开源=安全?RVN盗币事件复盘

最新推荐文章于 2022-08-19 17:00:44 发布
VIP文章 最新推荐文章于 2022-08-19 17:00:44 发布
阅读量480 收藏 1
点赞数
分类专栏: 晓得哥的技术之路 程序人生 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/107561122
版权

开源=安全?RVN盗币事件复盘

ACce1er4t0r@知道创宇404区块链安全研究团队
2020年7月22日
原文地址:https://paper.seebug.org/1275/

在7月15号,v2ex上突然出现了一个这样标题的帖子:三行代码就赚走 4000w RMB,还能这么玩?

帖子内容里,攻击者仅仅只用了短短的几行代码,就成功的获利千万RMB,那么他是怎么做到的呢?

让我们来回顾一下这次事件。

事件回顾

2020年1月16日,开源项目Ravencoin接到这么一则pull request

代码中,提交者将原本定义模糊的报错细分,让人们能够更直观的了解究竟出了什么错误,看起来是在优化项目,但是,事实真是这样么?

2020年6月29日,Solus Explorer开发团队一位程序员在修bug后同步数据时发现了一个suspected transactions with unbalanced VOUTs被Explorer标记出,之后他检查RVN时发现RVN大约被增发了约275,000,000,并发现了大量可疑地reissue asset Transaction,这些交易不仅仅有Asset Amount,而且获得了RVN。在他发现这一事件后,马上和他的团队一起将事件报告给Ravencoin团队。

2020年7月3日,Ravencoin团队向社区发布紧急更新

2020年7月4日,13:26:27 (UTC),Ravencoin团队对区块强制更新了新协议,并确认总增发量为 301,804,400 RVN,即为3.01亿RVN.

