vulnerability
5,469 penayangan
17 Berdiskusi
Populer
Terbaru
Lihat asli
Apakah Kontrak Web3 Anda Aman? đ
#Thirdweb , sebuah perusahaan pengembangan kontrak pintar, melaporkan kelemahan keamanan kritis di perpustakaan sumber terbuka yang banyak digunakan yang memengaruhi berbagai kontrak pintar Web3, sehingga mendesak tindakan segera.
#vulnerability , yang berdampak pada kontrak seperti DropERC20 dan ERC721, masih belum dieksploitasi, sehingga memberikan peluang singkat untuk pencegahan.
Thirdweb menyarankan pengguna kontrak untuk mengambil langkah mitigasi atau menggunakan #revoke.cash untuk perlindungan.
Perusahaan tersebut meningkatkan langkah-langkah keamanan, menggandakan pembayaran bug bounty, dan menjanjikan hibah untuk mitigasi kontrak, setelah mengumpulkan $24 juta dalam pendanaan Seri A.
Dengan lebih dari 70.000 pengembang menggunakan layanan mereka, peringatan proaktif Thirdweb menyoroti kebutuhan mendesak akan pengembangan kontrak pintar yang aman di Web3.
#Binance
#crypto2023
#Thirdweb , sebuah perusahaan pengembangan kontrak pintar, melaporkan kelemahan keamanan kritis di perpustakaan sumber terbuka yang banyak digunakan yang memengaruhi berbagai kontrak pintar Web3, sehingga mendesak tindakan segera.
#vulnerability , yang berdampak pada kontrak seperti DropERC20 dan ERC721, masih belum dieksploitasi, sehingga memberikan peluang singkat untuk pencegahan.
Thirdweb menyarankan pengguna kontrak untuk mengambil langkah mitigasi atau menggunakan #revoke.cash untuk perlindungan.
Perusahaan tersebut meningkatkan langkah-langkah keamanan, menggandakan pembayaran bug bounty, dan menjanjikan hibah untuk mitigasi kontrak, setelah mengumpulkan $24 juta dalam pendanaan Seri A.
Dengan lebih dari 70.000 pengembang menggunakan layanan mereka, peringatan proaktif Thirdweb menyoroti kebutuhan mendesak akan pengembangan kontrak pintar yang aman di Web3.
#Binance
#crypto2023
Lihat asli
Progress Software telah merilis patch darurat untuk #vulnerability (CVE-2024-7591) yang kritis pada produk #LoadMaster dan LoadMaster Multi-Tenant (MT) Hypervisor. Cacat ini, dengan skor keparahan maksimum 10/10, memungkinkan penyerang jarak jauh untuk menjalankan perintah sembarangan melalui permintaan #HTTP yang dibuat karena validasi input yang tidak tepat. Kerentanan tersebut memengaruhi LoadMaster versi 7.2.60.0 dan sebelumnya, serta MT Hypervisor versi 7.1.35.11 dan sebelumnya, termasuk cabang Dukungan Jangka Panjang (LTS). Perbaikan telah dikeluarkan melalui paket add-on, meskipun tidak mencakup versi gratis LoadMaster. Meskipun tidak ada laporan eksploitasi yang diterima, pengguna didesak untuk menerapkan patch dan mengikuti praktik peningkatan keamanan untuk melindungi sistem mereka.
Lihat asli
@7h3h4ckv157
CVE-2024-49112
Kritis RCE #vulnerability yang mempengaruhi Klien LDAP Windows dengan skor CVSS 9.8. Kerentanan ini dapat memungkinkan penyerang yang tidak memiliki hak istimewa untuk menjalankan kode sembarangan di Server Active Directory dengan mengirimkan serangkaian panggilan LDAP khusus ke server.
Microsoft merekomendasikan agar semua server Active Directory dikonfigurasi untuk tidak menerima Panggilan Prosedur Jarak Jauh (RPC) dari jaringan yang tidak tepercaya di samping memperbaiki kerentanan ini.
CVE-2024-49112
Kritis RCE #vulnerability yang mempengaruhi Klien LDAP Windows dengan skor CVSS 9.8. Kerentanan ini dapat memungkinkan penyerang yang tidak memiliki hak istimewa untuk menjalankan kode sembarangan di Server Active Directory dengan mengirimkan serangkaian panggilan LDAP khusus ke server.
