安全研究團隊：Poly Network遭攻擊或因跨鏈簽名私鑰泄露導致

針對Poly Network被攻擊事件，BlockSec安全團隊初步分析認為，導致攻擊發生的原因可能為用于跨鏈簽名的私鑰被泄漏或者簽名程序有邏輯漏洞導致簽署出攻擊交易。

安全研究人員披露Ledger簽名安全漏洞 漏洞或導致用戶資金被盜:安全研究人員Monokh撰文披露加密貨幣錢包Ledger硬件錢包存在的安全漏洞。Monokh指出，該漏洞可能導致用戶資金被盜。Ledger會在除比特幣之外的應用程序上公開比特幣（主網）密鑰和簽名信息，會提供誤導性的交易確認請求。以比特幣和萊特幣應用程序為例，漏洞攻擊路徑為：1.打開萊特幣應用程序；2.獲取比特幣隔離見證地址；3.根據地址查看UTXOs；4.發起比特幣交易并發送給Ledger設備要求簽名；5.得到有效的已簽名比特幣交易信息。Ledger本應在上述第二、第四步驟中識別錯誤并對其進行阻止，但仍然提示用戶進行交易。所有固件版本和App版本均受到此漏洞影響。Monokh建議Ledger在實時應用程序目錄上禁用山寨幣（Altcoin）應用程序，直至發布修補程序。根據漏洞披露進程表，2019年1月份，Monokh最初于2019年1月份向Ledger披露與隱私相關的安全漏洞，隨后，Ledger更新了固件但未對應用程序進行更新，并表示在更新應用程序后將立即公開漏洞。2019年4月份，Monokh再次聯系Ledger要求更新應用程序，但未得到反饋。今年5月份，Monokh將該漏洞的根本原因在簽名功能方面，這可能會導致用戶資金被盜。此后，Ledger稱正在調查該漏洞。之后Monokh多次聯系Ledger并要求披露漏洞并對其進行修復，但未得到回應，Ledger也沒有修復或披露相關漏洞。[2020/8/5]

聲音 | 安全研究院：目前發現超過30w的MikroTik路由器被植入挖礦代碼:據白帽匯安全研究院消息，目前發現超過30w的MikroTik路由器被植入挖礦代碼，攻擊者利用的是維基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目錄文件讀取（CVE-2018-14847）漏洞。[2018/10/11]

國家信息技術安全研究中心主任俞克群：區塊鏈的安全問題依然存在諸多的挑戰:國家信息技術安全研究中心主任俞克群指出，對于隱私暴露、數據泄露、信息篡改、網絡詐騙等問題，區塊鏈的出現給人們帶來了很多期望。但區塊鏈的安全問題依然存在諸多的挑戰。俞克群表示，目前區塊鏈還處在初級階段，存在著密碼算法的安全性、協議安全性、使用安全性、系統安全性等諸多的挑戰。風險不僅來自于外部有意的惡意攻擊，也有可能來自區塊鏈本身體系內生的原因。如何圍繞著整個區塊鏈的應用系統的設備、數據、應用、加密、認證以及權限等等方面構筑一個完整的安全應用體系，是各方必須要面臨的重要問題。[2018/5/17]