vulnerability
5,469 次瀏覽
17 討論中
熱門
最新
查看原文
您的 Web3 合約安全嗎? 🔐
#Thirdweb ,一家智能合約開發公司,報告了廣泛使用的開源庫中的一個嚴重安全漏洞,影響了各種 Web3 智能合約,敦促立即採取行動。
影響 DropERC20 和 ERC721 等合約的 #vulnerability 仍未被利用,爲預防提供了一個短暫的窗口。
Thirdweb 建議合約用戶採取緩解措施或使用 #revoke.cash 進行保護。
該公司加強了安全措施,將漏洞賞金支出增加了一倍,並承諾爲合同緩解提供資助,並在 A 輪融資中籌集了 2400 萬美元。
超過 70,000 名開發人員在使用其服務,Thirdweb 的主動警告凸顯了 Web3 中安全智能合約開發的迫切需求。
#Binance
#crypto2023
#Thirdweb ,一家智能合約開發公司,報告了廣泛使用的開源庫中的一個嚴重安全漏洞,影響了各種 Web3 智能合約,敦促立即採取行動。
影響 DropERC20 和 ERC721 等合約的 #vulnerability 仍未被利用,爲預防提供了一個短暫的窗口。
Thirdweb 建議合約用戶採取緩解措施或使用 #revoke.cash 進行保護。
該公司加強了安全措施,將漏洞賞金支出增加了一倍,並承諾爲合同緩解提供資助,並在 A 輪融資中籌集了 2400 萬美元。
超過 70,000 名開發人員在使用其服務,Thirdweb 的主動警告凸顯了 Web3 中安全智能合約開發的迫切需求。
#Binance
#crypto2023
查看原文
Progress Software 已發佈緊急補丁,以修復其 #LoadMaster 和 LoadMaster 多租戶 (MT) 虛擬機管理程序產品中的關鍵 #vulnerability (CVE-2024-7591)。此漏洞的最高嚴重性評分爲 10/10,由於輸入驗證不當,遠程攻擊者可利用精心設計的 #HTTP 請求執行任意命令。此漏洞影響 LoadMaster 版本 7.2.60.0 及更早版本以及 MT Hypervisor 版本 7.1.35.11 及更早版本,包括長期支持 (LTS) 分支。已通過附加包發佈了修復程序,但未涵蓋 LoadMaster 的免費版本。雖然尚未收到任何漏洞利用報告,但還是敦促用戶應用此補丁並遵循安全強化措施來保護其系統。
查看原文
@7h3h4ckv157
CVE-2024-49112
嚴重的遠程代碼執行漏洞 #vulnerability 影響Windows LDAP客戶端,CVSS評分爲9.8。此漏洞可能允許一個沒有特權的攻擊者通過向服務器發送一組特殊的LDAP調用,在Active Directory服務器上運行任意代碼。
微軟建議所有Active Directory服務器配置爲不接受來自不可信網絡的遠程過程調用(RPC),並修補此漏洞。
CVE-2024-49112
嚴重的遠程代碼執行漏洞 #vulnerability 影響Windows LDAP客戶端,CVSS評分爲9.8。此漏洞可能允許一個沒有特權的攻擊者通過向服務器發送一組特殊的LDAP調用,在Active Directory服務器上運行任意代碼。
微軟建議所有Active Directory服務器配置爲不接受來自不可信網絡的遠程過程調用(RPC),並修補此漏洞。
查看原文
#vulnerability
Juniper警告關於針對會話智能路由器的Mirai殭屍網絡攻擊
#JuniperNetworks 已發佈關於針對使用默認憑據的會話智能路由器的基於Mirai的#botnet 的安全警報。該惡意軟件掃描易受攻擊的設備,執行遠程命令,並啓用#DDoS 攻擊。
關鍵的妥協指標包括暴力破解登錄嘗試、出站流量激增、設備行爲不穩定以及對常見端口的掃描。Juniper敦促用戶更換默認密碼、更新固件、監控日誌並部署防火牆。感染的設備必須重新映像,以確保完全消除威脅。
建議管理員採取強大的安全措施以防止進一步的攻擊。
Juniper警告關於針對會話智能路由器的Mirai殭屍網絡攻擊
#JuniperNetworks 已發佈關於針對使用默認憑據的會話智能路由器的基於Mirai的#botnet 的安全警報。該惡意軟件掃描易受攻擊的設備,執行遠程命令,並啓用#DDoS 攻擊。
關鍵的妥協指標包括暴力破解登錄嘗試、出站流量激增、設備行爲不穩定以及對常見端口的掃描。Juniper敦促用戶更換默認密碼、更新固件、監控日誌並部署防火牆。感染的設備必須重新映像,以確保完全消除威脅。