2020年7月5月,Rav

最低0.47元/天 解锁文章
晓得哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rvn-agendas:鸦币会议议程
03-12
Ravencoin Agendas Ravencoin开发会议的议程。 这不是Ravencoin的官方形式。 它只是社区想法的集合而已。 贡献准则 拉请求并在Discord上给我DM。 提交者特权 如果您想在此存储库上拥有提交者特权,请以Discord或...
智能合约安全(一):以太坊机制及安全问题
sinat_34996559的博客
12-23 1472
在本系列中,我们将对以太坊现有的安全问题和前沿的各类型漏洞挖掘方法进行综述。本文是本系列的第一篇文章,主要介绍以太坊的机制和存在的安全问题的分类。 01 什么是以太坊智能合约? 以太坊智能合约基于区块链(Blockchain)技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础。简单来讲:如果把比特币看作是分布式的记账本;以太坊便是可以运行程序的分布式计算平台,程序运行的基础则是Solidity智能合约。 智能合约早在1995年就由尼克萨博提出,目的在于以数字形式定
如何保证邮件系统的安全
weixin_46596227的博客
08-19 4697
如何保证邮件系统的安全
矿视界译文:抗ASIC为何难以实现?看看RVN团队怎么说
weixin_44617293的博客
11-15 352
上周五,RVN 官方团队会议如期召开,会上团队成员对「抗 ASIC 新算法」进行讨论,文中包含其社区成员观点及分析对比算法前后收益。本文由矿视界(奇迹摩尔)翻译整理编辑,如需转载,请标明出处。 (一)关于“抗 ASIC 新算法”的小讨论 RVN 核心开发人员 Tron 声称他已经阅读了那篇 X1MT 相关的文章。文章是由 whitefire990 编写的有关抗 ASIC 算法的建议,并且 Tron...
ravencoin-data:从BSOD.pw获取RVN硬币数据
05-24
关于LaravelLaravel是一个具有表达力,优雅语法的Web应用程序框架。 我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Laravel通过减轻许多Web项目中使用的常见任务来减轻开发工作的痛苦,...
RVN2分钟
02-12
RVN2分钟
rvn-asset-bazaar
03-31
rvn-asset-bazaar笔记: 轻量级与核心攻略。 对于小批量资产,API调用应该可以工作,但对于大批量资产,需要构建使用ravend的该应用程序版本@ apdan510,这是做什么用的? 如果您想将其保留在README.md中,可以介意...
rvn2MinersUpdates:rvn.2miners.comapi
04-04
rvn2MinersUpdates rvn.2miners.com/api/
Apache 提权漏洞(CVE-2019-0211)复现
晓得哥的博客
04-14 9749
本月Apache被公布了一个提权的漏洞,并且前天在GitHub上公布出了利用脚本,这几天我负责漏洞应急这个漏洞。 本篇文章没有叫:《Apache 提权漏洞分析》是因为我觉得 CARPE (DIEM): CVE-2019-0211 Apache Root Privilege Escalation 这篇文章的分析写的挺好的,所以我没必要再翻译一遍了,本篇文章主要叙述复现该漏洞的过程中踩过的坑。 复现环...
协议层的攻击:HTTP请求走私
晓得哥的博客
10-11 7537
作者:mengchen@知道创宇404实验室 日期:2019年10月10日 原文链接:https://paper.seebug.org/1048/ 1. 前言 最近在学习研究BlackHat的议题,其中有一篇议题——"HTTP Desync Attacks: Smashing into the Cell Next Door"引起了我极大地兴趣,在其中,作者讲述了HTTP走私攻击这一攻击手段...
认识 JavaAgent --获取目标进程已加载的所有类
晓得哥的博客
12-13 3114
作者:Longofo@知道创宇404实验室 时间:2019年12月10日 原文链接:https://paper.seebug.org/1099/ 之前在一个应用中搜索到一个类,但是在反序列化测试的时出错,错误不是class notfound,是其他0xxx这样的错误,通过搜索这个错误大概是类没有被加载。最近刚好看到了JavaAgent,初步学习了下,能进行拦截,主要通过Instrument Age...
ES 文件浏览器安全漏洞分析(CVE-2019-6447)
晓得哥的博客
02-28 2940
作者:0x7F@知道创宇404实验室 时间:2019.02.27 0x00 前言 ES 文件浏览器(ES File Explorer File Manager application)是一款安卓系统上的文件管理器,它支持在手机上浏览、管理文件。有超过 1 亿次下载量,是目前安卓系统上使用得最广的文件管理器。 2019年1月,由国外安全研究者公开一个关于 ES 文件浏览器的安全漏洞(CVE-2019...
如何打造自己的PoC框架-Pocsuite3-使用篇
晓得哥的博客
04-25 2695
相比于无聊的用法介绍,我更想说一下Pocsuite3为什么会有这些功能以及是如何实现的。如果你也想制造一款类似的工具,Pocsuite3的一些思想或许能够帮助到你。本文同时也是记录Pocsuite3开发过程中的一些思考与理解。 简介 Pocsuite 是由知道创宇404实验室打造的一款开源的远程漏洞测试框架。它是知道创宇安全研究团队发展的基石,是团队发展至今一直维护的一个项目,保障了我们的 Web...
从 Masscan, Zmap 源码分析到开发实践
晓得哥的博客
10-14 2288
作者:w7ay@知道创宇404实验室 日期:2019年10月12日 原文链接:https://paper.seebug.org/1052/ Zmap和Masscan都是号称能够快速扫描互联网的扫描器,十一因为无聊,看了下它们的代码实现,发现它们能够快速扫描,原理其实很简单,就是实现两种程序,一个发送程序,一个抓包程序,让发送和接收分隔开从而实现了速度的提升。但是它们识别的准确率还是比较低的,所以就...
Hessian 反序列化及相关利用链
晓得哥的博客
02-29 2261
作者:Longofo@知道创宇404实验室 时间:2020年2月20日 原文地址:https://paper.seebug.org/1131/#_2 前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apa...
Fastjson 反序列化漏洞史
晓得哥的博客
05-13 2110
作者:Longofo@知道创宇404实验室 时间:2020年4月27日 英文版本:https://paper.seebug.org/1193/ 原文地址:https://paper.seebug.org/1192/ Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一些探测payload,rce pa
CVE-2019-5786 漏洞原理分析及利用
晓得哥的博客
07-02 1532
CVE-2019-5786 漏洞原理分析及利用 作者:Kerne7@知道创宇404实验室 时间:2020年6月29日 从补丁发现漏洞本质 首先根据谷歌博客收集相关CVE-2019-5786漏洞的资料:High CVE-2019-5786: Use-after-free in FileReader,得知是FileReader上的UAF漏洞。 然后查看https://github.com/chromium/chromium/commit/ba9748e78ec7e9c0d594e7edf7b2c07ea2a90
使用RVN算法进行图像二值化的matlab代码
最新发布
04-29
下面是使用RVN算法进行图像二值化的MATLAB代码: ```matlab function [BW] = RVN_threshold(I) % RVN_threshold: 使用RVN算法进行图像二值化 % 输入: I - 输入图像 % 输出: BW - 二值化后的图像 % 将输入图像转换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值