據國家信息安全漏洞庫(CNVD)和
區塊鏈漏洞子庫(CNVD-BC)消息,騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞已被收錄,其中波場(TRON)遠程代碼執行漏洞獲得CNVD危害評分最高分10分,玄武實驗室發現TRON通過舊版本的fastjson 庫(1.2.60)對 HTTP請求進行反序列化解析,可以實現對開啟了HTTP 服務的TRON 節點的遠程代碼執行攻擊,進而遠程控制服務節點,安裝并執行任意惡意代碼。玄武實驗室在本地搭建的環境中發現,攻擊者可以通過該漏洞進一步劫持所有連接到被攻擊 HTTP 節點的瀏覽器插件錢包、DApp、以及第三方錢包的轉賬功能,竊取用戶所轉賬的虛擬貨幣。 另一個區塊鏈底層智能合約虛擬機漏洞“NEO現網拒絕服務” 是由于智能合約虛擬機因整數溢出導致的拒絕服務漏洞,攻擊者只需要極小的攻擊成本即可癱瘓整個NEO平臺。據悉,玄武實驗室已于數月前就向受影響的波場(TRON)、NEO等區塊鏈平臺提交了詳細報告漏洞,以幫助平臺盡快修復安全問題。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
