漏洞威脅:高
受影響版本:
BIG-IP 15.x: 15.1.0/15.0.0
BIG-IP 14.x: 14.1.0 ~ 14.1.2
BIG-IP 13.x: 13.1.0 ~ 13.1.3
BIG-IP 12.x: 12.1.0 ~ 12.1.5
成都鏈安:whaleswap.finance項目遭受攻擊,至少損失5,946 個BUSD和5964個USDT:6月21日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,whaleswap.finance項目遭受攻擊,成都鏈安技術團隊分析發現原因可能是因為whaleswap.finance Pair合約的K值校驗存在問題。每當用戶在進行交換時,K值校驗中傳入的參數量級存在問題,造成K值校驗失效。攻擊者先通過閃電貸借一筆BSC-USD,之后歸還閃電貸時K值校驗參數量級為10000^4。而K值校驗時采取的參數校驗量級為10000^2,導致K校驗失效。[2022/6/21 4:41:57]
BIG-IP 11.x: 11.6.1 ~ 11.6.5
OneSwap智能合約代碼通過慢霧、成都鏈安、PeckShield安全審計:據海外媒體消息,OneSwap已9月6日順利通過智能合約代碼安全審計,此次審計工作由三家業內知名的安全公司慢霧科技,派盾PeckShield,成都鏈安完成。在審計過程中,三家獨立的審計團隊采取自身獨特的策略對OneSwap智能合約代碼進行全方位開展代碼審計工作,以最大程度確保及時發現漏洞。
審計團隊分別從攻擊漏洞測試、合約復雜度分析、代碼通用性、鏈上數據安全、代碼邏輯等方面對OneSwap智能合約代碼進行全方位的測試分析。OneSwap智能合約代碼均符合三家安全公司的安全審核標準,審計中發現的問題目前都已解決或正在解決中。
OneSwap是一個基于智能合約的完全去中心化的交易協議,在CFMM模型的基礎之上引入鏈上訂單簿來改善AMM用戶的交易體驗。上幣無需許可,可支持自動化做市、支持掛單挖礦、流動性挖礦和交易挖礦。據官方消息,Oneswap將在2020年9月7日正式上線并開啟公測。[2020/9/7]
漏洞描述:
分析 | 成都鏈安:錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,成都鏈安在接受金色財經采訪時指出:“safuwallet是第三方extension插件錢包,用戶資產被盜,主要原因還是私鑰被盜,發生了這樣的問題,對于錢包服務器而言只要不存儲用戶的私鑰,只做相關交易數據的處理的話,兩者之間就沒有關系,如果服務器存儲了用戶的私鑰,那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼,黑客可能先將惡意代碼注入到safuwallet中,然后引誘受害者安裝錢包,再獲取到受害者的私鑰后,進行相關代幣的轉移。事實上,對于非官方錢包,安全性確實不太好保障。對于此類錢包,私鑰被盜的時間時有發生。對于這個事件,后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]
在 F5 BIG-IP 產品的流量管理用戶頁面 (TMUI)/配置實用程序的特定頁面中存在一處遠程代碼執行漏洞。
未授權的遠程攻擊者通過向該頁面發送特制的請求包,可以造成任意Java 代碼執行。進而控制 F5 BIG-IP 的全部功能,包括但不限于: 執行任意系統命令、開啟/禁用服務、創建/刪除服務器端文件等。
修復方案:
官方建議可以通過以下步驟暫時緩解影響(臨時修復方案)
1) 使用以下命令登錄對應系統
tmsh
2) 編輯 httpd 組件的配置文件
edit /sys httpd all-properties
3) 文件內容如下
include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '
4) 按照如下操作保存文件
按下 ESC 并依次輸入 :wq
5) 執行命令刷新配置文件
save /sys config
6) 重啟 httpd 服務
restart sys service httpd 并禁止外部IP對 TMUI 頁面的訪問
成都鏈安在此建議使用該應用的交易所進行安全自查,按照官方安全建議進行修復,避免造成不必要的經濟損失。
文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00加密市場周期四季分明,幾乎所有人都知道,然而在漫長的熊市周期里卻不是所有人都能熬得住,在類似312這種極端事件中,也不是所有人都能扛得住,許多人即便相信也許還有未來,還是選擇了無奈的離場.
1900/1/1 0:00:00從無人知曉到漸為人知;從冷門偏技到熱門關注,IPFS從2014年誕生至今,已經走過了六個年頭。正如它的創建者胡安·貝內特的天才經歷一樣,IPFS自大熱以來,同樣充滿傳奇故事——在實打實的技術開發.
1900/1/1 0:00:006月30日,北京市人民政府辦公廳印發《北京市區塊鏈創新發展行動計劃(2020—2022年)》。《計劃》提出,設立區塊鏈產業投資基金.
1900/1/1 0:00:00首檔行情直播欄目 金晚8點 熱點資訊、現貨合約,一對一實時解答隨時隨地掌握后市行情,把握幣市掘金機會2020/07/09丨今日主題:《主流幣暴漲.
1900/1/1 0:00:00最近一段時間DeFi熱度很高,打開相關區塊鏈行業的媒體,首頁必然有DeFi相關的內容,一些去中心化借貸項目(比如Compound,MakerDao)由于價格大漲也被奉上圣壇.
1900/1/1 0:00:00