区块链安全持续受到关注。不久前,国家信息安全漏洞数据库(cnvd)和区块链漏洞子数据库(cnvd bc)均收录了腾讯安全玄武实验室提交的多项区块链相关安全漏洞,其中多项被评为“高危”漏洞。
其中“Tron远程代码执行漏洞”获得cnvd危害最高分10分(Tron市值291亿元,2021年7月8日)。在远程代码执行漏洞中,玄武实验室发现Tron可以通过旧版fastjson库(1.2.60)反序列化解析HTTP请求,从而实现对启用HTTP服务的Tron节点的远程代码执行攻击,进而远程控制服务节点安装执行任意恶意代码。玄武实验室在本地环境中发现,攻击者可以进一步劫持被攻击的HTTP节点、钱包、DAPP、第三方钱包连接的所有浏览器插件的转账功能,盗取用户转账的虚拟货币。
玄武实验室展示了攻击者劫持受害者并转移的照片。
区块链底层智能合约虚拟机的另一个漏洞“Neo现有网络拒绝服务”(Neo市值159亿元,2021-07-08),是智能合约虚拟机中整数溢出导致的拒绝服务漏洞。利用这个漏洞,攻击者可以用最低的攻击成本瘫痪整个Neo平台。由于区块链平台是其上许多应用的基础设施,与传统漏洞不同,拒绝服务漏洞会同时影响上层应用,造成严重的攻击后果。
几个月前,玄武实验室提交了一份详细的受影响区块链平台(如Tron和Neo)的漏洞报告,以帮助这些平台尽快修复安全问题。
区块链是各种信息技术的组合创新。它是去中心化的,防篡改的,透明的,可追踪的,容易建立信用。已广泛应用于数字政务、公益事业、版权保护、食品药品溯源等领域。中国正在加快发展区块链技术,“十四五”计划也将区块链列为新兴数字产业之一。6月,工业和信息化部、中央网络安全和信息化委员会办公室联合发布《关于加快区块链技术应用和产业发展的指导意见》,提出到2025年,区块链产业综合实力达到世界先进水平,产业初具规模。
区块链融合了分布式网络、加密技术、智能合约等技术,整体发展尚未完全成熟。腾讯安全玄武实验室负责人于敏表示:区块链技术得益于分布式系统的高可用性和加密的高一致性。其自身的技术特点,如稳定性、可靠性等,使得链状网格技术具有内在的长期发展基础;但区块链技术的安全性比其他IT技术更重要,需要特别注意,因为在设计上尽可能消除了人为影响,信任链完全依赖于技术。玄武实验室在区块链的研究中发现了网络层、契约层、应用层等不同层次的安全问题。
腾讯安全玄武实验室被称为“漏洞矿机”。成立7年来,仅CVE号码通就出现了数千个安全漏洞,其中包括100多个与区块链有关的漏洞。在工业互联网时代,5g、AI、物联网、工业互联网等新兴技术的大量应用带来了新的安全问题。玄武实验室作为业内领先的安全研究机构,也研究这些新技术及其应用,逐步向行业输出安全能力。去年玄武实验室发布了一个针对5g通信协议侧信道攻击的漏洞,在通信行业产生了广泛的影响。
未来,腾讯安全将持续开放安全能力,践行“安全第一”的理念,助力区块链新基础设施建设,以技术支撑产业,全力为产业安全和用户安全保驾护航。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"腾讯安全玄武实验室收款机器,腾讯玄武实验室faceid":http://www.guoyinggangguan.com/qkl/137203.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
