链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

漏洞

漏洞新闻快讯文章, 漏洞深度文章, 漏洞快讯, 区块链漏洞, 漏洞是什么, 漏洞介绍, 漏洞解读, 漏洞项目, 三分钟了解漏洞, 秒懂漏洞, 如何评价漏洞, 漏洞怎么样, 漏洞创始人, 漏洞招聘, 漏洞融资, 漏洞价格, 漏洞技术, 漏洞社区, 漏洞论坛, 漏洞浏览器, 漏洞排名, 漏洞白皮书, 漏洞本质, 漏洞意义, 漏洞代码, 漏洞游戏, 漏洞什么意思, 漏洞学习, 漏洞培训, 漏洞教程, 漏洞投资, 漏洞赚钱, 漏洞安全, 漏洞漏洞

IOTA 基金会:Trinity 钱包用户资金遭到盗窃,暂时关闭钱包和网络交易

链闻消息,去中心化物联网项目 IOTA 背后的非盈利组织 IOTA 基金会发布公告表示,部分用户的 Trinity 钱包内资金遭到盗窃,IOTA 基金会决定暂时关闭主网中的 Coordinator (协调器)节点与 Trinity 钱包以进行进一步调查。目前该基金会正在评估 Trinity 钱包早期的漏洞,同时试图分析黑客的攻击方式并完成手动验证。 Trinity 是该基金会开发的一种用支持 IOTA 代币的钱包解决方案。IOTA 表示,「正在与执法机构和网络安全专家合作调查这次攻击,由于正在对根本原因进行调查,因此将继续暂停 IOTA 网络上的价值交易,但数据交易不受影响」。

Kraken 称 Trezor 硬件钱包可利用电压故障物理破解,Trezor 回应承认该漏洞

链闻消息,Kraken 安全实验室发布文章表示,Trezor 的硬件钱包产品 Trezor One 和 Trezor Model T 存在明显缺陷,攻击者可利用该缺陷窃取钱包数据。Kraken 在其文章中表示,黑客可以通过 15 分钟物理访问设备的情况下利用电压故障从 Trezor One 和 Trezor Model T 硬件钱包中提取密钥。该文章同时表示,自设计产品以来,Trezor 便意识到此漏洞。Kraken 首席安全官 Nick Percoco 表示,「该漏洞是 Trezor 硬件钱包中使用的微控制器固有的,这也是为什么 Trezor 知晓该漏洞但该漏洞仍然存在的原因,为了解决该问题,Trezor 本质上需要推出一种新设备」。Trezor 针对该博客文章在推特上回应称,「该类型的攻击不会远程发生,如果用户打开 BIP 39 密码短语,该攻击将不会起作用,密码短语完全可以杜绝成功攻击的可能性」。Trezor 同时表示,「已知晓 STM32 微芯片中的电压问题」,这将使得具有专门硬件知识的攻击者可以破解该设备,并建议「购买者将硬件钱包远离陌生人」。链闻此前报道,Ledger 硬件钱包的安全研究团队 Ledger Donjon 也曾于 2019 年 7 月发布报告称,攻击者可以从包括 Trezor One、Trezor T、Keepkey 和其他类似的 Trezor 设备中窃取出密钥种子,仅需 5 分钟和 100 美元的设备即可实现对这些钱包的攻击,且该漏洞无法通过补丁修复。

Twitter 被曝出可导致用户电话号码泄露的客户端漏洞

链闻消息,根据 TechCrunch 报告,安全研究人员 Ibrahim Balic 发现使用 Twitter Android 客户端中的漏洞可以导致百万个 Twitter 用户的电话号码泄露,该漏洞或暴露出 Twitter 身份验证系统的故障。Ibrahim Balic 表示,当其向 Twitter 上传大量随机的电话号码列表并要求 Twitter 将其与用户匹配时,该错误暴露了其他用户帐户,通常仅当新用户在其手机上安装该应用程序时才使用此界面,但是仅仅需要一组 API 调用,Balic 能够欺骗该系统。Balic 同时表示,用户数据包括许多主要 Twitter 名人的电话号码,甚至包括以色列高级政客的私人电话号码。 Twitter 发言人表示,「得知此错误后,我们暂停了用于不当访问人们个人信息的帐户,将继续致力于制止使用 Twitter API 的滥用行为。」