Microsoft merekomendasikan agar semua server Active Directory dikonfigurasi untuk tidak menerima Panggilan Prosedur Jarak Jauh (RPC) dari jaringan yang tidak tepercaya di samping memperbaiki kerentanan ini.
Lihat asli
#vulnerability
Juniper Mengingatkan Serangan Botnet Mirai pada Router Pintar Sesi
#JuniperNetworks telah mengeluarkan peringatan keamanan tentang Mirai yang berbasis #botnet yang menargetkan router pintar Sesi dengan kredensial default. Malware ini memindai perangkat yang rentan, mengeksekusi perintah jarak jauh, dan memungkinkan #DDoS serangan.
Indikator kunci kompromi termasuk upaya login brute-force, lonjakan lalu lintas keluar, perilaku perangkat yang tidak teratur, dan pemindaian pada port umum. Juniper mendesak pengguna untuk mengganti kata sandi default, memperbarui firmware, memantau log, dan menerapkan firewall. Perangkat yang terinfeksi harus di-reimage untuk memastikan penghapusan lengkap dari ancaman.
Admin disarankan untuk mengadopsi praktik keamanan yang kuat untuk mencegah serangan lebih lanjut.
Juniper Mengingatkan Serangan Botnet Mirai pada Router Pintar Sesi
#JuniperNetworks telah mengeluarkan peringatan keamanan tentang Mirai yang berbasis #botnet yang menargetkan router pintar Sesi dengan kredensial default. Malware ini memindai perangkat yang rentan, mengeksekusi perintah jarak jauh, dan memungkinkan #DDoS serangan.
Indikator kunci kompromi termasuk upaya login brute-force, lonjakan lalu lintas keluar, perilaku perangkat yang tidak teratur, dan pemindaian pada port umum. Juniper mendesak pengguna untuk mengganti kata sandi default, memperbarui firmware, memantau log, dan menerapkan firewall. Perangkat yang terinfeksi harus di-reimage untuk memastikan penghapusan lengkap dari ancaman.
Admin disarankan untuk mengadopsi praktik keamanan yang kuat untuk mencegah serangan lebih lanjut.
Lihat asli
#CyversAlerts
Sistem kami mendeteksi beberapa transaksi mencurigakan yang melibatkan kontrak pinjaman yang tidak terverifikasi di #Base beberapa jam yang lalu.
Penyerang awalnya melakukan transaksi mencurigakan, mendapatkan sekitar $993K dari kontrak yang tidak terverifikasi ini. Sebagian besar token ini ditukar dan dijembatani ke rantai #Ethereum , dengan sekitar $202K disetor ke #TornadoCash .
Penyerang memperoleh tambahan $455K dengan mengeksploitasi #vulnerability yang sama. Penyebab utama tampaknya adalah manipulasi harga WETH melalui peminjaman yang berlebihan.
Sistem kami mendeteksi beberapa transaksi mencurigakan yang melibatkan kontrak pinjaman yang tidak terverifikasi di #Base beberapa jam yang lalu.
Penyerang awalnya melakukan transaksi mencurigakan, mendapatkan sekitar $993K dari kontrak yang tidak terverifikasi ini. Sebagian besar token ini ditukar dan dijembatani ke rantai #Ethereum , dengan sekitar $202K disetor ke #TornadoCash .
Penyerang memperoleh tambahan $455K dengan mengeksploitasi #vulnerability yang sama. Penyebab utama tampaknya adalah manipulasi harga WETH melalui peminjaman yang berlebihan.
Lihat asli
#AnciliaInc
Sepertinya ada yang terjadi dengan kontrak #RDNTCapital pada #BSC .
Kami telah melihat beberapa transfer dari akun pengguna melalui kontrak 0xd50cf00b6e600dd036ba8ef475677d816d6c4281.
Harap segera cabut persetujuan Anda. Sepertinya implementasi baru memiliki #vulnerability fungsi.
Sepertinya kontrak pintu belakang telah diterapkan pada tx ini 0xd97b93f633aee356d992b49193e60a571b8c466bf46aaf072368f975dc11841c, sepertinya > $16 juta telah ditransfer keluar.
hash transaksi
#HackerAlert
$BNB
Sepertinya ada yang terjadi dengan kontrak #RDNTCapital pada #BSC .
