騰訊安全玄武實驗室：波場與NEO存在嚴重安全漏洞_TRO

鏈捕手消息，近期國家信息安全漏洞庫和區塊鏈漏洞子庫同時收錄了騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞，其中多個被評級為“高危”漏洞。

其中，“波場遠程代碼執行漏洞”獲得了CNVD危害評分最高分10分。在該遠程代碼執行漏洞中，玄武實驗室發現，TRON通過舊版本的fastjson庫(1.2.60)對HTTP請求進行反序列化解析，可以實現對開啟了HTTP服務的TRON節點的遠程代碼執行攻擊，進而遠程控制服務節點，安裝并執行任意惡意代碼。玄武實驗室在本地搭建的環境中發現，攻擊者可以通過該漏洞進一步劫持所有連接到被攻擊HTTP節點的瀏覽器插件錢包、DApp、以及第三方錢包的轉賬功能，竊取用戶所轉賬的虛擬貨幣。

川觀新聞聯合騰訊安全發布“物物相生”主題數字藏品:金色財經報道，川觀新聞聯合騰訊安全將于4月22日10點限時發布“三星堆+珍稀動物”主題數字藏品一《物物相生》。在這6幅精美的藝術作品中，既有三星堆IP的古老意象，也有生活在四川的珍稀動物的呆萌可愛。本次活動采取隨機分配的發行機制，每份藏品均在“領御鏈”上擁有唯一編號和證明。藏品總量為6000份，每件藏品公開發行1000份。[2022/4/21 14:38:30]

另一個區塊鏈底層智能合約虛擬機漏洞“NEO現網拒絕服務”，則是由于智能合約虛擬機因整數溢出導致的拒絕服務漏洞。利用該漏洞，攻擊者只需要極小的攻擊成本即可癱瘓整個NEO平臺。由于區塊鏈平臺是其上眾多應用的基礎設施，所以與傳統漏洞有所不同，拒絕服務類漏洞會同時波及上層應用，導致比較嚴重的攻擊后果。

騰訊發布基于區塊鏈技術的“騰訊安心平臺”:8月5日，騰訊在京正式發布旗下數字化管理平臺“騰訊安心平臺”。據悉，該平臺主要采取了聯盟鏈技術，利用“一物一碼”和區塊鏈技術能力搭建了一套數字化管理平臺，能夠為每一件商品定制專屬“身份證”，實現商品全流程防偽溯源，在區塊鏈分布式存儲技術幫助下，可以有效解決參與主體之間的信息不對等的問題。（騰訊網）[2021/8/7 1:41:01]

玄武實驗室表示已于數月前就向受影響的波場、NEO等區塊鏈平臺提交了詳細報告漏洞，以幫助平臺盡快修復安全問題。

動態 | 國臺與騰訊安心計劃簽約，共建國臺區塊鏈鑒真溯源平臺:在1月5日召開的國臺2020全國經銷商賦能大會上，國臺與騰訊安心計劃正式簽約，合作打造鑒真溯源體系，基于騰訊區塊鏈安心計劃平臺，將為企業提供包含防偽、溯源、營銷欺詐、防刷等能力在內的安全服務，助力企業品牌安全體系升級。（DoNews）[2020/1/6]

Tags：區塊鏈HTTNEOTRO區塊鏈技術通俗講解知乎CHTTNEOM幣Wrapped TRON

波場