交易者发现 Robinhood 「无限杠杆」漏洞,可无限借入资金进行保证金交易

链闻消息,根据彭博社报道,有用户在 Reddit WallStreetBets 论坛发贴曝光 Robinhood 的「无限杠杆」漏洞,利用该漏洞可将账户余额无限放大,在交易者晒出的一系列「成绩单」中,一名交易者声称将 4000 美金放大到了 120 万美金。该漏洞主要是由「Robinhood Gold」服务导致的,该服务针对积极交易者,只需每月固定交 5 美金就可从 Robinhood 手中借入账户中现金余额的一倍进行保证金交易,交易者可使用从 Robinhood 借来的钱出售受保看涨期权,然而,Robinhood 会将这些看涨期权的价值叠加到用户自有资金中时就会出现问题,这意味着用户借入的资金越多,Robinhood 将会借出更多的钱用于未来的交易。Robinhood 发言人 Lavinia Chirico 在一封电子邮件向彭博社回应称,Robinhood「已意识到这些情况,并已与这些客户取得直接联系。」乔治敦大学法学教授 Donald Langevoort 向彭博社表示,使用所谓的「无限杠杆」增大赌注可能会面临金钱和证券欺诈罪。而根据基本法,交易者可能需要还钱。
·

AirSwap 智能合约漏洞详解:用户资产可被攻击者恶意吃单?

由于这一漏洞可使用户的资产被攻击者恶意偷盗,受此次影响的账号一共有 18 个,其中有部分账号有数万至数十万美元的资产,这些账号需要尽快完成升级,或与 AirSwap 团队联系。
AirSwap 智能合约漏洞详解:用户资产可被攻击者恶意吃单?

DAO 创始团队 Slock.it 发言人:FAIRWIN 智能合约存在漏洞

链闻消息,DAO 创始团队 Slock.it 发言人 Griff Green 发布推文提醒用户,去中心化博彩平台 FAIRWIN 智能合约中存在漏洞,很容易被黑帽发现,FAIRWIN 中的资金有风险,提醒用户警惕风险,应马上停止使用该合约。FAIRWIN 是一个去中心化博彩分红项目,其智能合约 Gas 消耗量排名前 5,是导致以太坊近期 Gas 消耗持续处于高度饱和状态的罪魁祸首之一。

慢雾:8 月共发生 12 起较典型的安全事件,假充值漏洞给交易所造成巨大损失

链闻消息,据 SlowMist Hacked 统计,8 月共发生 12 起较典型的安全事件,累计造成近千万美元损失。慢雾区块链威胁情报 (BTI) 系统监测发现,多家交易所遭受假充值漏洞攻击,使用的攻击手法有:USDT(Omni) 假充值漏洞、ERC20 Token 假充值漏洞、EOS 假充值漏洞、XRP 假充值漏洞以及门罗币 (XMR) 转账锁定漏洞,给交易所造成巨大损失。同时慢雾 BTI 系统也发出预警,近期针对交易所的 APT(Advanced Persistent Threat) 攻击也愈演愈烈,慢雾安全团队在此提醒各交易所,提前做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。

以太坊客户端 Parity 更新 RPC 漏洞修复,该漏洞可恶意关闭部分节点

链闻消息,以太坊客户端 Parity 发现远程过程调用(RPC)漏洞,可能导致服务器意外关闭,目前 Parity Technologies 公司已修复并更新代码。该漏洞由区块链分析公司 Amberdata 发现,其工程副总裁 Scott Bigelow 表示,该漏洞如果被利用攻击,则可能会导致「客户端崩溃,无法窃取资金,但可以恶意关闭部分以太坊节点」。Parity Technologies 在其官方博客表示,Parity Ethereum 在默认情况下「不启用追踪模块或面向公众的远程过程调用(RPC)」,因此大多数节点不应受到影响,但建议「所有运行 Parity 以太坊节点的用户升级最新版本」。

