链闻消息,安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出,该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1.打开莱特币应用程序;2.获取比特币隔离见证地址;3.根据地址查看UTXOs;4.发起比特币交易并发送给Ledger设备要求签名;5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币应用程序,直至发布修补程序。根据漏洞披露进程表,2019年1月份,Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞,随后,Ledger更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019年4月份,Monokh再次联系Ledger要求更新应用程序,但未得到反馈。今年5月份,Monokh将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复,但未得到回应,Ledger也没有修复或披露相关漏洞。
ForTube 披露两周前由安全研究人员发现的漏洞,未造成实际损失:2月22日消息,独立安全研究员 samczsun 披露了一个两周前在去中心化借贷协议 ForTube 中发现的安全漏洞,在 Tina Zhen 的帮助下,他从 ForTube 的漏洞中拯救了超过 1300 万美元的用户资产,避免了被攻击者盗取。ForTube 团队称对合约资产和审计数据进行全面检查后,没有用户因漏洞而造成损失,后续将对智能合约代码进行严格全面的检查,防止此类漏洞再次发生。[2021/2/22 17:40:10]
安全研究公司Gauntlet称轻量级区块链协议Mina的攻击成本很高:安全研究公司Gauntlet分析称,轻量级区块链协议Mina的攻击成本非常高。Mina使用一种称为OuroborosSamasika的权益证明(PoS)变体,可以在验证epoch之前选择区块生产者。如果验证者可以在网络中累积足够多的Stake,以在即将到来的epoch进行多次验证,则会打开攻击向量(AttackVector)。Gauntlet认为这种攻击是不可能的,因为它将需要协议代币中流动性来积累足够的Stake以使攻击获利。[2021/2/3 18:45:54]
安全研究员:基于安卓的设备近期受到加密挖矿僵尸网络的攻击:整个8月,网络安全公司Trend Micro的网络威胁研究员Jindrich Karasek一直在监控一个以加密货币挖矿为重点的恶意软件活动。Karasek称,在设置了Honeypot环境以允许Karasek模拟安卓连接设备后,曾发生多次尝试入侵活动,Karasek推测是安装了非法加密挖矿僵尸网络。据研究人员称,一些网络罪犯似乎已经将注意力从入侵电脑系统转移到访问基于安卓系统的设备上,如手机、售货亭、平板电脑和智能电视。可能是因为这些设备在很大程度上没有受到保护,这使得它们很容易受到攻击。正因为如此,恶意软件可以通过搜索开放的安卓调试桥(ADB)端口来攻击设备,并利用Secure Socket Shell(SSH)进行传播,SSH是一种加密的网络协议,用于提供安全的远程登录,甚至在不安全的网络上。(BeInCrypto)[2020/9/14]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。