观察|腾讯安全玄武实验室披露多个漏洞报告

行业热点6个月前发布 qkledit
166,256 0 0

区块链安全继续受到关注。不久前,国家信息安全漏洞数据库(cnvd)和区块链漏洞子数据库(cnvd bc)同时包含腾讯安全宣武实验室提交的多个区块链相关安全漏洞,其中许多被评为“高风险”漏洞。

其中,“Tron远程代码执行漏洞”获得cnvd危害最高得分10分(Tron市值291亿元,2021-07-08)。在远程代码执行漏洞中,玄武实验室发现Tron可以通过旧版本的fastjson库(1.2.60)反序列化和解析HTTP请求,从而在启用HTTP服务的情况下实现对Tron节点的远程代码执行攻击,然后远程控制服务节点安装并执行任何恶意代码。宣武实验室在本地搭建的环境中发现,攻击者可以进一步劫持所有连接到被攻击HTTP节点、钱包、DAPP和第三方钱包的浏览器插件的转账功能,窃取用户转账的虚拟货币。

观察|腾讯安全玄武实验室披露多个漏洞报告

玄武实验室展示了袭击者劫持受害者转移的照片

区块链底层智能合约虚拟机中的另一个漏洞“Neo现有网络拒绝服务”(Neo市值159亿元,2021-07-08),是智能合约虚拟机中整数溢出导致的拒绝服务漏洞。利用此漏洞,攻击者可以以**的攻击成本瘫痪整个Neo平台。由于区块链平台是其上许多应用的基础设施,与传统漏洞不同,拒绝服务漏洞会同时影响上层应用,造成严重的攻击后果。

几个月前,宣武实验室提交了受影响区块链平台(如Tron和Neo)漏洞的详细报告,以帮助平台尽快修复安全问题。

区块链是多种信息技术的组合创新。它具有去中心化、防篡改、透明、可追溯、易于建立信用等特点。它在数字政务、公益事业、版权保护、食品药品溯源等领域得到了广泛的应用。中国正在加快区块链技术的发展,“十四五”规划还将区块链纳入新兴数字产业之一。6月,工信部与中央网络安全和信息技术委员会办公室联合发布《关于加快区块链技术应用和产业发展的指导意见》,提出到2025年,区块链产业综合实力达到世界先进水平,产业初具规模。

区块链集成了分布式网络、加密技术、智能合约等技术,整体发展尚未完全成熟。腾讯安全宣武实验室负责人于敏表示:区块链技术得益于分布式系统的高可用性和加密的高一致性。其自身的技术特点,如稳定性和可靠性,使得链栅技术有内在的长期发展基础;但是,由于在设计中尽可能排除人为影响,完全依赖技术实现的信任链,区块链技术的安全性比其他IT技术更重要,需要特别关注。玄武实验室在网络层、合同层、应用层等不同层次的区块链研究中发现了安全问题。

腾讯安全玄武实验室被称为“漏洞挖矿机”。自成立以来的七年中,仅CVE编号就存在数千个安全漏洞,包括100多个区块链相关漏洞。在工业互联网时代,5g、AI、物联网、工业互联网等新兴技术的大量应用带来了新的安全问题。作为业界领先的安全研究机构,宣武实验室也对这些新技术及其应用进行研究,并逐步向业界输出安全能力。去年,宣武实验室发布了一个针对5g通信协议侧信道攻击的漏洞,在通信行业造成了广泛的影响。

未来,腾讯安全将继续开放安全能力,践行“安全第一”理念,助力区块链新基础设施建设,以技术支撑产业,全力护航产业安全和用户安全。

© 版权声明
广告也精彩

相关文章

暂无评论

暂无评论...