Kami telah melihat beberapa transfer dari akun pengguna melalui kontrak 0xd50cf00b6e600dd036ba8ef475677d816d6c4281.
Harap segera cabut persetujuan Anda. Sepertinya implementasi baru memiliki #vulnerability fungsi.
Sepertinya kontrak pintu belakang telah diterapkan pada tx ini 0xd97b93f633aee356d992b49193e60a571b8c466bf46aaf072368f975dc11841c, sepertinya > $16 juta telah ditransfer keluar.
hash transaksi
#HackerAlert
$BNB
Terjemahkan
A critical #vulnerability in the #Nvidia Container Toolkit, tracked as CVE-2024-0132 , poses a significant risk to #AIçć applications using this toolkit for #GPU access. This flaw allows adversaries to perform container escape attacks, gaining full control of the host system, which could lead to command execution and data exfiltration. The issue affects versions 1.16.1 and earlier of the NVIDIA Container Toolkit and 24.6.1 and earlier of the GPU Operator.
The vulnerability stems from inadequate isolation between the containerized GPU and the host, enabling containers to access sensitive parts of the host filesystem and writable Unix sockets. This security risk is prevalent in over 35% of cloud environments, particularly as many AI platforms come pre-installed with the affected library.
Wiz Research reported the issue to NVIDIA on September 1st, and NVIDIA acknowledged it shortly after, releasing a fix on September 26th. Users are advised to upgrade to version 1.16.2 of the NVIDIA Container Toolkit and 24.6.2 of the GPU Operator. Technical details for exploiting this vulnerability will be released later to allow organizations time to mitigate the issue by Bill Toulas
The vulnerability stems from inadequate isolation between the containerized GPU and the host, enabling containers to access sensitive parts of the host filesystem and writable Unix sockets. This security risk is prevalent in over 35% of cloud environments, particularly as many AI platforms come pre-installed with the affected library.
Wiz Research reported the issue to NVIDIA on September 1st, and NVIDIA acknowledged it shortly after, releasing a fix on September 26th. Users are advised to upgrade to version 1.16.2 of the NVIDIA Container Toolkit and 24.6.2 of the GPU Operator. Technical details for exploiting this vulnerability will be released later to allow organizations time to mitigate the issue by Bill Toulas
Lihat asli
Peretasan WazirX: Penyelaman Mendalam Pencurian Kripto Senilai $230 Juta dan Implikasinya
Perkenalan:
Dalam dunia mata uang kripto yang terus berkembang pesat, pelanggaran keamanan tetap menjadi ancaman yang membayangi. Peretasan #wazirX tahun 2024, salah satu yang terbesar dalam industri kripto, mengakibatkan aset digital senilai lebih dari $230 juta dicuri karena eksploitasi yang sangat canggih pada sistem dompet multitanda tangan bursa tersebut. Serangan tersebut mengungkap kerentanan dalam infrastruktur keamanan WazirX dan membuat pengguna mengalami kesulitan keuangan, sehingga memicu kembali perbincangan tentang keamanan platform keuangan yang terdesentralisasi. Artikel ini mengungkap detail peretasan, akibatnya, dan pelajaran yang dipetik untuk menjaga masa depan bursa kripto.
Dalam dunia mata uang kripto yang terus berkembang pesat, pelanggaran keamanan tetap menjadi ancaman yang membayangi. Peretasan #wazirX tahun 2024, salah satu yang terbesar dalam industri kripto, mengakibatkan aset digital senilai lebih dari $230 juta dicuri karena eksploitasi yang sangat canggih pada sistem dompet multitanda tangan bursa tersebut. Serangan tersebut mengungkap kerentanan dalam infrastruktur keamanan WazirX dan membuat pengguna mengalami kesulitan keuangan, sehingga memicu kembali perbincangan tentang keamanan platform keuangan yang terdesentralisasi. Artikel ini mengungkap detail peretasan, akibatnya, dan pelajaran yang dipetik untuk menjaga masa depan bursa kripto.
Terjemahkan
The developer of #LNbank has announced another critical #vulnerability in the software, urging users to upgrade to LNbank v1.9.2 immediately. This version addresses the specific vulnerability and also disables the sending functionality to prevent further issues.
However, despite the fix, the developer has decided to discontinue the development of LNbank due to the inability to ensure its safety. This decision was made after considering the recent vulnerability reports and the potential risks involved in using the plugin. LNbank v1.9.2 will be the final version, and users are strongly advised to phase out its usage, particularly if it's publicly accessible.
