騰訊安全玄武實驗室：波場與NEO存在嚴重安全漏洞_RPC

鏈捕手消息，近期國家信息安全漏洞庫和區塊鏈漏洞子庫同時收錄了騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞，其中多個被評級為“高危”漏洞。

其中，“波場遠程代碼執行漏洞”獲得了CNVD危害評分最高分10分。在該遠程代碼執行漏洞中，玄武實驗室發現，TRON通過舊版本的fastjson庫(1.2.60)對HTTP請求進行反序列化解析，可以實現對開啟了HTTP服務的TRON節點的遠程代碼執行攻擊，進而遠程控制服務節點，安裝并執行任意惡意代碼。玄武實驗室在本地搭建的環境中發現，攻擊者可以通過該漏洞進一步劫持所有連接到被攻擊HTTP節點的瀏覽器插件錢包、DApp、以及第三方錢包的轉賬功能，竊取用戶所轉賬的虛擬貨幣。

騰訊安全將發行網絡安全主題數字藏品:11月3日消息，2021騰訊數字生態大會將于武漢隆重開幕。行業領袖、技術領軍人物、經濟學者等將共同探討數字經濟發展趨勢，展示產業互聯網的優秀實踐成果。其中，由騰訊安全主辦的云安全專場、數字化業務風控專場將聚焦數字化進程下產業安全防護和安全體系建設等問題于11月4日召開，屆時，騰訊安全將特別舉辦一場數字藏品藝術畫展，聯合三大美院7位青年藝術家，設計發行網絡安全主題數字藏品，于線上、線下限量發放6007份，以世界名畫趣解網絡安全。（新世紀科技）[2021/11/3 6:28:27]

另一個區塊鏈底層智能合約虛擬機漏洞“NEO現網拒絕服務”，則是由于智能合約虛擬機因整數溢出導致的拒絕服務漏洞。利用該漏洞，攻擊者只需要極小的攻擊成本即可癱瘓整個NEO平臺。由于區塊鏈平臺是其上眾多應用的基礎設施，所以與傳統漏洞有所不同，拒絕服務類漏洞會同時波及上層應用，導致比較嚴重的攻擊后果。

現場 | 騰訊安全高級安全研究員張堯：可信融合的方案非常廣闊:金色財經現場報道，10月15日，華山論劍2020網絡安全大會于西安召開，在大會的區塊鏈安全與應用創新分論壇上，騰訊安全高級安全研究員張堯演講表示，當把明文數據放到鏈上，會涉及較多的隱私問題，可以通過可信計算解決相應問題，例如TEE。TEE Enclave是一個被保護的容器，可以結合很多區塊鏈需要的功能，當區塊鏈和可信計算結合，可信計算有很好的通用性，可以對區塊鏈的瓶頸做一個補充。可以預測的是，可信融合的方案是非常廣闊的，目前有一些可以嘗試結合的方案，例如高速的鏈下支付管道、新型共識。在安全領域的密鑰管理、可信預言機。以及基于TEE的隱私合約實現的隱私交易、多方計算等。[2020/10/15]

玄武實驗室表示已于數月前就向受影響的波場、NEO等區塊鏈平臺提交了詳細報告漏洞，以幫助平臺盡快修復安全問題。

動態 | 騰訊安全聯合實驗室：區塊鏈項目NEO存在遠程盜幣風險:騰訊安全聯合實驗室發微博稱，區塊鏈再爆盜幣危機！@騰訊湛瀘實驗室 監測到著名區塊鏈項目NEO（對應數字貨幣“小蟻幣”）存在遠程盜幣風險。用戶在利用默認配置啟動NEO網絡節點并打開錢包時，其數字貨幣可能慘遭遠程盜幣。騰訊安全湛瀘實驗室已向NEO開發社區提交風險預警，同時提醒NEO節點維護者及“小蟻幣”持有者，需關注錢包安全，及時更新客戶端版本，注意異常轉賬行為。

目前，小蟻幣持有者可通過采用以下方案來避免攻擊：

1. 升級到最高版本的NEO-CLI客戶端程序；

2. 避免使用遠程RPC功能，修改配置文件中BindAddress的地址為127.0.0.1；

3. 如有特殊需求，不得不使用遠程RPC功能，應采取修改RPC端口號、啟用基于Https的JSON-RPC接口、設置防火墻策略等方式保障節點安全。[2018/12/1]

Tags：區塊鏈NEOHTTRPC區塊鏈專業畢業后到底做什么NeoCortexAIHTT價格RPC價格

DAI