騰訊安全玄武實驗室披露波場和NEO區塊鏈安全漏洞報告

據國家信息安全漏洞庫（CNVD）和區塊鏈漏洞子庫（CNVD-BC）消息，騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞已被收錄，其中波場（TRON）遠程代碼執行漏洞獲得CNVD危害評分最高分10分，玄武實驗室發現TRON通過舊版本的fastjson 庫(1.2.60)對 HTTP請求進行反序列化解析，可以實現對開啟了HTTP 服務的TRON 節點的遠程代碼執行攻擊，進而遠程控制服務節點，安裝并執行任意惡意代碼。玄武實驗室在本地搭建的環境中發現，攻擊者可以通過該漏洞進一步劫持所有連接到被攻擊 HTTP 節點的瀏覽器插件錢包、DApp、以及第三方錢包的轉賬功能，竊取用戶所轉賬的虛擬貨幣。

另一個區塊鏈底層智能合約虛擬機漏洞“NEO現網拒絕服務” 是由于智能合約虛擬機因整數溢出導致的拒絕服務漏洞，攻擊者只需要極小的攻擊成本即可癱瘓整個NEO平臺。據悉，玄武實驗室已于數月前就向受影響的波場（TRON）、NEO等區塊鏈平臺提交了詳細報告漏洞，以幫助平臺盡快修復安全問題。

騰訊安全玄武實驗室披露波場和NEO區塊鏈安全漏洞報告:據國家信息安全漏洞庫（CNVD）和區塊鏈漏洞子庫（CNVD-BC）消息，騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞已被收錄，其中波場（TRON）遠程代碼執行漏洞獲得CNVD危害評分最高分10分，玄武實驗室發現TRON通過舊版本的fastjson 庫(1.2.60)對 HTTP請求進行反序列化解析，可以實現對開啟了HTTP 服務的TRON 節點的遠程代碼執行攻擊，進而遠程控制服務節點，安裝并執行任意惡意代碼。玄武實驗室在本地搭建的環境中發現，攻擊者可以通過該漏洞進一步劫持所有連接到被攻擊 HTTP 節點的瀏覽器插件錢包、DApp、以及第三方錢包的轉賬功能，竊取用戶所轉賬的虛擬貨幣。

另一個區塊鏈底層智能合約虛擬機漏洞“NEO現網拒絕服務” 是由于智能合約虛擬機因整數溢出導致的拒絕服務漏洞，攻擊者只需要極小的攻擊成本即可癱瘓整個NEO平臺。據悉，玄武實驗室已于數月前就向受影響的波場（TRON）、NEO等區塊鏈平臺提交了詳細報告漏洞，以幫助平臺盡快修復安全問題。[2021/8/2 1:29:38]

現場 | 騰訊安全高級安全研究員張堯：可信融合的方案非常廣闊:金色財經現場報道，10月15日，華山論劍2020網絡安全大會于西安召開，在大會的區塊鏈安全與應用創新分論壇上，騰訊安全高級安全研究員張堯演講表示，當把明文數據放到鏈上，會涉及較多的隱私問題，可以通過可信計算解決相應問題，例如TEE。TEE Enclave是一個被保護的容器，可以結合很多區塊鏈需要的功能，當區塊鏈和可信計算結合，可信計算有很好的通用性，可以對區塊鏈的瓶頸做一個補充。可以預測的是，可信融合的方案是非常廣闊的，目前有一些可以嘗試結合的方案，例如高速的鏈下支付管道、新型共識。在安全領域的密鑰管理、可信預言機。以及基于TEE的隱私合約實現的隱私交易、多方計算等。[2020/10/15]

動態 | 騰訊安全《七月安全輿情報告》：挖礦木馬數量將持續激增:《報告》顯示，整個七月份，入侵企業服務器挖礦事件呈現上升趨勢。國內多家醫院服務器先后遭入侵，攻擊者暴力破解醫院服務器的遠程登錄服務，并偽裝成遠程協助工具Teamviewer運行，占用服務器資源進行挖礦。同時該挖礦木馬還會通過修改注冊表破壞操作系統的安全功能，關閉運行危險程序時的打開警告等。據悉，我國醫療機構開放遠程登錄服務的比例高達50%，意味著有一半的醫院服務器可能遭遇類似攻擊。《報告》認為，隨著數字貨幣交易價格的持續走高，挖礦木馬數量將在之后的時間持續激增，如何使用安全產品實時防御顯得尤為重要。[2018/8/7]