The developer acknowledges the unexpected number of users using LNbank and emphasizes the importance of not risking significant funds with such plugins or nodes. The final version, v1.9.2, disables the sending functionality for added security, meaning users will need to manage their funds through Lightning node CLI or third-party tools.
For those having trouble upgrading to LNbank v1.9.2, the developer suggests uninstalling and then reinstalling the plugin. The data stored in the database will be retained during uninstallation, only removing the plugin code from the file system.
Any users requiring further assistance with the upgrade or other matters related to LNbank are encouraged to contact the developer (d11n) on their #Mattermost platform.
However, despite the fix, the developer has decided to discontinue the development of LNbank due to the inability to ensure its safety. This decision was made after considering the recent vulnerability reports and the potential risks involved in using the plugin. LNbank v1.9.2 will be the final version, and users are strongly advised to phase out its usage, particularly if it's publicly accessible.
The developer acknowledges the unexpected number of users using LNbank and emphasizes the importance of not risking significant funds with such plugins or nodes. The final version, v1.9.2, disables the sending functionality for added security, meaning users will need to manage their funds through Lightning node CLI or third-party tools.
For those having trouble upgrading to LNbank v1.9.2, the developer suggests uninstalling and then reinstalling the plugin. The data stored in the database will be retained during uninstallation, only removing the plugin code from the file system.
Any users requiring further assistance with the upgrade or other matters related to LNbank are encouraged to contact the developer (d11n) on their #Mattermost platform.
Lihat asli
Curve Finance telah memberikan $250,000 kepada peneliti keamanan Marco Croc karena mengidentifikasi kerentanan kritis dalam sistem mereka, yang berpotensi mengakibatkan kerugian finansial yang signifikan bagi platform dan penggunanya.
https://btc-pulse.com/curve-finance-rewards-security-researcher-250000/
@Curve Finance #vulnerability #hack
https://btc-pulse.com/curve-finance-rewards-security-researcher-250000/
@Curve Finance #vulnerability #hack
Lihat asli
Melalui#AnciliaAlertsdi X, @rugged_dot_art telah mengidentifikasi re-entrancy #vulnerability dalam kontrak pintar dengan alamat 0x9733303117504c146a4e22261f2685ddb79780ef, memungkinkan penyerang untuk #exploit it dan mendapatkan 11 #ETH transaksi serangan dapat ditelusuri di #Etherscan di https://etherscan.io/tx/ 0x5a63da39b5b83fccdd825fed0226f330f802e995b8e49e19fbdd246876c67e1f. Meski sudah menghubungi pemiliknya tiga hari lalu, belum ada tanggapan.
Kerentanannya terletak pada fungsi targetPurchase(), di mana pengguna dapat memasukkan swapParams sewenang-wenang, termasuk perintah ke 4. Hal ini memicu fungsi UNIVERSAL_ROUTER.execute(), dan sesuai Referensi Teknis Uniswap, perintah 4 berhubungan dengan SWEEP, yang menjalankan sapuan( ) fungsi. Fungsi ini mengirimkan ETH kembali ke kontrak pengguna, yang menyebabkan masalah masuk kembali.
Dalam targetPurchase(), pemeriksaan saldo dilakukan sebelum dan sesudah memanggil _executeSwap(). Karena masalah masuk kembali, pengguna dapat mempertaruhkan token (misalnya, dari pinjaman kilat) untuk memenuhi pemeriksaan saldo, memastikan tindakan pembelian berhasil ketika token ditransfer ke pengguna. Urgensi situasi ini terlihat dari masa tunggu yang masih berlangsung untuk mendapatkan tanggapan dari pemilik, yang menekankan perlunya perhatian segera untuk mengurangi potensi eksploitasi.
Kerentanannya terletak pada fungsi targetPurchase(), di mana pengguna dapat memasukkan swapParams sewenang-wenang, termasuk perintah ke 4. Hal ini memicu fungsi UNIVERSAL_ROUTER.execute(), dan sesuai Referensi Teknis Uniswap, perintah 4 berhubungan dengan SWEEP, yang menjalankan sapuan( ) fungsi. Fungsi ini mengirimkan ETH kembali ke kontrak pengguna, yang menyebabkan masalah masuk kembali.
