Komodo «взломала» кошельки своих пользователей для предотвращения кражи криптовалют

Komodo «взломала» кошельки своих пользователей для предотвращения кражи криптовалют

Как сообщает ZDNet, используемая разработчиком кошелька сторонняя библиотека JavaScript оказалась вредоносной. Два месяца назад библиотека Npm получила обновление,содержащее скрытый бэкдор, который мог привести к краже средств пользователей, хранящихся в старых кошельках Komodo Agama.
В сети Cosmos состоялся хардфорк для устранения критической уязвимости

В сети Cosmos состоялся хардфорк для устранения критической уязвимости

Команда Tendermint, работающая над проектом Cosmos, сообщила об успешном проведении хардфорка в основной сети после того, как была обнаружена критическая уязвимость. 🚨 Attn: All Hands, Cosmos Hub 🚨 There was a critical security vulnerability found on #CosmosSDK two days ago.
В генераторе бумажных кошельков Wallet Generator обнаружена уязвимость

В генераторе бумажных кошельков Wallet Generator обнаружена уязвимость

Согласно отчету, анализ основывается на открытом исходном коде Wallet Generator, который до 17 августа 2018 года соответствовал оригинальному исходному коду. В рамках проекта кошельки генерировались с использованием клиентского технического оборудования с учетом случайной энтропии, что позволяло создать уникальный кошелек.
На более чем 44% полных нод в сети биткоина установлен клиент с критической уязвимостью

На более чем 44% полных нод в сети биткоина установлен клиент с критической уязвимостью

Больше половины полных нод в основной сети биткоина все еще не установили обновление клиента Bitcoin Core, в котором была устранена критическая уязвимость, позволявшая саботировать работу 90% узлов для осуществления двойной траты. Об этом в начале месяца сообщил Cointelegraph со ссылкой на разработчика Люка Дэша-младшего.
«Белые хакеры» с 28 марта заработали $32 000 за обнаружение 30 уязвимостей в криптовалютных проектах

«Белые хакеры» с 28 марта заработали $32 000 за обнаружение 30 уязвимостей в криптовалютных проектах

Сообщается, что в период с 28 марта по 16 мая 15 криптовалютных компаний заплатили награду исследователям за поиск уязвимостей. Всего было найдено 30 уявзимостей. Больше всего недоработок было найдено у компании Omise, которая стоит за токеном OmiseGo. Компания заплатила за 6 обнаруженных уязвимостей. У проекта Augurбыло найдено 3 ошибки, так же как и компании Brave Software, запустившей браузер Brave с поддержкой собственного токена BAT. Отметим, что хакеры получают вознаграждение в зависимости от величины потенциальной угрозы, которую несет обнаруженная уязвимость.
Исследование: не исправившие уязвимости клиенты Эфириума увеличивают риск атаки 51%

Исследование: не исправившие уязвимости клиенты Эфириума увеличивают риск атаки 51%

Отчет Security Research Labs, в котором использовались данные ethernodes.org, указывает на то, что большое количество узлов, использующих наиболее популярные клиенты для Эфириума Parity и Geth, сохраняли открытыеуязвимостив течение «продолжительных периодов времени» после выпуска исправлений. SRLabs отмечает, что в феврале сообщила об уязвимости в клиенте Parity, которая может подвергать узлы ряду атак, вплоть до удаленного отключения.
Исследование: непропатченные клиенты Ethereum несут угрозу атаки 51%

Исследование: непропатченные клиенты Ethereum несут угрозу атаки 51%

Клиенты Ethereum, не совершившие апгрейды для устранения известных уязвимостей, несут угрозу всей сети. Об этом говорится в новом исследовании базирующейся в Берлине Security Research Labs. Blockchain technology assumes that participants take rational actions. Leaving yourself and others exposed to hacking is not rational, but all too common among blockchain users: https://t.
Киберпреступники майнят XMR при помощи уязвимости в старых версиях Confluence Atlassian

Киберпреступники майнят XMR при помощи уязвимости в старых версиях Confluence Atlassian

Обнаруженная уязвимость позволяет киберпреступникам скрыто устанавливать и запускать майнер XMR на компьютере, а также скрывать активность майнинга, используя руткит, чтобы скрыть сетевую активность вредоносного ПО и снизить нагрузку на центральный процессор.
В проекте TRON устранена уязвимость, позволявшая обрушить сеть с одного компьютера

