鏈聞 ChainNews 誠邀讀者共同監督,堅決杜絕各類代幣發行、投資推薦及虛擬貨幣炒作信息。舉報

安全

安全新聞快訊文章, 安全深度文章, 安全快訊, 區塊鏈安全, 安全是什麼, 安全介紹, 安全解讀, 安全項目, 三分鐘瞭解安全, 秒懂安全, 如何評價安全, 安全怎麼樣, 安全創始人, 安全招聘, 安全融資, 安全價格, 安全技術, 安全社區, 安全論壇, 安全瀏覽器, 安全排名, 安全白皮書, 安全本質, 安全意義, 安全代碼, 安全遊戲, 安全什麼意思, 安全學習, 安全培訓, 安全教程, 安全投資, 安全賺錢, 安全安全, 安全漏洞

·

Bybit 首席安全官:區塊鏈應用場景下安全的本質並沒有發生大的變化

鏈聞消息,Bybit 首席安全官 Benjamin 在「金色沙龍-全球應用安全加速」主題峯會上表示,「從安全從業者角度來講,區塊鏈應用場景下安全的本質並沒有發生大的變化,安全還是保護用戶、保護公司數據和資產、保護公司品牌,安全技術也還是實現保密性、可用性和完整性。與金融或者互聯網領域相比,安全比較大的一個區別是區塊鏈場景與鏈下結合時用戶隱私保護,這將更富有挑戰性。」此次大會主要圍繞區塊鏈安全等相關主題展開討論,除了 Bybit 首席安全官 Benjamin 之外,參與者還有阿里雲高級架構師福威、HBTC 創始人巨建華等相關領域的專家。
·
·
·

成都鏈安:F5 BIG-IP 遠程代碼執行漏洞預警 CVE-2020-5902

漏洞威脅:高,受影響版本:BIG-IP 15.x: 15.1.0/15.0.0、BIG-IP 14.x: 14.1.0 ~ 14.1.2、BIG-IP 13.x: 13.1.0 ~ 13.1.3、BIG-IP 12.x: 12.1.0 ~ 12.1.5 和 BIG-IP 11.x: 11.6.1 ~ 11.6.5。漏洞描述:在 F5 BIG-IP 產品的流量管理用戶頁面 (TMUI)/ 配置實用程序的特定頁面中存在一處遠程代碼執行漏洞。未授權的遠程攻擊者通過向該頁面發送特製的請求包,可以造成任意 Java 代碼執行。進而控制 F5 BIG-IP 的全部功能,包括但不限於 : 執行任意系統命令、開啓 / 禁用服務、創建 / 刪除服務器端文件等。修復方案:官方建議可以通過以下步驟暫時緩解影響(臨時修復方案) 1) 使用以下命令登錄對應系統 tmsh2) 編輯 httpd 組件的配置文件 edit /sys httpd all-properties3) 文件內容如下 include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '4) 按照如下操作保存文件,按下 ESC 並依次輸入 :wq 5) 執行命令刷新配置文件 save /sys config 6) 重啓 httpd 服務 restart sys service httpd 並禁止外部 IP 對 TMUI 頁面的訪問成都鏈安在此建議使用該應用的交易所進行安全自查,按照官方安全建議進行修復,避免造成不必要的經濟損失。

Ravencoin 官方確認漏洞存在,已增發總量的 1.5%

鏈聞消息,Ravencoin 社區成員 CryptoScope 團隊發現 Ravencoin 區塊鏈存在漏洞,已被未知人員鑄造 RVN 總量 210 億其中的 1.5%。Ravencoin 開發者 Tron Black 表示,這些代幣在被開採後可能已經被出售給市場了,因此經濟損失已經被 Ravencoin 生態所吸收。官方提醒所有的礦工、礦池或交易所將客戶端升級爲最新版本,使用最新版本即可,而社區也在考慮各種方案減少該事件帶來的後續影響,比如將減半時間提前,讓總量恢復到原來計劃的 210 億。
·

