漏洞

据Beincrypto消息，TikTok被发现具有严重的安全漏洞，攻击者可以利用该漏洞控制帐户。此前消息，TikTok的所有者字节跳动正在积极探索区块链技术。因此最近在其应用程序中发现的安全漏洞可能会加速其实施和研究。

曾于昨日出现宕机的波卡测试网Kusama目前已恢复出块，波卡创始人Gavin Wood针对此次漏洞的排查和修复发布了报告。据此前消息，由于将Polkadot主网的运行环境库放置在Kusama升级中，整个Kusama的测试网于昨日陷入宕机。团队于昨日承诺将于次日着手解决该漏洞。目前，经过更新，Kusama网络已经恢复出块。在修复版本更新前夕，波卡创始人Gavin Wood在Medium上分享了此次Kusama重大漏洞的修复报告。经过节点社区的共同努力，在几次简单的修复和同步后，Kusama现已重启。

腾讯御见威胁情报中心今日发文表示，腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新，WannaMine最早于2017年底被发现，主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性，会采用多种手法清理、阻止竞争木马的挖矿行为，同时安装远控木马完全控制中毒系统。更新后的WannaMine病毒具有以下特点：1.利用“永恒之蓝”漏洞攻击传播；2.利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动；3.通过添加IP策略阻止本机连接对手木马的47个矿池，阻止其他病毒通过“永恒之蓝”漏洞入侵；4.添加计划任务，WMI事件消费者进行持久化攻击，删除“MyKings”病毒的WMI后门；5.利用COM组件注册程序regsvr32执行恶意脚本；6.利用WMIClass存取恶意代码；7.在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。

据AMBCrypto消息，比特币支付公司Bottle Pay顾问Matt Odell表示，如果个人用户实行金融隐私，比特币将变得更有价值，长期而言也会变得更具弹性，因为金融隐私是比特币迄今为止最大的漏洞。

中国银行副行长吴富林近日对Facebook发布天秤币Libra发表评论，吴富林称，Libra将对国际货币体系带来挑战。Libra推出后将对电子支付、货币政策、金融稳定、金融生态，尤其是对国际货币体系等领域产生冲击。若不被美国政府控制，Libra推出势必挑战美元作为主要结算货币的地位。对于其他主要结算或储备货币，例如欧元、日元，在Libra介入后，其使用范围也会受影响。我国应抓住机遇推进数字货币研发。一是要提高对数字货币的重视程度，积极与国际组织和各国央行展开合作，跟踪Libra等数字货币最新动态，积极寻求机会参与数字支付全球治理。二是要尽快开展我国央行数字货币推广工作，并对数字货币可能存在的漏洞进行技术评估和校准，以在全球数字货币领域争取更多话语权，为推动国际货币体系改革作出贡献。

Delphi Digital联合创始人Tom Shaughness发推称，“在不久的将来，加密项目将攻击竞争项目，而不是帮助它们。消极激进的推特辩论将转向黑客战争和故意的漏洞利用。如果你不能打败他们，你可以试着摧毁他们。

”加密对冲基金Multicoin Capital联合创始人Kyle Samani评论称，“同意。Polkadot将在2020年试图削弱以太坊。”

公链IOTA主网在数小时前忽然出现共识分裂而无法更新的情况，TPS一度接近0。目前该漏洞已经修复。根据官方公告，该漏洞的具体情况为：在极端情况下，IRI（IOTA 主网客户端名称）没有考虑两个不同bundle之间共享的交易。一旦在一个bundle将某个交易标记为“已计数”，下一个bundle就会将其忽略，这一bug导致了账本状态的损坏。目前，该漏洞已经得到修复。相关客户端版本和漏洞说明已经在Github更新。

美国反虚假财务报告委员会下属 COSO 委员会将于 2020 年第一季度发布区块链技术内部控制指南，该指南旨在加强区块链技术在供应链管理和金融服务的内部控制。COSO 委员会表示，「随着企业采用包括区块链在内的新技术，新的漏洞也将产生，虽然无法避免网络风险，但是可以通过精心设计和实施适当的响应及恢复流程来管理此类风险」。

COSO 委员会主席 Paul Sobel 表示，当公司使用分布式分类账本技术时，公司将有「非常不同的世界观」，因为对数据库的控制不是内部维护的。 COSO 委员会于 1985 年基于美国反虚假财务报告委员会成立，专门研究内部控制问题。COSO 委员会于 1992 年发布《内部控制整合框架》。

Kraken在最新研究文章中指出，加密货币硬件钱包KeepKey存在漏洞，攻击者可在15分钟内窃取资金。Kraken在其文章中详细描述了一次“电压故障（voltage glitchin）”攻击，该攻击方式可强行破解用于访问设备的加密种子。 研究人员警告说，修复这个缺陷并非易事——“该攻击利用了KeepKey中使用的微控制器的固有缺陷。KeepKey团队在不重新设计硬件的情况下，对此无能为力。”

