比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 區塊鏈 > Info

慢霧安全預警:Nuxt.js出現遠程代碼執行漏洞攻擊案例,請相關方及時升級

Author:

Block

Time:2023/6/15 21:39:39

金色財經報道,據慢霧區消息,Nuxt.js遠程代碼執行漏洞(CVE-2023-3224) PoC在互聯網上公開,目前已出現攻擊案例。Nuxt.js是一個基于Vue.js的輕量級應用框架,可用來創建服務端渲染(SSR) 應用,也可充當靜態站點引擎生成靜態站點應用,具有優雅的代碼結構分層和熱加載等特性。Nuxt中存在代碼注入漏洞,當服務端以開發模式啟動時,遠程未授權攻擊者可利用此漏洞注入惡意代碼并獲取目標服務器權限。其中,Nuxt == 3.4.0,Nuxt == 3.4.1,Nuxt == 3.4.2 均受到影響。加密貨幣行業有大量平臺采用此方案構建前后端服務,請注意風險,并將Nuxt升級到3.4.3或以上版本。

慢霧安全:舊版本的 Clorio Wallet 存在安全漏洞:據慢霧區消息,受 Mina JavaScript client-sdk v1.0.1 之前版本的弱熵問題影響,目前社區已有多人反饋錢包私鑰被竊取,慢霧安全團隊經過調查發現:使用 Clorio Wallet v0.1.1,Clorio Wallet v0.1.0 版本創建的錢包將存在被盜風險。

建議有使用 Clorio Wallet v0.1.1,Clorio Wallet v0.1.0(2021 年 5 月 28 日)創建錢包的用戶確保將錢包更新到最新版本(Clorio Wallet v1.0.0),并且重新創建新的錢包地址,將資金轉移到新創建的錢包地址上以保證資產安全。

存在漏洞的錢包版本:Clorio Wallet < v0.1.2 存在漏洞的 client-sdk 版本:o1labs/client-sdk < 1.0.1。[2023/1/9 11:02:03]

動態 | 慢霧安全團隊發現新型公鏈攻擊手法“異形攻擊”:慢霧安全團隊發現針對公鏈的一種新型攻擊手法“異形攻擊”(又稱地址池污染),是指誘使同類鏈的節點互相侵入和污染的一種攻擊手法,漏洞的主要原因是同類鏈系統在通信協議上沒有對非同類節點做識別。這種攻擊在一些參考以太坊通信協議實現的公鏈上得到了復現,以太坊同類鏈,由于使用了兼容的握手協議,無法區分節點是否屬于同個鏈,導致地址池互相污染,節點通信性能下降,最終造成節點阻塞、主網異常等現象。相關公鏈需要注意持續保持主網健康狀態監測,以免出現影響主網穩定的攻擊事件出現。[2019/4/18]

分析 | 慢霧安全團隊提醒|EOS假賬號安全風險預警:根據IMEOS報道,EOS 假賬號安全風險預警,慢霧安全團隊提醒:

如果 EOS 錢包開發者沒對節點確認進行嚴格判斷,比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功,那么就可能出現假賬號攻擊。

攻擊示意如下:

1. 用戶使用某款 EOS 錢包注冊賬號(比如 aaaabbbbcccc),錢包提示注冊成功,但由于判斷不嚴格,這個賬號本質是還沒注冊成功

2. 用戶立即拿這個賬號去某交易所做提現操作

3. 如果這個過程任意環節作惡,都可能再搶注 aaaabbbbcccc 這個賬號,導致用戶提現到一個已經不是自己賬號的賬號里

防御建議:輪詢節點,返回不可逆區塊信息再提示成功,具體技術過程如下:

1. push_transaction 后會得到 trx_id

2. 請求接口 POST /v1/history/get_transaction

3. 返回參數中 block_num 小于等于 last_irreversible_block 即為不可逆[2018/7/16]

支付解決方案Poko完成450萬美元種子輪融資

6月15日消息,支付解決方案Poko宣布完成450萬美元的種子輪融資,Y Combinator、Goodwater Capital和Global Founders Capital等參投,Poko計劃為錢包、錢包即服務...

Block Chain:2023/6/15 21:39:07
Tim Draper:Gensler領導的美SEC對加密行業越界執法

6月13日消息,據Fox Business記者Eleanor Terrett的推文,硅谷投資者、億萬富翁Tim Draper表示,“弱監管者傳播恐懼,強監管者傳播機會。Howey測試是將近80年前的事情,與加密貨幣無關.

Block Chain:2023/6/13 21:32:57
期權交易平臺Aevo向所有用戶開放并新增比特幣衍生品

6月14日消息,鏈上結構化產品Ribbon Finance旗下期權交易平臺Aevo已向所有用戶開放,交易者無需持有Pass即可進行交易.

Block Chain:2023/6/14 21:36:45
Sturdy Finance向其攻擊者提供10萬美元賞金以要求資金歸還

6月13日消息,借貸協議Sturdy Finance創始人Sam Forman在今天早些時候發布的一條推文中確認,他的團隊已經向未知攻擊者的地址發送了一條鏈上信息.

Block Chain:2023/6/13 21:34:06
Bitdeer截至5月底自有算力為5.4EH/s,托管算力達12.6EH/s

6月14日消息,Bitdeer截至5月31日自有算力為5.4EH/s,其中4.0EH/s分配給公司的自挖礦業務,1.4EH/s分配給云算力業務,其中自挖礦業務產出了283枚比特幣.

Block Chain:2023/6/15 21:37:28
DWF Labs將價值超155萬美元的山寨幣轉入交易所

金色財經報道,據Lookonchain監測,DWF Labs將所持有的山寨幣轉移到交易所.

Block Chain:2023/6/12 21:32:06
Coinbase致信SEC:不能將DEX作為中心化交易所進行監管

金色財經報道,加密貨幣交易所Coinbase的代表致信美國證券交易委員會(SEC),他們在信中表示不可能將DEX作為中心化交易所進行監管.

Block Chain:2023/6/15 21:39:40
美國財政部正在研究如何使用數字美元來保護隱私

金色財經報道,負責金融機構的助理部長Graham Steele表示,美國財政部一直在研究如何使潛在的數字美元的零售交易盡可能保持私密和匿名,盡管他說美國還沒有決定是否推進中央銀行數字貨幣(CBDC)的發展.

Block Chain:2023/6/14 21:34:44
1KNcTh開頭地址向幣安轉入1800枚比特幣

金色財經報道,據Lookonchain監測,1KNcTh開頭地址于約30分鐘前向幣安轉入1800枚比特幣,價值約4670萬美元.

Block Chain:2023/6/12 21:32:25
數字資產會計平臺Bitwave推出在線認證平臺BitwaveU

金色財經報道,數字資產會計平臺Bitwave宣布推出自助式在線教育中心BitwaveU。BitwaveU可無限制地訪問30多個課程、20多個CPE學分以及加密貨幣、會計和金融領域的行業領先認證.

Block Chain:2023/6/15 21:37:38
對加密貨幣友好的邁阿密市長已參與競選美國總統

金色財經報道,對加密貨幣友好的邁阿密市長Francis Suarez已向美國聯邦選舉委員會提交了參與競選美國總統的文件.

Block Chain:2023/6/15 21:38:01
加密支付應用Strike將基于閃電網絡的跨境支付服務擴展到墨西哥

6月14日消息,加密支付應用Strike將其基于閃電網絡的跨境支付服務擴展到墨西哥,該服務將于6月14日在墨西哥推出,使用該服務跨境發送的美元可以轉換為比索并轉入收款人的銀行賬戶中.

Block Chain:2023/6/15 21:37:27
ads