В проекте TRON устранена уязвимость, позволявшая обрушить сеть с одного компьютера

На сайте HackerOne они сообщили, что уязвимость была «высокого уровня» и угрожала стабильности всей сети. В публикации говорится, что злоумышленники могли неконтролируемо расходовать вычислительные ресурсы сети с помощью DDoS-атак. «Используя один компьютер, хакер мог направить DDoS-атаку на все или 51% узлов супер-представителей, из-за чего использование сети Tron стало бы невозможным», - пишут представители TRON Foundation в отчёте.
Количество полных узлов биткоина превысило 100 000, но 60% из них уязвимы

Количество полных узлов биткоина превысило 100 000, но 60% из них уязвимы

Уязвимость CVE-2018-17144 была найдена еще осенью прошлого года. Злоумышленники с ее помощью способныувеличить эмиссию BTC сверх установленного лимита. Также с ее помощью майнеры могут обрушить всю сеть биткоина. Лишь последние версии программного обеспечения (начиная с версии Bitcoin Core 0.16.3) защищены от уязвимости, но многие владельцы узлов не спешат проводить обновление. Дашир представил подробную статистику по использованию программного обеспечения владельцами полных узлов.
В смарт-контракте для голосований MakerDAO обнаружена уязвимость

В смарт-контракте для голосований MakerDAO обнаружена уязвимость

Некоммерческая организация Maker Foundation в партнерстве с компанией Coinbase и платформой Zeppelin провела второй раунд аудита смарт-контракта для голосования в сети MakerDAO, в ходе которого была обнаружена критическая уязвимость. Разработчики инициировали срочный апгрейд. In collaboration with @coinbase & @ZeppelinOrg we’ve engaged in a 2nd round of audits of the Voting Contract.
Злоумышленник вывел с биржи BitoPro 7 млн XRP через уязвимость частичного платежа

Злоумышленник вывел с биржи BitoPro 7 млн XRP через уязвимость частичного платежа

Неизвестный пользователь тайваньской биржи BitoPro сфальсифицировал депозит в криптовалюте XRP и вывел с площадки 7 млн монет ($2,17 млн). Механизм работы этого эксплойта подробно описала биржа Bitrue. In response to this attack, we’ve created this thread to raise awareness for [XRP Partial Payment Vulnerability] and its risks.
Команда Monero устранила баг в ПО кошельков Ledger, из-за которого транзакции осуществлялись некорректно

Команда Monero устранила баг в ПО кошельков Ledger, из-за которого транзакции осуществлялись некорректно

Разработчики Monero устранили уязвимость, из-за которой пользователи аппаратных кошельков Ledger Nano S теряли доступ к своим средствам. We have, in collaboration with the Ledger team, successfully managed to recover the ‘lost’ funds of the users affected by the Ledger change output bug! A post with more details can be found here: https://t.
Уязвимости в дизайне платформы рынка предсказаний Augur остаются открытыми

Уязвимости в дизайне платформы рынка предсказаний Augur остаются открытыми

В частности, был выявлен потенциальный вектор атаки на основе расхождений между датой истечения срока действия рынка и датой его исхода. Многие пользователи Augur используют различные веб-интерфейсы, которые предлагают нестандартные функции и открыты для манипуляций. В частности, многие тяготеют к рынкам, которые кажутся надежными. Это создает ажиотаж вокруг нескольких рынков, которыми их создатели, возможно, способны манипулировать.

В блокчейне OmiseGo обнаружено 8 уязвимостей. Еще 12 багов найдены в других крупных проектах

Белые хакеры обнаружили баги в системах крупных стартапов. Восемь из них приходятся на блокчейн OmiseGo, остальные 12 уязвимостей найдены в Augur, Monero, ICON, Stellar, crypto.com и Robinhood. Hackers fix 20 security flaws in cryptocurrency-related platforms in 2 weeks https://t.

Исследование: в 2017 году злоумышленник тайно выпустил 2,25 млрд XLM

Аналитики портала Messari предали огласке серьезный инфляционный баг, произошедший в сети Stellar еще в апреле 2017 года. Тогда этот инцидент остался почти незамеченным. По их данным, некий злоумышленник с помощью бага в функции «MergeOPFrame::doApply» протокола Stellar создал около 2,25 млрд XLM (на тот момент примерно $10 млн).

