騰訊安全玄武實驗室披露波場和NEO區塊鏈安全漏洞報告

據國家信息安全漏洞庫（CNVD）和區塊鏈漏洞子庫（CNVD-BC）消息，騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞已被收錄，其中波場（TRON）遠程代碼執行漏洞獲得CNVD危害評分最高分10分，玄武實驗室發現TRON通過舊版本的fastjson 庫(1.2.60)對 HTTP請求進行反序列化解析，可以實現對開啟了HTTP 服務的TRON 節點的遠程代碼執行攻擊，進而遠程控制服務節點，安裝并執行任意惡意代碼。玄武實驗室在本地搭建的環境中發現，攻擊者可以通過該漏洞進一步劫持所有連接到被攻擊 HTTP 節點的瀏覽器插件錢包、DApp、以及第三方錢包的轉賬功能，竊取用戶所轉賬的虛擬貨幣。

另一個區塊鏈底層智能合約虛擬機漏洞“NEO現網拒絕服務” 是由于智能合約虛擬機因整數溢出導致的拒絕服務漏洞，攻擊者只需要極小的攻擊成本即可癱瘓整個NEO平臺。據悉，玄武實驗室已于數月前就向受影響的波場（TRON）、NEO等區塊鏈平臺提交了詳細報告漏洞，以幫助平臺盡快修復安全問題。

現場 | 騰訊安全高級安全研究員張堯：可信融合的方案非常廣闊:金色財經現場報道，10月15日，華山論劍2020網絡安全大會于西安召開，在大會的區塊鏈安全與應用創新分論壇上，騰訊安全高級安全研究員張堯演講表示，當把明文數據放到鏈上，會涉及較多的隱私問題，可以通過可信計算解決相應問題，例如TEE。TEE Enclave是一個被保護的容器，可以結合很多區塊鏈需要的功能，當區塊鏈和可信計算結合，可信計算有很好的通用性，可以對區塊鏈的瓶頸做一個補充。可以預測的是，可信融合的方案是非常廣闊的，目前有一些可以嘗試結合的方案，例如高速的鏈下支付管道、新型共識。在安全領域的密鑰管理、可信預言機。以及基于TEE的隱私合約實現的隱私交易、多方計算等。[2020/10/15]

聲音 | 騰訊安全：廣東、浙江、北京、江蘇感染挖礦木馬情況最嚴重:騰訊安全今日發布“2019年度挖礦木馬報告”。報告指出，從地區分布來看，2019年挖礦木馬在全國各地均有分布，其中感染最嚴重的地區分別為廣東省、浙江省、北京市、江蘇省。從行業分布來看，2019年受挖礦木馬影響最嚴重的行業分別為互聯網，制造業，科研和技術服務以及房地產業。[2020/2/17]

聲音 | 騰訊安全王強：區塊鏈正在與實體行業加速融合 為產業升級轉型注入動力:11月29日，湖南（長沙）網絡安全?智能制造大會在長沙國際會展中心舉行。騰訊安全受邀出席區塊鏈應用與落地主體論壇，騰訊TUSI安全實驗室專家王強分享了騰訊安全在產業區塊鏈領域的前沿探索與最佳實踐。王強表示，區塊鏈正在與實體行業加速融合，為產業的升級、轉型注入動力。例如對于傳統產業來說，多主體間信任、價值傳遞和數字化轉型等問題是很多傳統產業所面臨的難題，而區塊鏈的技術特性可以滿足其轉型升級中的增信、自動化以及數字化的需求，為探索產業區塊鏈新模式提供空間。通過“區塊鏈+”模式，加速推進產業區塊鏈建設，是當前區塊鏈行業發展的主要趨勢。為了更好地服務于數字經濟，產業區塊鏈從廣度上不僅要覆蓋實體行業的司法、政務、教育、版權、醫療和公益等，也要觸及金融行業的支付、征信、保險和供應鏈金融等等。同時，在深度上，產業區塊鏈將逐步打破中心化弊端，建立多方協作、資產數字化以及數字資產化鏈條，逐漸構建穩健的價值互聯網生態。[2019/11/29]