腾讯安全玄武实验室披露多个区块链安全漏洞报告

 邮箱网  0条评论  3036次浏览  2021年08月02日 星期一 18:48

分享到: 更多
邮箱网讯 8月2日消息 区块链安全持续引发关注。就在前不久,国家信息安全漏洞库(CNVD)和区块链漏洞子库(CNVD-BC)同时收录了腾讯安全玄武实验室提交的多个区块链相关安全漏洞,其中多个被评级为 " 高危 " 漏洞。

其中," 波场(TRON)远程代码执行漏洞 " 获得了 CNVD 危害评分最高分 10 分(TRON 市值为 291 亿人民币 2021-07-08)。在该远程代码执行漏洞中,玄武实验室发现,TRON 通过旧版本的 fastjson 库 ( 1.2.60 ) 对 HTTP 请求进行反序列化解析,可以实现对开启了 HTTP 服务的 TRON 节点的远程代码执行攻击,进而远程控制服务节点,安装并执行任意恶意代码。玄武实验室在本地搭建的环境中发现,攻击者可以通过该漏洞进一步劫持所有连接到被攻击 HTTP 节点的浏览器插件钱包、DApp、以及第三方钱包的转账功能,窃取用户所转账的虚拟货币。

(玄武实验室演示攻击者对受害者转账进行劫持画面)

另一个区块链底层智能合约虚拟机漏洞 "NEO 现网拒绝服务 "(NEO 市值为 159 亿人民币 2021-07-08),则是由于智能合约虚拟机因整数溢出导致的拒绝服务漏洞。利用该漏洞,攻击者只需要极小的攻击成本即可瘫痪整个 NEO 平台。由于区块链平台是其上众多应用的基础设施,所以与传统漏洞有所不同,拒绝服务类漏洞会同时波及上层应用,导致比较严重的攻击后果。

玄武实验室已于数月前就向受影响的波场(TRON)、NEO 等区块链平台提交了详细报告漏洞,以帮助平台尽快修复安全问题。

区块链是多项信息技术的组合创新,具有去中心化、防篡改、透明可追溯、方便建立信用等特点,已经在数字政务、公益、版权保护、食药溯源等多个领域有了规模化应用。中国正在加快布局区块链技术发展," 十四五 " 规划也将区块链纳入新兴数字产业之一。6 月,工业和信息化部、中央网络安全和信息化委员会办公室联合发布《关于加快推动区块链技术应用和产业发展的指导意见》提出,到 2025 年,区块链产业综合实力达到世界先进水平,产业初具规模。

区块链融合了分布式网络、加密技术、智能合约等多种技术,整体发展尚未完全成熟。腾讯安全玄武实验室负责人于旸表示:区块链技术得益于分布式系统的高可用性与密码学的高一致性,其本身具备的稳定、可信等技术特点使得区块链技术天生具备长远发展的基础;但由于在设计上尽可能排除了人的影响,完全依赖技术所实现的信任链,这就使得区块链技术的安全比其它 IT 技术的安全要更加重要,需要格外重视。玄武实验室在对区块链的网络层、合约层、应用层等不同层面进行的研究中,都曾发现过安全问题。

腾讯安全玄武实验室素有 " 漏洞挖掘机 " 之称,成立七年来,发现的安全漏洞中仅有 CVE 编号的就达上千个,其中区块链相关漏洞超过一百个。在产业互联网时代,5G、AI、物联网、工业互联网等新兴技术的大量应用带来新的安全问题,作为行业领先的安全研究机构,玄武实验室也针对这些新技术及其应用展开研究,并逐步向行业输出安全能力。去年,玄武实验室发布了一项针对 5G 通信协议侧信道攻击的漏洞,在通信行业引起广泛影响。

未来,腾讯安全还将持续开放安全能力,践行 " 安全前置 " 理念,助力区块链新型基础设施建设,以技术支撑产业,全力护航产业安全和用户安全。

标签:腾讯区块链玄武实验室

我的评论:

请  后发表评论。