據報道,在英特爾的軟件保護插件中發現了一個漏洞,允許從計算機內存中提取密碼、加密密鑰和其它敏感數據。
3月10日,計算機研究人員丹尼爾·格魯斯將一段視頻上傳到YouTube上,描述了一個被稱為“加載值注入”的概念驗證攻擊是如何被用來從英特爾SGX竊取敏感數據的——包括加密貨幣交易所和錢包的加密密鑰。
安全研究人員披露Ledger簽名安全漏洞 漏洞或導致用戶資金被盜:安全研究人員Monokh撰文披露加密貨幣錢包Ledger硬件錢包存在的安全漏洞。Monokh指出,該漏洞可能導致用戶資金被盜。Ledger會在除比特幣之外的應用程序上公開比特幣(主網)密鑰和簽名信息,會提供誤導性的交易確認請求。以比特幣和萊特幣應用程序為例,漏洞攻擊路徑為:1.打開萊特幣應用程序;2.獲取比特幣隔離見證地址;3.根據地址查看UTXOs;4.發起比特幣交易并發送給Ledger設備要求簽名;5.得到有效的已簽名比特幣交易信息。Ledger本應在上述第二、第四步驟中識別錯誤并對其進行阻止,但仍然提示用戶進行交易。所有固件版本和App版本均受到此漏洞影響。Monokh建議Ledger在實時應用程序目錄上禁用山寨幣(Altcoin)應用程序,直至發布修補程序。根據漏洞披露進程表,2019年1月份,Monokh最初于2019年1月份向Ledger披露與隱私相關的安全漏洞,隨后,Ledger更新了固件但未對應用程序進行更新,并表示在更新應用程序后將立即公開漏洞。2019年4月份,Monokh再次聯系Ledger要求更新應用程序,但未得到反饋。今年5月份,Monokh將該漏洞的根本原因在簽名功能方面,這可能會導致用戶資金被盜。此后,Ledger稱正在調查該漏洞。之后Monokh多次聯系Ledger并要求披露漏洞并對其進行修復,但未得到回應,Ledger也沒有修復或披露相關漏洞。[2020/8/5]
該攻擊非常重要,因為SGX處理器的設計目的是提供存儲在計算機內存中的敏感數據安全存儲器,即使在被惡意操作系統控制的情況下也是如此。
ConsenSys研究人員:DeFi攻擊在以太坊2.0上將“更容易擴展”:金色財經報道,ConsenSys研究人員Tanner Hoban和Thomas Borgers表示,隨著期權交易量增加以及其他金融工具被用于惡意攻擊,衍生品可能成為網絡攻擊的首選。他們發現,對Eth 2的攻擊比對Eth 1的攻擊更容易擴展。盡管DeFi在Eth 1上已經存在風險,但Borgers表示,衍生攻擊“只會在Eth 2中繼續擴散,到目前為止還沒有發現Eth 2能夠比Eth 1更好地解決這一問題”。此外,他們在分析中發現向Eth 2過渡期間的風險最大。研究人員表示,通過計算得出,新的權益證明網絡需要質押13.8%的ETH才能獲得“足夠的安全性”。[2020/7/17]
LVI公開來自IntelSGX的加密貨幣密鑰
聲音 | 荷蘭研究人員:清潔能源無法解決比特幣的全部污染問題:據technologyreview報道,荷蘭研究人員Alex de Vries發表的一篇研究論文稱,可再生能源不是比特幣全部污染問題的解決方案。他計算出每筆比特幣交易的二氧化碳排放量在233到364千克之間,相比之下,Visa交易為0.4克,谷歌搜索為0.8克。[2019/3/15]
LVI的工作原理是讓易受攻擊的系統運行那些可能是托管在惡意網站或應用程序上的腳本,以啟動針對SGX的側通道攻擊。一旦受到攻擊,攻擊者就可以訪問存儲在SGX中的加密密鑰。格魯斯說:
在熔毀型攻擊中,攻擊者故意嘗試加載機密數據,導致處理器取消并重新發出加載請求。被取消的加載請求會持續運行很短一段時間——足夠攻擊者對機密數據執行一些非法操作。
2019年4月,JoVanBulk首次發現了LVI攻擊。他發表了一篇學術論文,詳細描述了3月10日的襲擊事件,這篇論文還有丹尼爾·格魯斯和其他八名研究人員的功勞。
預計攻擊目標不會是普通民用計算機
論文將LVI攻擊描述為反向熔毀攻擊,研究人員指出,雖然LVI主要針對英特爾CPU,但其它容易熔毀的芯片也容易受到這種攻擊。
然而,研究人員得出結論,LVI攻擊不太可能被用來攻擊民用計算機,理由是進行LVI攻擊的難度極高,以及危害普通計算機系統有其它更容易的手段。
攻擊還必須在執行惡意代碼時執行,從而進一步降低LVI利用漏洞攻擊目標客戶機器的可能性。
英特爾發布易受攻擊的CPU列表
針對這篇論文,英特爾發布了一份列表,列出了所有易受LVI攻擊的處理器,并指出,所有安裝了防崩潰硬件的英特爾芯片都不存在這種風險。英特爾聲明:
研究人員發現了一種新的機制,稱為加載值注入。由于要成功執行這項攻擊,必須滿足許多復雜的要求,英特爾并不認為LVI在可信的操作系統和VMM的現實環境中是一種真正能起作用的攻擊手段。
原文鏈接:https://cointelegraph.cn.com/news/intel-sgx-vulnerability-discovered-cryptocurrency-keys-threatened
更多資訊:CointelegraphChina/登錄https://cointelegraph.cn.com
新數據顯示,持有1個BTC或更多的比特幣錢包現在占比特幣總市值的95%。數以千萬計的用戶持有的比特幣總數量只占比特幣總市值的5%,他們的錢包余額低于1個BTC.
1900/1/1 0:00:00區塊鏈分析公司CryptoQuant的鏈上數據表明,礦工目前正在持有其挖出的BTC,這一跡象可能表明,鑒于大型礦工不存在拋售壓力,BTC價格將繼續回升.
1900/1/1 0:00:00小探本期為大家帶來的內容主題是“SUI是一項好的投資嗎?”歡迎大家關注小探,小探每天都會給您獻上關于幣圈的優質內容哦.
1900/1/1 0:00:00瑞波幣,也稱作RippleCredits,是由RippleLabs公司發行的虛擬貨幣。XRP作為世界第三大加密貨幣,僅次于BTC和ETH兩大王者,牢牢占據著第三把交椅,在加密貨幣史上有著舉足輕重.
1900/1/1 0:00:00美國國土安全部將“區塊鏈系統管理者”列為冠狀病封鎖期間的“關鍵基礎設施”崗位。 美國國土安全部發表的一份備忘錄將“區塊鏈管理者”列為美國“關鍵基礎設施”工作人員之一.
1900/1/1 0:00:00小探本期為大家帶來的內容主題是“DCG以困難的市場條件為由關閉子公司”歡迎大家關注小探,小探每天都會給您獻上關于幣圈的優質內容哦.
1900/1/1 0:00:00