 2019 年 7 月发布报告称,攻击者可以从包括 Trezor One、Trezor T、Keepkey 和其他类似的 Trezor 设备中窃取出密钥种子,仅需 5 分钟和 100 美元的设备即可实现对这些钱包的攻击。今年 2 月份,Kraken 安全实验室表示 Trezor One 和 Trezor Model T 存在明显缺陷,攻击者可利用该缺陷窃取钱包数据。
·

最高奖励 1000 美金: OKChain 开通漏洞提交通道

OKChain 开通漏洞提交通道,最高奖励 1000 美金。

Coinbase 开发者:SushiSwap 存在能够使得项目方盗取所有资金的漏洞

链闻消息,Coinbase 软件工程师 Daniel Que 在推特提示风险表示,SushiSwap 存在或使得项目方盗取所有资金的漏洞,目前已有 20.2 万美元处于风险之中。SushiSwap 创始人随后承认改漏洞并表示将进行合约迁移。根据网站介绍显示,SushiSwap 是引入收益共享模型,并对现有 AMM 模型进行改进的去中心化交易协议。

研究:前十大最具影响力且易受攻击的 ERC-20 代币的总市值达近 10 亿美元

链闻消息,根据北京大学、北京邮电大学、浙江大学和昆士兰大学研究人员发布的一份论文,以太坊区块链上十大最具影响力且易受攻击的 ERC-20 代币的总市值达到 9.84 亿美元。易受攻击的漏洞被称为假冒存款(fake deposit)漏洞。研究人员在检测在 2015 年 7 月至 2020 年 3 月部署的 17.6 万多个 ERC-20 合约后发现有七千多个合约存在假冒存款漏洞。研究表明,通过操纵使用不完善交易验证方法的 ERC-20 代币智能合约中的代码,黑客几乎可以无成本骗取大量资金。假冒的存款攻击随后可能会使交易所发生崩溃,导致 ERC-20 代币和其他加密货币持有人损失其资金。

Opyn 将在 24h 内发布受漏洞影响的 ETH 看跌期权卖方列表,审核结束后将在 48 小时全额赔偿

链闻消息,链上期权平台 Opyn 更新针对受漏洞影响的以太坊看跌期权卖方的赔偿流程:1. Opyn 将在未来 24 小时之内发布所有受影响用户的地址及余额信息;2. 用户可在 24 小时之内查看该列表;3. 审核结束后,Opyn 将在 48 小时内直接退还所有资金至受影响用户的地址。链闻此前报道,Opyn 表示,将全额赔偿受漏洞影响的以太坊看跌期权卖家。对于以太坊看跌期权买家,将按高于市场价 20% 的价格赎回看跌期权。

Opyn 将全额赔偿受漏洞影响的 ETH 看跌期权卖家

链闻消息,链上期权平台 Opyn 表示,将全额赔偿受漏洞影响的以太坊看跌期权卖家,在接下来的 3 天内将提供详细的赔偿流程。对于以太坊看跌期权买家,将按高于市场价 20% 的价格赎回看跌期权。另外,Opyn 提醒所有用户暂时先不要创建任何新的 oETH Put 保险库或买卖 oETH Put。链闻此前报道,链上期权平台 Opyn 撰文披露其以太坊看跌期权于昨晚被外部参与者恶意利用,逾 37 万 USDC 被盗。Opyn 指出,除以太坊看跌期权外的所有其他 Opyn 合约均不受此漏洞的影响。

安全研究人员披露 Ledger 签名安全漏洞,漏洞或导致用户资金被盗

链闻消息,安全研究人员 Monokh 撰文披露加密货币钱包 Ledger 硬件钱包存在的安全漏洞。Monokh 指出,该漏洞可能导致用户资金被盗。Ledger 会在除比特币之外的应用程序上公开比特币(主网)密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1. 打开莱特币应用程序;2. 获取比特币隔离见证地址;3. 根据地址查看 UTXOs;4. 发起比特币交易并发送给 Ledger 设备要求签名;5. 得到有效的已签名比特币交易信息。Ledger 本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和 App 版本均受到此漏洞影响。Monokh 建议 Ledger 在实时应用程序目录上禁用山寨币(Altcoin)应用程序,直至发布修补程序。根据漏洞披露进程表,2019 年 1 月份,Monokh 最初于 2019 年 1 月份向 Ledger 披露与隐私相关的安全漏洞,随后,Ledger 更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019 年 4 月份,Monokh 再次联系 Ledger 要求更新应用程序,但未得到反馈。今年 5 月份,Monokh 将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger 称正在调查该漏洞。之后 Monokh 多次联系 Ledger 并要求披露漏洞并对其进行修复,但未得到回应,Ledger 也没有修复或披露相关漏洞。

成都链安:F5 BIG-IP 远程代码执行漏洞预警 CVE-2020-5902

漏洞威胁:高,受影响版本:BIG-IP 15.x: 15.1.0/15.0.0、BIG-IP 14.x: 14.1.0 ~ 14.1.2、BIG-IP 13.x: 13.1.0 ~ 13.1.3、BIG-IP 12.x: 12.1.0 ~ 12.1.5 和 BIG-IP 11.x: 11.6.1 ~ 11.6.5。漏洞描述:在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/ 配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于 : 执行任意系统命令、开启 / 禁用服务、创建 / 删除服务器端文件等。修复方案:官方建议可以通过以下步骤暂时缓解影响(临时修复方案) 1) 使用以下命令登录对应系统 tmsh2) 编辑 httpd 组件的配置文件...

Ravencoin 官方确认漏洞存在,已增发总量的 1.5%

链闻消息,Ravencoin 社区成员 CryptoScope 团队发现 Ravencoin 区块链存在漏洞,已被未知人员铸造 RVN 总量 210 亿其中的 1.5%。Ravencoin 开发者 Tron Black 表示,这些代币在被开采后可能已经被出售给市场了,因此经济损失已经被 Ravencoin 生态所吸收。官方提醒所有的矿工、矿池或交易所将客户端升级为最新版本,使用最新版本即可,而社区也在考虑各种方案减少该事件带来的后续影响,比如将减半时间提前,让总量恢复到原来计划的 210 亿。
返回页面顶部
返回链闻首页