[腾讯安全玄武实验室披露波场和NEO区块链安全漏洞报告]据国家信息安全漏洞库(CNVD)和区块链漏洞子库(CNVD-BC)消息,腾讯安全玄武实验室提交的多个区块链相关安全漏洞已被收录,其中波场(TRON)远程代码执行漏洞获得CNVD危害评分最高分10分,玄武实验室发现TRON通过旧版本的fastjson 库(1.2.60)对 HTTP请求进行反序列化解析,可以实现对开启了HTTP 服务的TRON 节点的远程代码执行攻击,进而远程控制服务节点,安装并执行任意恶意代码。玄武实验室在本地搭建的环境中发现,攻击者可以通过该漏洞进一步劫持所有连接到被攻击 HTTP 节点的浏览器插件钱包、DApp、以及第三方钱包的转账功能,窃取用户所转账的虚拟货币。
另一个区块链底层智能合约虚拟机漏洞“NEO现网拒绝服务” 是由于智能合约虚拟机因整数溢出导致的拒绝服务漏洞,攻击者只需要极小的攻击成本即可瘫痪整个NEO平台。据悉,玄武实验室已于数月前就向受影响的波场(TRON)、NEO等区块链平台提交了详细报告漏洞,以帮助平台尽快修复安全问题。
现场 | 腾讯安全高级安全研究员张尧:可信融合的方案非常广阔:金色财经现场报道,10月15日,华山论剑2020网络安全大会于西安召开,在大会的区块链安全与应用创新分论坛上,腾讯安全高级安全研究员张尧演讲表示,当把明文数据放到链上,会涉及较多的隐私问题,可以通过可信计算解决相应问题,例如TEE。TEE Enclave是一个被保护的容器,可以结合很多区块链需要的功能,当区块链和可信计算结合,可信计算有很好的通用性,可以对区块链的瓶颈做一个补充。可以预测的是,可信融合的方案是非常广阔的,目前有一些可以尝试结合的方案,例如高速的链下支付管道、新型共识。在安全领域的密钥管理、可信预言机。以及基于TEE的隐私合约实现的隐私交易、多方计算等。[2020/10/15]
腾讯安全领御区块链-北京方正公证取证平台正式发布:金色财经报道,4月17日上午,腾讯安全领御区块链-北京方正公证取证平台正式发布。该平台是北京方正公证处联合腾讯安全共同打造的基于区块链技术的电子数据服务平台,并由江苏安凰领御科技有限公司提供平台的技术运营服务。腾讯领御总经理申子熹表示,这意味着腾讯在区块链司法取证方面有了一个典型的尝试。据介绍,该平台的核心功能包括原创取证、侵权取证、电子公证、数据核验等,主要针对B端和G端用户。To B方面,主要以腾讯自有业务为主,目前已经应用在企鹅号的一键维权当中,后期会在自有公益、音乐、视频等平台方面进行落地应用,在阶段性完善自身能力之后会面向小B市场。[2020/4/17]
动态 | 腾讯安全:上半年区块链因安全问题损失超27亿美元:据腾讯科技消息,腾讯安全联合知道创宇近日发布《2018上半年区块链安全报告》。《报告》显示,基于区块链加密数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面,这三方面原因造成的经济损失分别为12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。总的趋势是,随着数字虚拟货币参与者的增加,各种原因导致的安全事件也显著增加。[2018/8/6]
郑重声明: 腾讯安全玄武实验室披露波场和NEO区块链安全漏洞报告版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。