腾讯安全玄武实验室：波场与NEO存在严重安全漏洞

链捕手消息，近期国家信息安全漏洞库和区块链漏洞子库同时收录了腾讯安全玄武实验室提交的多个区块链相关安全漏洞，其中多个被评级为“高危”漏洞。

其中，“波场远程代码执行漏洞”获得了CNVD危害评分最高分10分。在该远程代码执行漏洞中，玄武实验室发现，TRON通过旧版本的fastjson库(1.2.60)对HTTP请求进行反序列化解析，可以实现对开启了HTTP服务的TRON节点的远程代码执行攻击，进而远程控制服务节点，安装并执行任意恶意代码。玄武实验室在本地搭建的环境中发现，攻击者可以通过该漏洞进一步劫持所有连接到被攻击HTTP节点的浏览器插件钱包、DApp、以及第三方钱包的转账功能，窃取用户所转账的虚拟货币。

腾讯安全《CCGP跨链协同治理平台技术白皮书》正式发布:1月13日，在国家工业信息安全发展研究中心指导、计世资讯(CCW Research)主办的2020 IT用户满意度大会上，腾讯安全领御正式发布了聚焦跨链协同治理的解决方案——《CCGP跨链协同治理平台技术白皮书》。针对当前区块链应用过程中存在的链间协作的难点与痛点，《白皮书》提出了一种“以链治链”的跨链互操作模式，即CCGP跨链协同治理平台。作为腾讯安全领御助力区块链技术布局应用的又一探索成果，CCGP跨链协同治理平台集合了腾讯安全领御在智慧城市建设、码链溯源、可信存取证、透明公益等领域的实践经验，为产业区块链提供了一个通用易扩展、高安全、多方高效共治的企业级跨链全栈解决方案。对构建高效跨链协同治理，打通异构产业区块链技术和应用生态具有重要参考价值。[2021/1/18 16:25:05]

另一个区块链底层智能合约虚拟机漏洞“NEO现网拒绝服务”，则是由于智能合约虚拟机因整数溢出导致的拒绝服务漏洞。利用该漏洞，攻击者只需要极小的攻击成本即可瘫痪整个NEO平台。由于区块链平台是其上众多应用的基础设施，所以与传统漏洞有所不同，拒绝服务类漏洞会同时波及上层应用，导致比较严重的攻击后果。

声音 | 腾讯安全：广东、浙江、北京、江苏感染挖矿木马情况最严重:腾讯安全今日发布“2019年度挖矿木马报告”。报告指出，从地区分布来看，2019年挖矿木马在全国各地均有分布，其中感染最严重的地区分别为广东省、浙江省、北京市、江苏省。从行业分布来看，2019年受挖矿木马影响最严重的行业分别为互联网，制造业，科研和技术服务以及房地产业。[2020/2/17]

玄武实验室表示已于数月前就向受影响的波场、NEO等区块链平台提交了详细报告漏洞，以帮助平台尽快修复安全问题。

动态 | 腾讯安全：打开文件就中招 “老虎”挖矿木马已感染超5000台电脑:腾讯安全御见威胁情报中心近日监测发现一款通过社会工程术传播的“老虎”挖矿木马。攻击者将木马程序伪装成“火爆新闻”、“内容”、“隐私资料”、“技巧”等虚假文件名，通过社交网络发送到目标电脑，得手后植入大灰狼远控木马等恶意程序，窃取大量用户个人隐私信息，中电脑更可能遭到远程控制。目前，该木马已感染超5000台电脑。因其挖矿使用的自建矿池包含字符“laofubtc”，腾讯安全技术专家将其命名为“老虎”挖矿木马（LaofuMiner）。（腾讯电脑管家）[2019/12/6]

标签：区块链CCGHTTNEOaia币区块链ccg币种CHTTneos币什么情况

FIL热门资讯