火星财经APP（微信：hxcj24h）一线报道，12月10日，针对「独立开发者Micah Zoltu披露MakerDAO治理系统存在漏洞，可致超3亿美元抵押ETH被清空」一事，MakerDAO中国区负责人潘超向火星财经透露，漏洞发生的概率几乎为零，类似比特币51%攻击。

今日午间，潘超曾在朋友圈表示，“MakerDAO并未出现安全漏洞，所有资金安全，原文作者指出的问题是所有权益系统都存在的治理挑战，作为Maker的开发团队，该治理挑战是已知可控的，并且通过有计划的一系列工具箱权衡解决。”

12月9日，一名独立软件开发人员披露MakerDAO存在安全漏洞可导致价值3亿美元抵押ETH被清空。对此，MakerDAO中国区负责人潘超表示，MakerDAO并未出现安全漏洞，所有资金安全，原文作者指出的问题是所有权益系统都存在的治理挑战，作为Maker的开发团队，该治理挑战是已知可控的，并且通过有计划的一系列工具箱权衡解决。潘超指出，DAO是一个复杂系统，最重要的是权衡，单线思维下的设计是不稳定的，现行的Maker系统相对是最安全的。

据theblockcrypto报道，Maker Foundation提出了一项新的安全提议，将新执行合同的治理延迟24小时。此前一篇博客文章警告称，价值3.4亿美元的ETH资产可能被盗。现有漏洞允许任何持有约52,000 MKR的攻击者将MakerDAO系统中的所有抵押品毫无阻力地转移给自己。

据Cointelegraph消息，12月2日，挪威应用安全公司Promon发现了一个名为StrandHogg的危险Android漏洞，据报道，该漏洞已经感染了所有版本的Android，并将排名前500位的最受欢迎的应用置于危险之中。StrandHogg伪装成受感染设备上的任何其他应用程序，欺骗用户，让他们相信自己使用的是一个合法的应用程序。然后，该漏洞允许恶意应用程序通过显示恶意和虚假的登录屏幕来伪装用户的凭证。据报道，除了窃取密码钱包登录凭证等个人信息外，StrandHogg还可以通过麦克风监听用户的声音，读取和发送短信，访问设备上的所有私人照片和文件，以及其他一些不法行为。

Promon的研究人员进一步指出，他们已经在去年夏天向谷歌透露了他们的发现。然而，尽管谷歌确实删除了受影响的应用程序，但它似乎并没有针对任何版本的Android修复该漏洞。

因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷，钓鱼攻击、诈骗等各类事件就是典型。在此提醒，用户应谨慎保管各类私密信息。

今日中午，首都网警发布网络安全预警通报称，据国家网络与信息安全信息通报中心监测发现，互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患，可能导致信息泄露等风险。以上问题涉及电信、金融、能源、医疗等多个重要行业部门，以及部分高校、企业邮件系统和多款网络设备。在通信数据被截获的情况下，攻击者可利用上述漏洞获取用户账号口令、业务系统数据、邮件内容等敏感信息。OPENSSL是实现SSL协议的一款开源软件，其提供了多种密码算法、常用密钥以及数字证书封装管理等功能。

11月29日，火星大学区块链公开课——全国10城公益巡讲第一站在北京举办。课程重点讲解区块链3.0时代到来，如何通过学习快速实现区块链认知跃迁，如何正确解读国家对区块链的支持与监管，区块链技术如何赋能实体经济以及投资者应如何识别机会与风险等重要问题。

北京链安COO王延巍分享了主题《区块链安全：云+链+端全解析》。在分享中，王延巍罗列了区块链安全的内涵和危害，并且强调这些危害正在扩散。其中包括交易所被盗币、智能合约代码缺陷被利用、DApp漏洞频繁被利用、数字货币与传统传销、诈骗等犯罪方式结合、Defi兴起引出技术和金融机制的风控问题、区块链在行业试点，伴生安全方面的需求、暗网、勒索病毒加剧数字货币洗钱现象等。智能合约本质上是基于公链平台的代码实现，与其它计算机系统一样，也存在代码上的缺陷和漏洞，甚至本身相关平台就存在漏洞，从而引发安全问题。

安全问题何时能得到进一步改善？

在以太坊网络君士坦丁堡升级前夕，爆出“可重入”漏洞导致升级推迟，本文是漏洞细节

虽然市场的选择可能最终导致以太坊的统一并完成升级，但在目前来说，这仍是一个以太坊不愿承担的风险。