腾讯安全玄武实验室披露波场和NEO区块链安全漏洞报告

据国家信息安全漏洞库（CNVD）和区块链漏洞子库（CNVD-BC）消息，腾讯安全玄武实验室提交的多个区块链相关安全漏洞已被收录，其中波场（TRON）远程代码执行漏洞获得CNVD危害评分最高分10分，玄武实验室发现TRON通过旧版本的fastjson 库(1.2.60)对 HTTP请求进行反序列化解析，可以实现对开启了HTTP 服务的TRON 节点的远程代码执行攻击，进而远程控制服务节点，安装并执行任意恶意代码。玄武实验室在本地搭建的环境中发现，攻击者可以通过该漏洞进一步劫持所有连接到被攻击 HTTP 节点的浏览器插件钱包、DApp、以及第三方钱包的转账功能，窃取用户所转账的虚拟货币。

另一个区块链底层智能合约虚拟机漏洞“NEO现网拒绝服务” 是由于智能合约虚拟机因整数溢出导致的拒绝服务漏洞，攻击者只需要极小的攻击成本即可瘫痪整个NEO平台。据悉，玄武实验室已于数月前就向受影响的波场（TRON）、NEO等区块链平台提交了详细报告漏洞，以帮助平台尽快修复安全问题。

腾讯安全领御区块链-北京方正公证取证平台正式发布:金色财经报道，4月17日上午，腾讯安全领御区块链-北京方正公证取证平台正式发布。该平台是北京方正公证处联合腾讯安全共同打造的基于区块链技术的电子数据服务平台，并由江苏安凰领御科技有限公司提供平台的技术运营服务。腾讯领御总经理申子熹表示，这意味着腾讯在区块链司法取证方面有了一个典型的尝试。据介绍，该平台的核心功能包括原创取证、侵权取证、电子公证、数据核验等，主要针对B端和G端用户。To B方面，主要以腾讯自有业务为主，目前已经应用在企鹅号的一键维权当中，后期会在自有公益、音乐、视频等平台方面进行落地应用，在阶段性完善自身能力之后会面向小B市场。[2020/4/17]

声音 | 腾讯安全王强：区块链正在与实体行业加速融合 为产业升级转型注入动力:11月29日，湖南（长沙）网络安全?智能制造大会在长沙国际会展中心举行。腾讯安全受邀出席区块链应用与落地主体论坛，腾讯TUSI安全实验室专家王强分享了腾讯安全在产业区块链领域的前沿探索与最佳实践。王强表示，区块链正在与实体行业加速融合，为产业的升级、转型注入动力。例如对于传统产业来说，多主体间信任、价值传递和数字化转型等问题是很多传统产业所面临的难题，而区块链的技术特性可以满足其转型升级中的增信、自动化以及数字化的需求，为探索产业区块链新模式提供空间。通过“区块链+”模式，加速推进产业区块链建设，是当前区块链行业发展的主要趋势。为了更好地服务于数字经济，产业区块链从广度上不仅要覆盖实体行业的司法、政务、教育、版权、医疗和公益等，也要触及金融行业的支付、征信、保险和供应链金融等等。同时，在深度上，产业区块链将逐步打破中心化弊端，建立多方协作、资产数字化以及数字资产化链条，逐渐构建稳健的价值互联网生态。[2019/11/29]

动态 | 腾讯安全联合实验室：区块链项目NEO存在远程盗币风险:腾讯安全联合实验室发微博称，区块链再爆盗币危机！@腾讯湛泸实验室 监测到著名区块链项目NEO（对应数字货币“小蚁币”）存在远程盗币风险。用户在利用默认配置启动NEO网络节点并打开钱包时，其数字货币可能惨遭远程盗币。腾讯安全湛泸实验室已向NEO开发社区提交风险预警，同时提醒NEO节点维护者及“小蚁币”持有者，需关注钱包安全，及时更新客户端版本，注意异常转账行为。

目前，小蚁币持有者可通过采用以下方案来避免攻击：

1. 升级到最高版本的NEO-CLI客户端程序；

2. 避免使用远程RPC功能，修改配置文件中BindAddress的地址为127.0.0.1；

3. 如有特殊需求，不得不使用远程RPC功能，应采取修改RPC端口号、启用基于Https的JSON-RPC接口、设置防火墙策略等方式保障节点安全。[2018/12/1]

相关资讯