ZenGo 披露 Ledger、BRD 和 Edge 等主流加密錢包漏洞,漏洞會使未確認的交易計入用戶餘額

鏈聞消息,加密錢包 ZenGo 發佈報告稱其在 Ledger、BRD 和 Edge 等主流加密貨幣錢包中發現了一個漏洞(命名爲「BigSpender」)。該漏洞可能會使未確認的交易計入用戶的總餘額中,而此時,攻擊者可在交易確認之前撤銷該筆交易。攻擊者利用了比特幣協議中的一項費用替代「Replace-by-Fee」功能。該功能可通過支付更高的手續費來替換此前的一筆交易。攻擊者可以連續多次使用該功能進行 BigSpender 攻擊。值得注意的是,BigSpender 並不是比特幣協議中的漏洞,不會讓攻擊者竊取比特幣,但可用來混淆用戶。ZenGo 已經在 90 天之前披露了該漏洞,並同意爲這些錢包保密 90 天,保密期限已於 7 月 1 日到期。Ledger 和 BRD 現已向 ZenGo 授予了漏洞賞金。另外,BRD 目前已經發布了修復程序。更新:Ledger 對此迴應稱,這不是漏洞,只是有惡意行爲者會利用該費用替代功能進行詐騙。用戶的私鑰、PIN 碼等信息是安全的。另外,截至目前從未出現過用戶被欺騙的報告。Ledger 現已更新 Ledger Live,包括提升用戶體驗(UX)。用戶可直接驗證交易狀態,並會在有未確認交易的情況下接收到提示通知。
·

Cobo 金庫公開代碼審計報告,後續將實現部分安全芯片加密算法層的代碼開源

鏈聞消息,硬件錢包 Cobo 金庫公佈了與區塊鏈安全公司 PeckShield 合作進行的代碼審計報告,報告指出,目前僅有的兩個未修復的問題,其本身是低風險問題,未修復的原因主要是跟業務邏輯有衝突。爲了能夠讓硬件錢包儘可能地趨近於 100% 透明可驗證,接下來還有很多後續工作需要開展,比如實現部分安全芯片的加密算法層的代碼開源、重新實現 ARM 芯片相關代碼並開源、生產 Cypherpunk 版本 Cobo 金庫,允許用戶自行編譯並燒錄安全芯片固件以及錢包應用等。
·

黑客在 Uniswap 上僅用 0.9ETH 盜走價值 90 萬美元的 VETH

鏈聞消息,Coingecko 研究人員 Daryllautk 發推稱,VETH 在去中心化交易所 Uniswap 遭遇黑客攻擊。黑客僅使用 0.9ETH 就盜走了 919,299 VETH (價值 90 萬美元)。攻擊事件發生後,VETH 官方表示,「該合約被其放置在 transferForm ()中的 UX 改進所利用,這是我們的過錯。我們將重新部署 vether4,並將補償所有受影響的 Uniswap 質押者。」

比特幣側鏈 Liquid Network 存在一個長期安全漏洞,Blockstream 迴應稱暫無資金被盜

鏈聞消息,比特幣開發商、加密初創公司 Summa One 創始人 James Prestwich 表示,區塊鏈初創公司 Blockstream 的比特幣側鏈網絡 Liquid Network 存在一個長期漏洞,這可能導致上百萬比特幣被盜。由於時間鎖(TimeLock)不一致,該安全漏洞影響了 Liquid Network 上的基本帳戶。這種不一致可能會讓員工通過緊急恢復流程提取比特幣,只需要 3 個密鑰持有者中的 2 個簽署交易將繞過 multisig (多簽名)進程,該進程原本需要 15 個密鑰持有者中的 11 個來簽署交易。據 James Prestwich 表示,該賬戶本週控制了 870 枚比特幣 (約 800 萬美元),控制時間超過一個多小時。然而,這個潛在漏洞已經存在了 18 個月,可能已經造成了數百萬美元的損失,影響了 2000 多個交易輸出(UTXO)。Blockstream 首席執行官 Adam Back 承認該漏洞是一個「已知問題」。他表示,一個完整的修復程序已經進行了一段時間,但由於幾個原因被推遲了。他補充說,開發人員目前正在與 Liquid Federation 合作,以創建和部署最後的補丁。目前,已存在一種解決方法,它將以一種暫時且有限的方式解決這個問題。Adam Back 指出,Blockstream 對這種情況的處理「沒有達到通常的信任最小化標準」。以 Blockstream 的信譽而言,實際上沒有資金被竊取。此外,這個漏洞只會導致員工內部盜竊的可能性,而不是外部攻擊的可能。
·

