okx

腾讯玄武实验室披露区块链漏洞报告

时间:2023-07-06|浏览:285

欧易

欧易(OKX)

用戶喜愛的交易所

币安

币安(Binance)

已有账号登陆后会弹出下载

区块链安全一直备受关注。最近,国家信息安全漏洞库(CNVD)和区块链漏洞子库(CNVD-BC)同时收录了腾讯安全玄武实验室提交的多个区块链相关安全漏洞,其中多个被评为“高危”漏洞。

其中,“波场(TRON)远程代码执行漏洞”被评分最高,为10分(TRON市值为291亿人民币2021-07-08)。玄武实验室发现,在该漏洞中,TRON使用旧版本的fastjson库(1.2.60)来反序列化解析HTTP请求,攻击者可以通过远程代码执行攻击来控制开启了HTTP服务的TRON节点,并安装并执行任意恶意代码。攻击者还可以通过该漏洞劫持连接到受攻击HTTP节点的浏览器插件钱包、DApp和第三方钱包的转账功能,窃取用户转账的虚拟货币

另一个漏洞是“NEO现网拒绝服务”(NEO市值为159亿人民币2021-07-08),是由于智能合约虚拟机整数溢出导致的拒绝服务漏洞。利用该漏洞,攻击者只需要很小的成本就可以瘫痪整个NEO平台。由于区块链平台是许多应用的基础设施,与传统漏洞不同,拒绝服务漏洞会同时影响上层应用,导致较严重的攻击后果。

玄武实验室几个月前已向受影响的波场(TRON)、NEO等区块链平台提交了详细的漏洞报告,以帮助平台尽快修复安全问题。

区块链是多项信息技术的组合创新,具有去中心化、防篡改、透明可追溯、方便建立信用等特点,在数字政务、公益、版权保护、食药溯源等领域已经有了规模化应用。中国正在加快推动区块链技术发展,将区块链纳入“十四五”规划的新兴数字产业之一。工业和信息化部、中央网络安全和信息化委员会办公室在6月发布了《关于加快推动区块链技术应用和产业发展的指导意见》,提出到2025年,区块链产业的综合实力将达到世界先进水平,产业规模初具规模。

区块链融合了分布式网络、加密技术、智能合约等多种技术,整体发展尚未完全成熟。腾讯安全玄武实验室负责人于旸表示:区块链技术由于其高可用性的分布式系统和密码学的高一致性,具备稳定和可信性等技术特点,使得其天生具备长远发展的基础;但由于在设计上排除了人为因素,完全依赖技术实现信任链,使得区块链技术的安全性比其他IT技术更为重要,需要特别关注。玄武实验室在对区块链的网络层、合约层、应用层等不同层面进行研究时,已经发现了安全问题。

腾讯安全玄武实验室是一个被誉为“漏洞挖掘机”的团队,成立七年来,发现的安全漏洞中有上千个拥有CVE编号,其中有超过一百个与区块链相关。在产业互联网时代,5G、人工智能、物联网、工业互联网等新兴技术的广泛应用也带来了新的安全问题。玄武实验室也在研究这些新技术及其应用,并逐步向行业输出安全能力。去年,玄武实验室发布了一项针对5G通信协议的侧信道攻击漏洞,对通信行业产生了广泛影响。

未来,腾讯安全将继续开放其安全能力,践行“安全前置”的理念,助力区块链新型基础设施建设,以技术支持产业,全力保护产业安全和用户安全。

热点:区块链

« 上一条| 下一条 »
区块链交流群
数藏交流群
区块链币圈-全球区块链数字货币行情、比特币虚拟货币资讯,狗狗币以太坊环保币柚子币莱特币瑞波币等加密数字货币价格非交易行情查询,金色财经巴比特范非小号快讯平台。
趣开心资讯 Qukaixin.cn ©2020-2024版权所有 桂ICP备19010284号-1