降維安全

降維安全

降維安全實驗室 JohnWick Lab 由百度安全、360 企業安全、看雪研究院等國內著名安全團隊的核心成員創立。曾為微軟、Google、360、騰訊、Facebook 等互聯網獨角獸公司輸出安全能力，旨在打造區塊鏈最全面、最有深度的服務解決方案，為區塊鏈生態安全保駕護航。公司秉持「知攻擊，善防守」的核心理念，圍繞區塊鏈生態環境，提供深度滲透測試、智能合約審計、整體安全解決方案、第三方監控預警、威脅情報輸出等服務。

分析 | 降維：Grin隱私性被破壞是危言聳聽:降維安全實驗室CEO付東亮表示，研究人員Lvan Bogatyy發布的《Breaking Mimblewimble’s Privacy Model》，聲稱可以用極低的成本破壞Mimblewimble協議的隱私性，存在非常大的謬誤。

Lvan Bogatyy研究認為，在網絡中部署足夠的節點，可以在交易打包前，從內存池中獲取原始交易數據（未被CoinJoin混合的數據），并且通過在交易路徑中監聽“蒲公英網絡”的方式，破壞MimbleWimble協議的匿名性，從而偵測到交易雙方的信息。但實際上以Grin為例，無論使用在線交易（交易雙方必須在線簽署交易）或離線交易（通過文件傳輸簽署交易，類似商業合同電子簽名），Grin的初始發送地址都是一次性的臨時地址（或者說根本不存在地址這個概念），且無法與其他相關地址進行分組匹配，從而無法破壞隱私性。

Grin是一個遵循比特幣原教旨主義，并且通過技術革新，提高區塊確認速度和減少區塊體積的新鏈。現在這條鏈處于早期，但是已經擁有3000個以上節點。每個塊的數據，并非全都是用戶交易，其主要內容是匿名集。在最近1000個塊中，有22%僅有一個交易TX，有30%不包含TX。用戶交易信息永遠不會超過Grin自身匿名集的大小。所以Grin的用戶并不用擔心所謂的隱私泄露問題。當然，Grin還有一些其他的隱私保護措施，可以參考Grin的源碼及官方開發團隊的信息。[2019/11/19]

由降維安全實驗室核心成員領隊，模擬真實攻擊環境，對合作企業提供全方位、深層次的安全漏洞檢測服務，旨在第一時間發現企業應用中存在的安全漏洞。

動態 | 惡意消耗Gas攻擊頻發 降維安全實驗室發布預警:降維安全實驗室關注到國外團隊levelk披露的以太坊漏洞問題。該漏洞主要影響提現模塊中對gas limit動態獲取的交易所，如果提現地址為惡意合約地址，會造成攜帶的所有Gas完全消耗。同類漏洞還有降維安全實驗室之前向合作商披露的\"提現投\"漏洞，即交易所從業務邏輯上允許進行非常小額的資產提現，導致惡意用戶通過使用自動化大量提現的方式，消耗交易所Gas，對交易所資產造成損失。降維安全實驗室建議交易所將普通地址提現的gas limit設置成21000，合約地址提現的Gas limit設置成90000。此次漏洞詳情，降維安全實驗室尊重levelk團隊的披露流程，不單獨對外披露。

投資有風險，入市須謹慎。

本資訊不作為投資理財建議。[2018/11/14]

智能合約審計服務以業內知名安全專家團隊人工審計為核心，結合降維安全實驗室開發的 Autoaudit For Smart Contract 智能合約審計輔助工具，可有效提升審計覆蓋度和準確率，全方位檢測智能合約代碼中存在的問題。

分析 | XSS漏洞修復方式存在缺陷 降維發布二次預警:降維安全近日曾發布有關XSS tradingview dom-xss漏洞預警，通過白細胞安全社區了解到仍有大量數字資產金融服務商tradingview dom-xss修復方式存在缺陷導致可被繼續利用。目前已有部分表示早已完成修復的交易所但因為該漏洞修復不正確而導致用戶權限被盜事件發生。[2018/9/20]

為有效降低交易所數字資產被盜風險，我們為交易所提供定制化的安全整體解決方案。從區塊鏈生態的攻擊鏈入手，在攻擊發生前、中、后三個關鍵環節來進行預判、報警、溯源。

依靠對真實攻擊過程的技術回溯還原完整攻擊過程，與業內合作伙伴進行威脅情報共享以及攻擊者網絡畫像。幫助企業進行法律證據固定及找回丟失資產。

Tags：安全

官方

• 

  Facebook

• 

  Twitter

• 

  Weibo

• 

  YouTube