«Игра престолов»: разработчики Trezor ответили на заявление Ledger об уязвимостях

Разработчики популярных аппаратных кошельков для хранения биткоина и других криптовалют Trezor прокомментировали заявление компании-конкурента Ledger о ряде уязвимостей в своих продуктах. In response to Ledger’s presentation at #MITBitcoinExpo, here is how we mitigated the mentioned vulnerabilities.
Компания Ledger заявила о ряде уязвимостей в аппаратных кошельках Trezor

Компания Ledger заявила о ряде уязвимостей в аппаратных кошельках Trezor

Ведущий производитель криптовалютных аппаратных кошельков Ledger рассказал об уязвимостях, выявленных в устройствах своего прямого конкурента Trezor. Об этом говорится в сообщении, распространенном французской компанией в понедельник, 11 марта. As mentioned previously, @BreakerMag toured our HQ attack lab and explained vulnerabilities that we responsibly disclosed to a competitor.
Владелец кошелька Ledger Nano S сообщил о потере $80 000 в криптовалюте Monero из-за бага

Владелец кошелька Ledger Nano S сообщил о потере $80 000 в криптовалюте Monero из-за бага

Пользователь Reddit под ником MoneroDontCheeseMe рассказал, что потерял 1680 Monero (около $80 000 по текущему курсу) при переводе средств с использованием клиента Monero версии 0.14 и аппаратного кошелька Ledger Nano S версии 1.1.3. По его словам, он сделал несколько переводов криптовалюты Monero с устройства Ledger на кошелек «только для просмотра» на сумму 0,000001, 10, 200 и 141,9 XMR.
Десктоп-кошелек Coinomi проверяет правописание seed-фраз. Функция позволила украсть $70 000 в криптовалюте

Десктоп-кошелек Coinomi проверяет правописание seed-фраз. Функция позволила украсть $70 000 в криптовалюте

Пользователь под ником warith сообщил о пропаже $60 000 – $70 000 после установки криптовалютного кошелька Coinomi с официального сайта. Spell check ur crypto-currency wallet’s passphrase remotely with #Coinomi 😂https://t.

Биткоины владельцев ASIC-майнеров от Bitmain оказались под угрозой из-за уязвимости

Разработчик Bitcoin Core Джеймс Гиллард обнаружил уязвимость в ПО для устройств Antminer S15, которая в теории позволяет злоумышленникам полностью взять под контроль ASIC. Одновременно с этим разработчик убежден, что это не единственная версия ПО от Bitmain, подверженная уязвимости. @BITMAINtech tried and failed to lock down the S15 firmware, I identified the vulnerability and @00whiterabbit wrote/tested the attack code.

Виталик Бутерин не видит опасности в новой уязвимости Ethereum

Сооснователь Ethereum Виталик Бутерин, как и несколько других ведущих разработчиков платформы, не видит серьезной угрозы безопасности в баге, который был выявлен в коде предстоящего апгрейда системы Constantinople. Ранее сообщалось, что обнаруженная уязвимость затрагивает некоторые смарт-контракты с возможностью самоуничтожения.

Компания Coinbase выплатила баунти на $30 000 за обнаруженную критическую уязвимость

Ведущая криптовалютная компания США Coinbase выплатила предположительно крупнейшее за все время своей работы вознаграждение за обнаруженную в ее системах критическую уязвимость, пишет The Next Web. Запись об уязвимости было опубликована 12 февраля на HackerOne, и как подтвердил представитель Coinbase, к настоящему моменту она уже устранена.

Разработчики Zcash сообщили об устранении критической уязвимости в 2018 году

Zcash Company, стоящая за разработкой криптовалюты Zcash, раскрыла детали уязвимости, которая позволяла злоумышленникам создавать в неограниченном количестве несуществующие монеты ZEC. Согласно отчету в блоге компании, 1 марта 2018 года назад криптограф Zcash Ариэль Габизон обнаружил уязвимость в протоколе zk-SNARKS, который используется в Zcash для сокрытия балансов и данных о пользователях.

Ряд Ethereum-сервисов оказался под угрозой из-за уязвимости в протоколе JSONRPC

Специалисты блокчейн-стартапа Parity Technologies обнаружили в протоколе JSONRPC уязвимость, угрожающую безопасности всей экосистеме Ethereum. В частности, под угрозой взлома оказались сервисы MyEtherWallet, MyCrypto и Infura. The fix is out—please update your nodes ASAP. https://t.

Исследование – в криптовалютах на базе алгоритма Proof-of-Stake выявлены серьезные уязвимости

Как минимум 25 криптовалют на базе алгоритма Proof-of-Stake (Pos) содержали или по-прежнему содержат уязвимости, позволяющие злоумышленникам препятствовать функционированию систем, имея лишь малую долю участия в сети. Об этом говорится в докладе Лаборатории децентрализованных систем научно-исследовательского подразделения Иллинойского университета, пишет ССN.

Криптобиржа DX.Exchange залатала серьезный баг в безопасности

Специализирующаяся на security-токенах платформа DX.Exchange исправила уязвимость в безопасности, открывающую доступ к токенам аутентификации, сообщает Ars Technica. По словам анонимного трейдера, данные, которые передает его браузер бирже, содержат токен аутентификации и детали самого аккаунта.

Исследователи провели серию успешных атак на аппаратные кошельки Trezor и Ledger

Киберспециалисты из Wallet.fail обнаружили ряд уязвимостей в аппаратных криптовалютных кошельках Trezor и Ledger. В результате им удалось провести серию успешных атак на кошельки во время Chaos Communication Congress в Лейпциге. Our #35c3 talk is now online.

