BIA安全周报 XRP假充值漏洞预警 EOS恶意合约细节被公报

今日头条

?XRP假充值漏洞预警 

?EOSpace团队:EOS代币合约存在更新风险

?勒索软件已获得590万美元 曾向每台机器索要6000美元比特币

?NEO发布官推称遭“恶意交易”

?EOS恶意合约细节被公报

?研究报告称Telegram Passport 易受暴力攻击

?网传“Fomo 3D遭受黑客攻击”，某安全团队判断Fomo 3D网站遭受了DDoS攻击 

   

本周安全情报回顾

XRP假充值漏洞预警 

据曲速未来安全区消息：瑞波币(XRP)存在假充值漏洞（类似于之前披露的 USDT 及以太坊代币假充值漏洞），已有真实攻击在发生，一旦攻击成功，会非常严重。请各大交易所及钱包紧急自查。 

EOSpace团队:EOS代币合约存在更新风险

EOSpace团队今日表示，目前EOS代币合约存在更新风险，可能严重影响交易所及用户资金安全。EOS代币合约创建者在账号权限没有销毁的情况下，可通过更新EOS合约的方式，将基于EOS的代币转移出交易所和用户钱包；此外，通过更新合约，还可直接修改合约总量，造成EOS代币的恶意增发风险。EOSpace团队成员、EOS开源联盟发起人神农认为，代币创建者应该主动销毁手中的更新合约的权限，并将合约权限通过主节点BP多签合约账户的方式来解决信任问题，如果合约出现严重漏洞，可以通过ECAF发起仲裁要求21个主节点BP升级合约。

勒索软件已获得590万美元 曾向每台机器索要6000美元比特币

PCMag报道，SamSam已经通过感染计算机并将数据保存在设备中获取了590万美元。此前，美国医疗测试巨头LabCorp、亚特兰大国际机场、科罗拉多州政府电脑等曾遭受SamSam勒索软件攻击，SamSam向每台机器索要6000美元比特币或52500美元以解锁设。

NEO发布官推称遭“恶意交易”

7月31日消息，NEO近日在官推上表示，NEO网络上的交易数量显着增加，但其中一些没有意义，可以被视为攻击，NEO称可以处理此类事件中的高频次交易场景。

EOS恶意合约细节被公报

8月2日消息，据曲速未来安全消息，一周前国内某实验室发现 EOS 恶意合约可吞噬用户RAM的安全漏洞，并将问题提交 EOSIO 官方，并就漏洞细节与官方团队进行了充分沟通。 在经过与官方团队一周的沟通之后，官方已经充分理解了漏洞危害，并决定将在后期再挑选合适方案，对这个漏洞进行代码修补。 为了避免在这段真空期内发生恶意利用攻击，国内实验室决定将漏洞细节公布出来，供社区研究参考，以方便自查和防御。 据悉，EOS 的合约可以通过require_recipient触发调用其他合约，设计这样的机制给合约的开发者提供了很大的便利性， 但是也带了新的问题。某个用户给合约转账，合约可以在用户不知情的情况下消耗用户的RAM。

研究报告称Telegram Passport 易受暴力攻击

根据加密软件和服务开发商Virgil Security的报告，最近由Telegram推出的APP Telegram Passport易遭受暴力攻击。Telegram Passport，旨在加密用户的个人身份信息，并让用户与第三方共享身份证数据。根据Virgil Security的报告，Telegram使用SHA-512算法，这种算法容易遭受暴力攻击。

网传“Fomo 3D遭受黑客攻击”，某安全团队判断Fomo 3D网站遭受了DDoS攻击 

网传“Fomo 3D遭受黑客攻击”，国内某安全团队判断为Fomo 3D网站遭受了DDoS攻击，但以太坊上智能合约不受影响，因为以太坊网络Gas值尚在正常范围内。目前，Fomo 3D网站使用的安全管理网站Cloudflare已开启高防验证，用户需等待5秒才能访问网站。据悉，5秒等待时间几乎是Cloudflare的最高级DDoS防御策略。

【2018-8-5 BIA安全周报】