«Игра престолов»: разработчики Trezor ответили на заявление Ledger об уязвимостях

Разработчики популярных аппаратных кошельков для хранения биткоина и других криптовалют Trezor прокомментировали заявление компании-конкурента Ledger о ряде уязвимостей в своих продуктах. In response to Ledger’s presentation at #MITBitcoinExpo, here is how we mitigated the mentioned vulnerabilities.
Компания Ledger заявила о ряде уязвимостей в аппаратных кошельках Trezor

Компания Ledger заявила о ряде уязвимостей в аппаратных кошельках Trezor

Ведущий производитель криптовалютных аппаратных кошельков Ledger рассказал об уязвимостях, выявленных в устройствах своего прямого конкурента Trezor. Об этом говорится в сообщении, распространенном французской компанией в понедельник, 11 марта. As mentioned previously, @BreakerMag toured our HQ attack lab and explained vulnerabilities that we responsibly disclosed to a competitor.
Владелец кошелька Ledger Nano S сообщил о потере $80 000 в криптовалюте Monero из-за бага

Владелец кошелька Ledger Nano S сообщил о потере $80 000 в криптовалюте Monero из-за бага

Пользователь Reddit под ником MoneroDontCheeseMe рассказал, что потерял 1680 Monero (около $80 000 по текущему курсу) при переводе средств с использованием клиента Monero версии 0.14 и аппаратного кошелька Ledger Nano S версии 1.1.3. По его словам, он сделал несколько переводов криптовалюты Monero с устройства Ledger на кошелек «только для просмотра» на сумму 0,000001, 10, 200 и 141,9 XMR.
Десктоп-кошелек Coinomi проверяет правописание seed-фраз. Функция позволила украсть $70 000 в криптовалюте

Десктоп-кошелек Coinomi проверяет правописание seed-фраз. Функция позволила украсть $70 000 в криптовалюте

Пользователь под ником warith сообщил о пропаже $60 000 – $70 000 после установки криптовалютного кошелька Coinomi с официального сайта. Spell check ur crypto-currency wallet’s passphrase remotely with #Coinomi 😂https://t.

Биткоины владельцев ASIC-майнеров от Bitmain оказались под угрозой из-за уязвимости

Разработчик Bitcoin Core Джеймс Гиллард обнаружил уязвимость в ПО для устройств Antminer S15, которая в теории позволяет злоумышленникам полностью взять под контроль ASIC. Одновременно с этим разработчик убежден, что это не единственная версия ПО от Bitmain, подверженная уязвимости. @BITMAINtech tried and failed to lock down the S15 firmware, I identified the vulnerability and @00whiterabbit wrote/tested the attack code.

Виталик Бутерин не видит опасности в новой уязвимости Ethereum

Сооснователь Ethereum Виталик Бутерин, как и несколько других ведущих разработчиков платформы, не видит серьезной угрозы безопасности в баге, который был выявлен в коде предстоящего апгрейда системы Constantinople. Ранее сообщалось, что обнаруженная уязвимость затрагивает некоторые смарт-контракты с возможностью самоуничтожения.

Компания Coinbase выплатила баунти на $30 000 за обнаруженную критическую уязвимость

Ведущая криптовалютная компания США Coinbase выплатила предположительно крупнейшее за все время своей работы вознаграждение за обнаруженную в ее системах критическую уязвимость, пишет The Next Web. Запись об уязвимости было опубликована 12 февраля на HackerOne, и как подтвердил представитель Coinbase, к настоящему моменту она уже устранена.

Разработчики Zcash сообщили об устранении критической уязвимости в 2018 году

Zcash Company, стоящая за разработкой криптовалюты Zcash, раскрыла детали уязвимости, которая позволяла злоумышленникам создавать в неограниченном количестве несуществующие монеты ZEC. Согласно отчету в блоге компании, 1 марта 2018 года назад криптограф Zcash Ариэль Габизон обнаружил уязвимость в протоколе zk-SNARKS, который используется в Zcash для сокрытия балансов и данных о пользователях.

Ряд Ethereum-сервисов оказался под угрозой из-за уязвимости в протоколе JSONRPC

Специалисты блокчейн-стартапа Parity Technologies обнаружили в протоколе JSONRPC уязвимость, угрожающую безопасности всей экосистеме Ethereum. В частности, под угрозой взлома оказались сервисы MyEtherWallet, MyCrypto и Infura. The fix is out—please update your nodes ASAP. https://t.