建議管理員採取強大的安全措施以防止進一步的攻擊。
查看原文
#Nvidia Container Toolkit 中的關鍵 #vulnerability (追蹤為 CVE-2024-0132 )對使用該工具包進行 #GPU 存取的 #AI爆发 個應用程式構成重大風險。此缺陷允許攻擊者執行容器逃逸攻擊,獲得對主機系統的完全控制,這可能導致命令執行和資料外洩。此問題影響 NVIDIA Container Toolkit 版本 1.16.1 及更早版本以及 GPU Operator 24.6.1 及更早版本。
此漏洞源自於容器化 GPU 和主機之間的隔離不充分,從而使容器能夠存取主機檔案系統和可寫入 Unix 套接字的敏感部分。這種安全風險在超過 35% 的雲端環境中普遍存在,特別是因為許多 AI 平台都預先安裝了受影響的庫。
Wiz Research 於 9 月 1 日向 NVIDIA 報告了該問題,NVIDIA 不久後也承認了這一問題,並於 9 月 26 日發布了修復程序。建議用戶升級到NVIDIA Container Toolkit版本1.16.2和GPU Operator版本24.6.2。利用此漏洞的技術細節將在稍後發布,以便組織有時間緩解該問題(作者:Bill Toulas)
此漏洞源自於容器化 GPU 和主機之間的隔離不充分,從而使容器能夠存取主機檔案系統和可寫入 Unix 套接字的敏感部分。這種安全風險在超過 35% 的雲端環境中普遍存在,特別是因為許多 AI 平台都預先安裝了受影響的庫。
Wiz Research 於 9 月 1 日向 NVIDIA 報告了該問題,NVIDIA 不久後也承認了這一問題,並於 9 月 26 日發布了修復程序。建議用戶升級到NVIDIA Container Toolkit版本1.16.2和GPU Operator版本24.6.2。利用此漏洞的技術細節將在稍後發布,以便組織有時間緩解該問題(作者:Bill Toulas)
查看原文
#CyversAlerts
我們的系統在幾小時前檢測到多個涉及未驗證借貸合同的可疑交易,涉及 #Base。
攻擊者最初進行了可疑交易,從這些未驗證的合同中獲得了約 $993K。大部分代幣被交換並橋接到 #Ethereum 鏈上,約 $202K 被存入 #TornadoCash 。
攻擊者通過利用同樣的 #vulnerability 獲得了額外的 $455K。根本原因似乎是通過過度借貸對 WETH 進行價格操縱。
我們的系統在幾小時前檢測到多個涉及未驗證借貸合同的可疑交易,涉及 #Base。
攻擊者最初進行了可疑交易,從這些未驗證的合同中獲得了約 $993K。大部分代幣被交換並橋接到 #Ethereum 鏈上,約 $202K 被存入 #TornadoCash 。
攻擊者通過利用同樣的 #vulnerability 獲得了額外的 $455K。根本原因似乎是通過過度借貸對 WETH 進行價格操縱。
查看原文
#AnciliaInc
似乎 #BSC 上的 #RDNTCapital 合約出現了問題。
我們注意到用戶賬戶通過合約 0xd50cf00b6e600dd036ba8ef475677d816d6c4281 進行了多次轉賬。
請儘快撤銷您的批准。似乎新實施有 #vulnerability 個功能。
似乎在此 tx 0xd97b93f633aee356d992b49193e60a571b8c466bf46aaf072368f975dc11841c 上部署了一個後門合約,似乎已轉出 1600 萬美元以上。
交易哈希
#HackerAlert
$BNB
似乎 #BSC 上的 #RDNTCapital 合約出現了問題。
我們注意到用戶賬戶通過合約 0xd50cf00b6e600dd036ba8ef475677d816d6c4281 進行了多次轉賬。
請儘快撤銷您的批准。似乎新實施有 #vulnerability 個功能。
似乎在此 tx 0xd97b93f633aee356d992b49193e60a571b8c466bf46aaf072368f975dc11841c 上部署了一個後門合約,似乎已轉出 1600 萬美元以上。
交易哈希
#HackerAlert
$BNB
查看原文
WazirX 駭客攻擊:深入探討價值 2.3 億美元的加密貨幣竊盜案及其影響
介紹:
