2018年全球区块链生态安全研究.pdf

编号：95547

PDF 29页 1.55MB 下载积分：VIP专享

下载报告请您先登录！

2018年全球区块链生态安全研究.pdf

1、全球区块链生态安全研究目录一、关于我们二、区块链架构与攻击面三、智能合约安全四、数字货币钱包安全五、交易所安全六、EOS虚拟机区块链架构与攻击面区块链架构与攻击面应用层合约层激励层共识层网络层数据层交易所、矿机、矿池、钱包等业务攻击风险智能合约漏洞、合约虚拟机漏洞等算力下降导致攻击成本降低等共识协议攻击（51%攻击）等ddos攻击、日食攻击等恶意区块信息、密钥泄漏等区块链安全研究区块链安全交易所智能合约公链EOS数字钱包矿池智能合约安全研究智能合约概述已公开智能合约攻击21次，造成超过10亿美元损失。智能合约概述内部团队发现漏洞合约160多个，包括多个公开与未公开的合约漏洞CVE-2018-1

2、4591CVE-2018-14433CVE-2018-12959CVE-2018-11561.视频演示整数溢出漏洞真实案例：https:/ 42 个高危漏洞29个，占比69%可直接影响用户账户安全越权19%逻辑漏洞15%SQL注入38%弱口令8%未授权8%信息泄露8%远程命令执行4%越权逻辑漏洞SQL注入弱口令未授权信息泄露远程命令执行公链安全公链安全内部团队对公链的测试有丰富的经验（EOS、ETH、TRON等知名公链的攻击测试），并编写公链渗透测试白皮书。白皮书分析安全事件、安全趋势，并主要以区块链上的攻击面为切入点，深入解读区块链攻击手法，最终提出安全防御建议，防范危险于萌芽之中。测试示例

3、通过我们的代码审计后发现此处遍历数组将xKey.ID直接拼接到keyStore的路径中，然后将json数据写入该路径中。可以通过./的方式跨目录任意写入文件。通过控制id参数将文件路径指向系统文件/etc/bash.bashrc环境变量文件，每个系统用户在登录的时候都会触发这个文件。在覆盖写入环境变量文件之后，我们模拟用户登录，最终远程触发poc命令touch/tmp/test，最终成功创建/tmp/test文件EOS虚拟机漏洞EOS虚拟机漏洞Generate wasm fileValidate and generate native codeExecute Remote DOS or RCE如何让nodeos DOS？除过内存错误导致崩溃之外，还可以通过让nodeos执行abort函数导致DOS如何让nodeos DOS？漏洞重现条件:校验操作数类型，校验失败抛出异常构造特殊ResultType，导致调用Errors:unreachable()可以在git commit 10e5e11和之前的提交重现Poc:https:/ 谢！

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（2018年全球区块链生态安全研究.pdf）为本站（云闲）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。