Уязвимость в клиенте NEO позволяет удаленно выводить токены пользователей (обновлено)

Специалисты по кибербезопасности китайского технологического гиганта Tencent обнаружили баг в клиенте NEO, позволяющий хакерам удаленно воровать токены с кошельков пользователей, сообщает Block Manity со ссылкой на китайскую социальную платформу Weibo. В Tencent рекомендуют держателям нод обновить конфигурацию по умолчанию до последней доступной версии ПО, а также вручную изменить адрес кошелька.

Биткоин-кошелек Copay находится в зоне риска из-за уязвимости Node.js

Используемый во многих веб-приложениях модуль Node.js под названием event-stream был скомпрометирован, сообщает CCN. Уязвимость ставит под удар, в частности, опенсорсный кошелек Copay от популярного биткоин-процессинга BitPay, использующий этот модуль.

Раскрыты детали позволяющей опустошать кошельки криптовалютных бирж уязвимости

Поставщик dApp-решений Level K раскрыл подробности уязвимости в сети Ethereum, о которой сообщил еще 9 ноября. The disclosure is now public: https://t.co/xVwsG9EBET We appreciate the patience while affected parties were notified. — Level K (@levelk_io) 21 ноября 2018 г.
В сети появились сообщения об уязвимости в виртуальной машине Ethereum

В сети появились сообщения об уязвимости в виртуальной машине Ethereum

9 ноября в Twitter-аккаунте Netta Lab появилось заявление о том, что эта организация обнаружила уязвимость в виртуальной машине Ethereum, которая позволяет бесконечно исполнять смарт-контракты, не оплачивая газ в сети. Также исследователи якобы обратились к оператору американской базы данных уязвимостей, где зарегистрировали соответствующее открытие. Netta Labs discovered an Ethereum EVM vulnerability, which could be exploited by hackers.
Etherscan обновил систему безопасности для предотвращения рассылки неавторизованных сообщений

Etherscan обновил систему безопасности для предотвращения рассылки неавторизованных сообщений

В ночь на 24 июля обозреватель блоков в сети Ethereum Etherscan устранил уязвимости, которые ранее позволили хакерам провести манипуляцию сторонним сервисом Disqus API, используемым для публикации комментариев к адресам Ethereum. Об этом пишет CNN. По информации издания, злоумышленники произвели межсайтовый скриптинг, так называемую XSS-атаку, внедрив в интерфейс JavaScript-код, который показывал пользователям всплывающие сообщения с числом «1337» (отсылка к псевдоязыку Leet, в котором некоторые английские буквы заменяются на символы кодировки ASCII).

Исследование: свыше 70% ICO-проектов уязвимы в смарт-контрактах

Исследователи безопасности компании Positive обнаружили в среднем по пять уязвимостей в каждом ICO, состоявшихся в прошлом году. Об этом пишет Bleeping Computer. По данным исследователей, только один проект первичного предложения монет не содержал багов.

Nano: уязвимость в Android-кошельке не представляла реальной опасности

Команда платформы Nano выпустила официальное заявление с инструкцией по устранению уязвимости в Android-кошельке Nano Wallet. Update on Android wallet: https://t.co/wqMQXftJpU If using Android, please still move to a new seed. — Nano (@nano) June 21, 2018 Для создания сид-фраз в Nano Wallet использовался псевдослучайный, но криптографически небезопасный генератор случайных чисел java.

В основной сети EOS зафиксирована заморозка транзакций (обновлено)

В субботу, 16 июня, в 09:56 UTC производители блоков в сети EOS зафиксировали заморозку транзакций на глобальном уровне. Причины проблемы остаются неизвестными. At 09:56 UTC (1 hour ago) we had an alert with transactions frozen on the EOS network globally. All the BPs are aware. We are all on a call with the other BPs to identify and resolve this issue.

Хакеры похитили более $20 млн через неправильно настроенные клиенты Ethereum

Группа хакеров похитила более $20 млн в криптовалюте Ethereum из кошельков и приложений для майнинга на базе одноименного блокчейна. Об этом сообщает CoinDaily со ссылкой на китайскую компанию в области кибербезопасности Qihoo 360 Netlab. Злоумышленники использовали программные приложения Ethereum, которые были настроены для предоставления доступа к интерфейсу RPC (remote procedure сall) на порте 8545.
В сети EOS найдена критическая уязвимость

В сети EOS найдена критическая уязвимость

Критическая уязвимость в блокчейне EOS может позволить злоумышленникам удаленно выполнить произвольный код на сетевых нодах и установить над ними контроль. Об этом сообщает традиционный поставщик новостей из Китая cnLedger со ссылкой на разработчика антивируса 360. 1/ Chinese Internet security giant 360 has found «a series of epic vulnerabilities» in the #EOS platform.
В сети EOS найдена критическая уязвимость

В сети EOS найдена критическая уязвимость

Критическая уязвимость в блокчейне EOS может позволить злоумышленникам удаленно выполнить произвольный код на сетевых нодах и установить над ними контроль. Об этом сообщает традиционный поставщик новостей из Китая cnLedger со ссылкой на разработчика антивируса 360. 1/ Chinese Internet security giant 360 has found «a series of epic vulnerabilities» in the #EOS platform.

Майнинговый пул Hyundai был атакован хакерами

Неизвестные хакеры взломали майнинговый пул блокчейн-платформы HDAC, принадлежащей компании Hyundai. Вывод средств с платформы был временно заблокирован, сообщает издание CCN. По данным издания, хакеры получили доступ к внутренней системе пула за счет серверной уязвимости.

Суд запретил возобновлять операции криптовалютной бирже BitGrail

Итальянская криптовалютная биржа BitGrail не сможет в ближайшее время возобновить операции, невзирая на предпринимаемые ее создателями усилия, сообщает CCN. Как отмечает издание, 17 мая суд Флоренции поддержал предварительное решение, запрещающее деятельность торговой площадки.