在快速發展的加密貨幣世界中,安全漏洞仍然是迫在眉睫的威脅。 2024 年的 #wazirX 駭客攻擊是加密貨幣行業最大的駭客攻擊之一,由於對交易所多重簽名錢包系統的高度複雜的利用,超過 2.3 億美元的數位資產被盜。這次攻擊暴露了 WazirX 安全基礎設施中的漏洞,導致用戶陷入財務困境,重新引發了有關去中心化金融平臺安全性的討論。本文詳細介紹了這次駭客攻擊的細節、後果以及爲保護加密貨幣交易所的未來所學到的經驗教訓。
在快速發展的加密貨幣世界中,安全漏洞仍然是迫在眉睫的威脅。 2024 年的 #wazirX 駭客攻擊是加密貨幣行業最大的駭客攻擊之一,由於對交易所多重簽名錢包系統的高度複雜的利用,超過 2.3 億美元的數位資產被盜。這次攻擊暴露了 WazirX 安全基礎設施中的漏洞,導致用戶陷入財務困境,重新引發了有關去中心化金融平臺安全性的討論。本文詳細介紹了這次駭客攻擊的細節、後果以及爲保護加密貨幣交易所的未來所學到的經驗教訓。
查看原文
#LNbank 的開發人員宣佈了軟件中另一個關鍵的 #vulnerability ,敦促用戶立即升級到 LNbank v1.9.2。此版本解決了特定漏洞,並禁用了發送功能以防止進一步出現問題。
然而,儘管修復了漏洞,但開發人員還是決定停止開發 LNbank,因爲無法確保其安全性。這一決定是在考慮了最近的漏洞報告和使用該插件所涉及的潛在風險後做出的。LNbank v1.9.2 將是最終版本,強烈建議用戶逐步停止使用它,特別是如果它是公開可訪問的。
開發人員承認使用 LNbank 的用戶數量出乎意料,並強調不要用此類插件或節點冒大量資金的風險。最終版本 v1.9.2 禁用了發送功能以增加安全性,這意味着用戶需要通過 Lightning 節點 CLI 或第三方工具來管理他們的資金。
對於那些在升級到 LNbank v1.9.2 時遇到困難的用戶,開發人員建議卸載然後重新安裝插件。卸載期間將保留存儲在數據庫中的數據,只會從文件系統中刪除插件代碼。
任何需要進一步幫助升級或與 LNbank 相關的其他事項的用戶都鼓勵通過其 #Mattermost 平臺聯繫開發人員 (d11n)。
然而,儘管修復了漏洞,但開發人員還是決定停止開發 LNbank,因爲無法確保其安全性。這一決定是在考慮了最近的漏洞報告和使用該插件所涉及的潛在風險後做出的。LNbank v1.9.2 將是最終版本,強烈建議用戶逐步停止使用它,特別是如果它是公開可訪問的。
開發人員承認使用 LNbank 的用戶數量出乎意料,並強調不要用此類插件或節點冒大量資金的風險。最終版本 v1.9.2 禁用了發送功能以增加安全性,這意味着用戶需要通過 Lightning 節點 CLI 或第三方工具來管理他們的資金。
對於那些在升級到 LNbank v1.9.2 時遇到困難的用戶,開發人員建議卸載然後重新安裝插件。卸載期間將保留存儲在數據庫中的數據,只會從文件系統中刪除插件代碼。
任何需要進一步幫助升級或與 LNbank 相關的其他事項的用戶都鼓勵通過其 #Mattermost 平臺聯繫開發人員 (d11n)。
查看原文
Curve Finance 已向安全研究人員 Marco Croc 獎勵 25 萬美元,以獎勵其係統內存在一個嚴重漏洞,該漏洞可能會給平台及其用戶帶來重大財務損失。
https://btc-pulse.com/curve-finance-rewards-security-researcher-250000/
@Curve Finance #vulnerability #hack
https://btc-pulse.com/curve-finance-rewards-security-researcher-250000/
@Curve Finance #vulnerability #hack
查看原文
通過 X 上的 #AnciliaAlerts,@rugged_dot_art 在地址爲 0x9733303117504c146a4e22261f2685ddb79780ef 的智能合約中發現了一個可重入的 #vulnerability ,允許攻擊者 #exploit 它並獲得 11 #ETH 。可以在 https://etherscan.io/tx/0x5a63da39b5b83fccdd825fed0226f330f802e995b8e49e19fbdd246876c67e1f 上跟蹤 #Etherscan 的攻擊交易。儘管三天前聯繫了所有者,但一直沒有回覆。
該漏洞位於targetedPurchase()函數中,用戶可以在其中輸入任意swapParams,包括命令4。這會觸發UNIVERSAL_ROUTER.execute()函數,根據Uniswap技術參考,命令4對應於SWEEP,調用sweep()函數。此函數將ETH發送回用戶的合約,從而導致重新進入問題。