服务英国警方的安防公司 Suprema 数据库存在漏洞,100 万人生物识别数据或遭泄漏

链闻消息,生物识别安防公司 Suprema 被发现存在安全漏洞,由于该公司采用包括指纹和面部识别的 Biostar 2 生物识别技术为银行、伦敦警察厅和国防企业提供服务,这意味着超过一百万人的生物识别数据存在很大的安全隐患。就在上个月,该公司的 Biostar 2 平台在集成了另一个门禁系统 AEOS,AEOS 被来自 83 个国家的 5,700 个组织使用,包括括政府,银行和英国大都会警察。上周,以色列安全研究人员 Noam Rotem 和 Ran Locar 测试发现 Biostar 2 的数据库存在数据泄漏的漏洞,可以通过操纵 Elasticsearch 中 URL 搜索条件来搜索数据库,以获取对数据的访问权限。研究人员发现,登录系统后可以访问超过 2780 万条超过 23G 的数据记录,包括指纹和面部识别数据、用户面部照片、未加密用户名和密码、设施访问日志、安全级别和许可以及员工个人详细信息。数据库中的大部分用户名和密码都没有加密,甚至管理员帐户的密码都是明文显示。这意味着,甚至可以轻松登入该系统修改个人和他人的生物识别数据。目前该漏洞已修复,研究人员表示,这种问题并不是 Suprema 所独有的,实际上非常普遍,很多都是全球 500 强。
·

EOS 惊现重大安全漏洞,上线前全力修复

暴走时评:市值排名全球第五的加密货币 EOS 的区块链网络是目前最受欢迎的区块链技术之一。但是,该平台近日被 360 公司发现一系列极为严重的安全漏洞。这些漏洞可能会使攻击者彻底控制加密货币交易,并击垮整个加密货币网络。虽然 EOS 尚未对此作出回应,但该公司已经了解这种情形,正在全力修复该漏洞...
EOS 惊现重大安全漏洞,上线前全力修复
·

360 发现区块链史诗级漏洞,可完全控制虚拟货币交易

近日,360 公司 Vulcan (伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。29 日凌晨,360 第一时间将该类漏洞上报 EOS 官方,并协助其修复安全隐患...
360 发现区块链史诗级漏洞,可完全控制虚拟货币交易
·

以太坊智能合约漏洞频出 基于 UTXO 的公链是否是更安全的区块链平台?

昨日,EDU 智能合约出现重大漏洞,任意账户中的 EDU Token 可被转走,这些漏洞造成了来自项目方地址中的 30 亿万枚 EDU Token 被偷走,并被陆续转手在火币上进行抛售,引发市场进一步恐慌,价格持续走低 。随后,黑客通过抛售比特币和期货做空交易的方式,吸金离场。据区块律动消息,比特...
以太坊智能合约漏洞频出 基于 UTXO 的公链是否是更安全的区块链平台?
·

由于潜在 BatchOverFlow 漏洞,多个交易所暂停 ERC20 代币交易

暴走时评:以太坊智能合约出现新的漏洞 BatchOverFlow,使黑客有机会占有很多代币,从而操控市场。而且由于以太坊的“代码即法律”原则,没有处理这类漏洞的现成的传统安全响应机制。因此很多交易所暂停了此类代币的交易服务,不过因为与漏洞有关的 BatchTransfer 不是标准的 ERC2...
由于潜在 BatchOverFlow 漏洞,多个交易所暂停 ERC20 代币交易
·

监管漏洞让印度初创企业接受比特币而不违法

暴走时评:印度财政部部长在预算报告中提到,政府可能认定加密货币的使用是违法的,将制止其使用。然而该国企业却认为其中存在法律漏洞,可以通过交易所来间接的接受加密货币,而公司账户不会出现这种货币。然而法律专家指出,虽然目前没有针对加密货币交易的法律条款,可是政府还是考虑到这种货币的诈骗性质。所以企业...
监管漏洞让印度初创企业接受比特币而不违法
·

Google 开发人员发现比特币钱包 Electrum 漏洞 可能导致资金被网站窃取

Google 研究人员 Tavis Ormandy 发现了比特币钱包 Electrum中的一个严重漏洞,允许任何网站窃取用户的代币。当用户开启著旧版本的钱包程式并且浏览网站,只要钱包没有设定密码保护,或是密码太好猜测,则网站将可能窃取钱包中的代币。上周末,Ormandy 在推特上敦促加密货币爱好...
·

Parity Technologies提议用硬分叉释放被锁定的以太币

暴走时评:以太坊网络本身从一开始就存在问题隐患,所以在之后的 TheDAO 及其他相关项目中暴露出来。于是关于如何解决这些问题,维持后续发展动力,引起了社区的争论。包括硬分叉以及措施实施范围。Parity 则建议修改协议,允许恢复自动销毁的合约。翻译:Annie_XuParity Tec...
Parity Technologies提议用硬分叉释放被锁定的以太币
返回页面顶部
返回链闻首页
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpHomeAppleAndroid