安全资讯
安全资讯
FLy_鹏程万里
国内网络安全研究员,专注于Web渗透、移动安全、代码审计、应急响应、内网渗透、区块链安全、云安全等研究方向,擅长渗透测试、红蓝对抗、内网渗透、云安全、区块链安全。
展开
-
KRYPTON RECOVERS FROM A NEW TYPE OF 51% NETWORK ATTACK
Krypton, an Ethereum-based blockchain, recovered from a novel version of a 51% attack which appears to be the first of its kind.The exploit includes a two pronged attack: first prong was, overpowering...转载 2018-06-24 09:34:25 · 337 阅读 · 0 评论 -
以太坊智能合约 Hexagon 存在溢出漏洞
最近通过对智能合约的审计,发现了一些智能合约相关的安全问题。其中我们发现智能合约Hexagon存在溢出攻击,可产生无数的token,导致整个代币都没有意义。 Token地址:https://etherscan.io/address/0xB5335e24d0aB29C190AB8C2B459238Da1153cEBA该代币可能要上交易所,我们已第一时间向官方通知该问题。目前发现受影响合约地址:成因分...转载 2018-06-19 12:23:16 · 505 阅读 · 0 评论 -
Pandemica庞氏游戏存在Gas超出漏洞,80余万资金遭冻结
在18天前,以太坊网络中有人部署了一个名为Pandemica的新款的庞氏游戏,在以太坊中类似的游戏都是非常受欢迎的,譬如PoWH 3D、FOMO 3D等,因为基于区块链不可篡改、公开透明等特性,人们就算知道是“庞氏骗局”也会蜂拥而上,这也是我们不把这类游戏叫做“庞氏骗局”而叫做“庞氏游戏”的原因。这是合约地址:https://etherscan.io/addres/0xD8a1Db7AA1E0...转载 2018-09-05 14:53:08 · 351 阅读 · 0 评论 -
Android平台挖矿木马研究报告
360烽火实验室摘 要手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。 电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。 2014年3月首个Android平台挖矿木马被曝光。 从2013年开始至2018年1月,360烽火实验室共捕获An...转载 2018-10-15 10:48:49 · 938 阅读 · 0 评论 -
TheDAO悲剧重演,SpankChain重入漏洞分析
前言在10月8日,区块链项目方SpankChain在medium上发表了一篇文章, 并表明其受到了攻击,导致损失了160多个ETH和一些Token,这次攻击事件,相对来说损失金额是较小的,约4万美元,不过值得一提的是:这次攻击事件的起因与2016年闹得沸沸扬扬的TheDAO事件如出一辙!一共被盗走300多万ETH,更为严重的是还间接导致了以太坊硬分叉...自那次事件起,以太坊的智能合约开发...转载 2018-10-16 16:32:18 · 27417 阅读 · 1 评论 -
区块链的那些事—THE DAO攻击事件源码分析
一、DAO项目介绍DAO(Decentralized Autonomous Organization)是一种通过智能合约将个体与个体、个人与组织、或组织与组织联系在一起的新型组织形式。The DAO项目于2016年4月30日开始,融资窗口开放了28天。The DAO项目就这么火起来了,截止5月15日这个项目筹得了超过一亿美元,而到整个融资期结束,共有超过11,000位热情的成员参与进来,筹...转载 2018-12-17 18:02:21 · 1304 阅读 · 0 评论 -
Not a fair game, Dice2win公平性分析
Zhiniang Peng from Qihoo 360 Core SecurityDice2win 目前是以太坊上一款异常火爆的区块链博彩游戏。号称“可证明公平的”Dice2win目前每日有近千以太(一百五十万人民币)的下注额,是总交易量仅次于etheroll的第二大以太坊博彩游戏。然而我们分析发现,dice2win中的所有游戏都存在公平性漏洞,庄家可以利用这些漏洞操纵游戏结果。Dice...转载 2018-11-21 09:59:53 · 919 阅读 · 0 评论 -
Protecting From Replay Attacks After Recent BCH Hard Fork
Since the BCH hard fork on 11/16 and splitting into BCH ABC and BCH SV chains, PeckShield has detected huge amount of (small value) transactions replayed on ABC and SV chains. On a single day of 11/18...转载 2018-11-21 09:22:54 · 301 阅读 · 0 评论 -
千万下载量开源软件托管给陌生人 植入恶意代码窃取用户密币
0x00 事件背景2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。360-CERT从该Issuse中得知,大约三个月前,由于缺乏时间和兴趣,event-stream原作者@dominictarr...转载 2018-12-03 13:07:51 · 424 阅读 · 0 评论 -
PeckShield 安全播报: EOS竞猜类游戏nutsgambling遭黑客交易回滚攻击
据 PeckShield 态势感知平台数据显示:昨天,黑客ybdzmtgouwxn向一款EOS 竞猜类游戏nutsgambling发起攻击,在不到一小时内,共计发起144次攻击,总计获利1141.71个EOS。为了防止资金流向被追踪,该黑客采用多个子账号顺序将所获资产转移至账号kcbtvwtxeabc中,暂未提取到交易所。PeckShield 安全人员分析发现,黑客是采用交易回滚攻击手段对游戏...转载 2018-12-03 13:15:19 · 412 阅读 · 1 评论 -
The phenomenon of smart contract honeypots
Hardly a week passes without large scale hacks in the crypto world. It’s not just centralised exchanges that are targets of attackers. Successful hacks such as the DAO, Parity1 and Parity2 have show...转载 2018-08-24 14:15:01 · 516 阅读 · 0 评论 -
以太坊蜜罐智能合约分析
0×00 前言在学习区块链相关知识的过程中,拜读过一篇很好的文章《The phenomenon of smart contract honeypots》,作者详细分析了他遇到的三种蜜罐智能合约,并将相关智能合约整理收集到Github项目smart-contract-honeypots。本文将对文中和评论中提到的 smart-contract-honeypots 和 Solidlity...转载 2018-08-24 14:16:03 · 2015 阅读 · 1 评论 -
从以太坊"MorphToken事件"看智能合约构造函数大小写编码错误漏洞
一、漏洞概述以太坊智能合约的含义就是一组代码(函数)和数据(合约的状态),它们位于以太坊区块链的一个特定地址上。智能合约一般使用solidity语言编写。Morpheus Network与世界上一些大型航运、海关和银行公司协商,通过利用区块链的智能合约技术建立一个全面服务的、全球性的、自动化的、开放的供应链平台和一个集成的加密货币支付系统 ,发布基于以太坊的 MorphToken。20...转载 2018-08-24 14:15:53 · 655 阅读 · 0 评论 -
EduCoin智能合约transferFrom任意转账漏洞
先来看影响情况更多详情可以到这里查看可以看到今日(2018,5,24)发生了三比大量转账的记录,这些都是这个漏洞所造成的,其中有个比较搞笑的事情:看第1、2笔红框过的交易,攻击者0x4205....从0xeee28...用户里窃取了660459561个token。然而,没过几分钟攻击者0x4205窃取来的token全部都被0xc713用户给转走了。......这说明什么?攻击者可以从任意用户中盗币...转载 2018-07-15 22:44:18 · 1724 阅读 · 0 评论 -
EOS智能合约的一些问题总结和建议
近期,链安科技利用VaaS-EOS自动化合约审计工具对多个EOS合约进行了安全审计,发现存在整型溢出等问题,部分合约实现不够严谨。为了便于大家在EOS平台写出更加安全的智能合约,我们将发现的一系列问题进行了分析和总结,并给出了建议。主要存在的问题包括:一、存在整型溢出错误;二、权限检查不严谨;三、API函数的不规范使用; 四、常规代码错误。EOS合约存在不严谨之处我们通...转载 2018-08-24 14:16:49 · 761 阅读 · 0 评论 -
DASP智能合约Top10漏洞
该项目是NCC集团的一项举措。这是一个开放的合作项目,致力于发现安全社区内的智能合约漏洞。GitHub地址 https://github.com/CryptoServices/dasp在了解智能合约Top10之前,我们简单说一下,OWASP Top10。OWASP: Open Web Application Security Project这个项目会公开十大web应用程序安全风险...转载 2018-08-24 14:15:38 · 1054 阅读 · 0 评论 -
ERC20 智能合约整数溢出系列漏洞披露
从2016年The DAO被盗取6000万美元开始 ,到美链BEC价值归零 、BAI和EDU任意账户转帐 ,再到最近EOS漏洞允许恶意合约穿透虚拟机危害矿工节点 ,“智能合约”俨然成为区块链安全重灾区。“清华-360企业安全联合研究中心”团队在区块链安全方面进行了持续研究,开发了自动化漏洞扫描工具,近期发现了多个新型整数溢出漏洞,可造成超额铸币、超额购币、随意铸币、高卖低收、下溢增持等严重危害...转载 2018-07-22 21:01:43 · 1747 阅读 · 0 评论 -
以太坊智能合约call注入攻击
这是我在先知安全大会上分享议题中的一部分内容。主要介绍了利用对call调用处理不当,配合一定的应用场景的一种攻击手段。0x00 基础知识以太坊中跨合约调用是指的合约调用另外一个合约方法的方式。为了好理解整个调用的过程,我们可以简单将调用发起方合约当做传统web世界的浏览器,被调用的合约看作webserver,而调用的msg则是http数据,EVM底层通过ABI规范来解码参数,获取方法选择器...转载 2018-08-24 14:16:56 · 498 阅读 · 0 评论 -
ATN 抵御合约攻击的报告——基于ERC223与DS-AUTH的混合漏洞
2018年5月11日中午,ATN技术人员收到异常监控报告,显示ATN Token供应量出现异常,迅速介入后发现Token合约由于存在漏洞受到攻击。本报告描述黑客的攻击操作、利用的合约漏洞以及ATN的应对追踪方法。攻击: 黑客利用ERC223方法漏洞,获得提权,将自己的地址设为ownerhttps://etherscan.io/tx/0x3b7bd618c49e693c92b2d6bfb3...转载 2018-08-24 14:15:47 · 452 阅读 · 0 评论 -
MyEtherWallet Domain-Hijacking Financially Victimized 198 Users, Causing $320K Loss
On April 24th, MyEtherWallet (or MEW) users in certain areas suffered from domain hijacking and, when visiting official MyEtherWallet.com domain, may be redirected to phishing sites (physically locate...转载 2018-07-15 23:10:18 · 324 阅读 · 0 评论 -
Analyzing and Reproducing the EOS Out-of-Bound Write Vulnerability in nodeos
Today, Qihoo 360 posted in its blog about an out-of-bound access vulnerability in nodeos, a part of EOSIO software package. This vulnerability can be exploited to trigger an RCE (Remote-Code-Execution...转载 2018-07-15 23:11:29 · 395 阅读 · 0 评论 -
类Fomo3D游戏漏洞与修复机制全解析
摘要:无论是 Fomo3D 山寨版还是正宗原版都摆脱不了“一轮就凉凉”的宿命,这与其智能合约的设计漏洞不无关系。本文从合约安全开发的角度出发,详细分析了类 Fomo3D 游戏的两个问题,并提出若干个可能的解决方案。黑客攻击之下,类 Fomo3D 游戏一蹶不振Fomo3D 游戏已正式进入第三轮。截止北京时间 9 月 29 日上午 11 点整,本轮奖池仅累积了 97.8988 Ether,...转载 2019-01-07 16:29:42 · 537 阅读 · 0 评论