在targetedPurchase()中,在調用_executeSwap()之前和之後執行餘額檢查。由於重新進入問題,用戶可以質押代幣(例如,來自閃電貸)以滿足餘額檢查,從而確保成功完成購買操作,將代幣轉移給用戶。等待所有者回復的持續時間凸顯了情況的緊迫性,強調需要及時關注以減輕潛在的漏洞利用。
該漏洞位於targetedPurchase()函數中,用戶可以在其中輸入任意swapParams,包括命令4。這會觸發UNIVERSAL_ROUTER.execute()函數,根據Uniswap技術參考,命令4對應於SWEEP,調用sweep()函數。此函數將ETH發送回用戶的合約,從而導致重新進入問題。
在targetedPurchase()中,在調用_executeSwap()之前和之後執行餘額檢查。由於重新進入問題,用戶可以質押代幣(例如,來自閃電貸)以滿足餘額檢查,從而確保成功完成購買操作,將代幣轉移給用戶。等待所有者回復的持續時間凸顯了情況的緊迫性,強調需要及時關注以減輕潛在的漏洞利用。
查看原文
針對 Apple Silicon CPU 的新 #GoFetch 攻擊可以竊取 #crypto 個金鑰。
一種名為「GoFetch」的新側通道攻擊被發現,影響 Apple M1、M2 和 M3 處理器。此攻擊針對使用現代 Apple CPU 中的資料記憶體相關預取器 (DMP) 的恆定時間加密實現,允許攻擊者從 CPU 快取中竊取秘密加密金鑰。 GoFetch 由一組研究人員開發,他們於 2023 年 12 月向 Apple 報告了他們的發現。由於這是一個基於硬體的漏洞,因此受影響的 CPU 無法修復。雖然軟體修復可以緩解該缺陷,但它們會降低加密效能。此攻擊利用了 Apple DMP 系統實作中的缺陷,違反了恆定時間編程原則。建議受影響的 Apple 裝置的擁有者養成安全的運算習慣,包括定期更新和謹慎安裝軟體。雖然蘋果可能會透過軟體更新引入緩解措施,但它們可能會影響效能。禁用 DMP 可能是某些 CPU 的選項,但不適用於 M1 和 M2。該攻擊可以遠端執行,這使其成為用戶的嚴重擔憂。蘋果尚未就此事發表進一步評論。
#hack #exploit #vulnerability
一種名為「GoFetch」的新側通道攻擊被發現,影響 Apple M1、M2 和 M3 處理器。此攻擊針對使用現代 Apple CPU 中的資料記憶體相關預取器 (DMP) 的恆定時間加密實現,允許攻擊者從 CPU 快取中竊取秘密加密金鑰。 GoFetch 由一組研究人員開發,他們於 2023 年 12 月向 Apple 報告了他們的發現。由於這是一個基於硬體的漏洞,因此受影響的 CPU 無法修復。雖然軟體修復可以緩解該缺陷,但它們會降低加密效能。此攻擊利用了 Apple DMP 系統實作中的缺陷,違反了恆定時間編程原則。建議受影響的 Apple 裝置的擁有者養成安全的運算習慣,包括定期更新和謹慎安裝軟體。雖然蘋果可能會透過軟體更新引入緩解措施,但它們可能會影響效能。禁用 DMP 可能是某些 CPU 的選項,但不適用於 M1 和 M2。該攻擊可以遠端執行,這使其成為用戶的嚴重擔憂。蘋果尚未就此事發表進一步評論。
#hack #exploit #vulnerability
查看原文
🔻🔻$BTC ________🔥 BTC 更新⏫️⏫️⏫️
研究發現 Apple M 系列芯片中存在允許黑客檢索私鑰的漏洞
比特幣 - 賣出
原因:蘋果 M 系列芯片的漏洞可能會導致人們對數字安全的信心下降,從而可能對比特幣的市場情緒產生負面影響。
信號強度:高
信號時間:2024-03-23 05:08:59 GMT
#hackers
#Apple #vulnerability #BTCUSDT #SignalAlert
始終是迪爾。這不是財務建議,而是我們對事件中最有可能的資產變動的看法。你的是啥呢?
研究發現 Apple M 系列芯片中存在允許黑客檢索私鑰的漏洞
比特幣 - 賣出
原因:蘋果 M 系列芯片的漏洞可能會導致人們對數字安全的信心下降,從而可能對比特幣的市場情緒產生負面影響。
信號強度:高
信號時間:2024-03-23 05:08:59 GMT
#hackers
#Apple #vulnerability #BTCUSDT #SignalAlert
始終是迪爾。這不是財務建議,而是我們對事件中最有可能的資產變動的看法。你的是啥呢?