Dalam targetPurchase(), pemeriksaan saldo dilakukan sebelum dan sesudah memanggil _executeSwap(). Karena masalah masuk kembali, pengguna dapat mempertaruhkan token (misalnya, dari pinjaman kilat) untuk memenuhi pemeriksaan saldo, memastikan tindakan pembelian berhasil ketika token ditransfer ke pengguna. Urgensi situasi ini terlihat dari masa tunggu yang masih berlangsung untuk mendapatkan tanggapan dari pemilik, yang menekankan perlunya perhatian segera untuk mengurangi potensi eksploitasi.
Terjemahkan
New #GoFetch attack on Apple Silicon CPUs can steal #crypto keys.
A new side-channel attack named "GoFetch" has been discovered, impacting Apple M1, M2, and M3 processors. This attack targets constant-time cryptographic implementations using data memory-dependent prefetchers (DMPs) found in modern Apple CPUs, allowing attackers to steal secret cryptographic keys from the CPU's cache. GoFetch was developed by a team of researchers who reported their findings to Apple in December 2023. Since this is a hardware-based vulnerability, impacted CPUs cannot be fixed. While software fixes could mitigate the flaw, they would degrade cryptographic performance. The attack leverages flaws in Apple's implementation of the DMP system, violating constant-time programming principles. Owners of affected Apple devices are advised to practice safe computing habits, including regular updates and cautious software installation. While Apple may introduce mitigations through software updates, they could impact performance. Disabling DMP may be an option for some CPUs but not for M1 and M2. The attack can be executed remotely, making it a serious concern for users. Apple has yet to provide further comments on this issue.
#hack #exploit #vulnerability
A new side-channel attack named "GoFetch" has been discovered, impacting Apple M1, M2, and M3 processors. This attack targets constant-time cryptographic implementations using data memory-dependent prefetchers (DMPs) found in modern Apple CPUs, allowing attackers to steal secret cryptographic keys from the CPU's cache. GoFetch was developed by a team of researchers who reported their findings to Apple in December 2023. Since this is a hardware-based vulnerability, impacted CPUs cannot be fixed. While software fixes could mitigate the flaw, they would degrade cryptographic performance. The attack leverages flaws in Apple's implementation of the DMP system, violating constant-time programming principles. Owners of affected Apple devices are advised to practice safe computing habits, including regular updates and cautious software installation. While Apple may introduce mitigations through software updates, they could impact performance. Disabling DMP may be an option for some CPUs but not for M1 and M2. The attack can be executed remotely, making it a serious concern for users. Apple has yet to provide further comments on this issue.
#hack #exploit #vulnerability
Lihat asli
đ»đ»$BTC ________đ„ untuk pembaruan BTC â«ïžâ«ïžâ«ïž
Studi Mengidentifikasi Kerentanan pada Chip Apple M-Series yang Memungkinkan Peretas Mengambil Kunci Pribadi
BTC - JUAL
Alasan: Kerentanan pada chip seri M Apple dapat menyebabkan berkurangnya kepercayaan terhadap keamanan digital, yang berpotensi berdampak negatif pada sentimen pasar terhadap Bitcoin.
Kekuatan sinyal: TINGGI
Waktu sinyal: 23-03-2024 05:08:59 GMT
#hackers
#Apple #vulnerability #BTCUSDT #SignalAlert
Selalu DYOR. Ini bukan nasihat keuangan, tapi POV kami tentang pergerakan aset yang paling mungkin terjadi di tengah peristiwa tersebut. Apa milikmu?
Studi Mengidentifikasi Kerentanan pada Chip Apple M-Series yang Memungkinkan Peretas Mengambil Kunci Pribadi
BTC - JUAL
Alasan: Kerentanan pada chip seri M Apple dapat menyebabkan berkurangnya kepercayaan terhadap keamanan digital, yang berpotensi berdampak negatif pada sentimen pasar terhadap Bitcoin.
Kekuatan sinyal: TINGGI
Waktu sinyal: 23-03-2024 05:08:59 GMT
#hackers
#Apple #vulnerability #BTCUSDT #SignalAlert
Selalu DYOR. Ini bukan nasihat keuangan, tapi POV kami tentang pergerakan aset yang paling mungkin terjadi di tengah peristiwa tersebut. Apa milikmu?