金融科技公司 Plaid 被指控收集 Cash App 等應用程序的數據信息

鏈聞消息,據 Cointelegraph 報道,金融科技公司 Plaid 面臨一項集體訴訟。原告聲稱,Plaid 通過累積數百萬用戶的金融交易並將其貨幣化,侵犯了用戶的隱私信息。原告指控 Plaid 通過「數據管道」(Data plumbing)積累 Venmo、Stripe、Square 的 Cash App 和 Robinhood 等服務的相關數據信息。鏈聞此前報道,今年 1 月份,Visa 宣佈以 53 億美元收購金融科技公司 Plaid。Plaid 可以通過軟件接口(API)的形式爲初創公司提供接入用戶銀行賬戶的服務,比如零佣金股票和加密貨幣交易工具 Robinhood 和加密貨幣交易所 Coinbase、Gemini 都是其客戶。
·

TikTok 和其他部分應用疑似通過 iOS 剪貼板訪問加密錢包地址等敏感信息,TikTok 表示將停止在 iOS 設備上訪問剪貼板內容

鏈聞消息,據美國科技博客媒體 Ars Technica 報道,在今年 3 月份研究人員 Tommy Mysk 和 Talal Haj Bakry 發佈報告表示字節跳動旗下短視頻平臺 TikTok 和其他一些應用會定期從 iOS 和 iPadOS 剪貼板中調出數據之後,儘管 TikTok 承諾要遏制這種做法,但其仍繼續訪問 Apple 用戶的一些隱私數據,其中包括密碼、加密貨幣錢包地址、帳戶重置鏈接以及一些個人消息。許多其他應用程序也在繼續訪問 Apple 用戶隱私信息。TikTok 代表在一份聲明中寫道,「自 6 月 22 日發佈 iOS14 測試版以來,用戶在使用許多應用程序時看到了這些通知。對 TikTok 而言,這是由旨在識別重複性垃圾郵件行爲的功能觸發的。我們已經向 App Store 提交了該應用程序的更新版本,其中刪除了反垃圾郵件功能。TikTok 致力於保護用戶的隱私。」

江西吉安中級人民法院點名多個虛擬貨幣騙局

鏈聞消息,江西吉安市中級人民法院撰文稱,80% 以上的資金盤是來自美國的國際老。每推出一個新盤,在前期市場空白階段,爲提高假象的「暴增速度」來吸引投資者,他們就向市場拋售幾個、十幾個甚至幾十個億的報單虛擬幣。同時,在前期最多回放 20% 給與參與者「兌現提款」,再由有收益的「提款成功」者傳播,就能招募更多的「貪婪者」參與投資。其它 80% 資金通過各種渠道洗出境外。在吉安市中級人民法院歸類虛擬貨幣和新概念外匯跟單爲「最潮流騙局」,並點名了多個項目,包括張健五行幣,下線多達 18 萬人,傳銷頭目宋密秋已被中國警方抓獲;亞歐幣,詐騙 40 億元,7 萬餘人被騙一空;GCB 光彩幣,註冊會員數十萬,涉案金額上億元;EGD 網絡黃金,註冊會員 50 萬人,涉案金額 109 億;萬福幣,註冊會員 13 萬人,涉案金額 20 億元;暗黑幣,註冊會員 3 萬多人,涉案金額 15 億;維卡幣,註冊會員 180 萬人,涉案金額 6 億餘元;萊匯幣,註冊會員 20 萬人,涉案金額 5 億餘元;Discovery 摸金派π、克拉幣、DGC 共享幣、百川幣、麥格幣、恆星幣、Gem Coin 珍寶幣、FC 赫爾幣、開心理財網、蒂克幣、BGB 貝格邦、BBT 金幣、OFC 萬維幣、馬克幣、利閣幣、雷達幣、摩哈幣、中國物聯網數字貨幣中心。
返回頁面頂部
返回鏈聞首頁