Forwarded from Криптонец
#Tron #уязвимость #кибербезопасность #0d
Разработчики Tron исправили уязвимость доступа к активам на $500 млн
Специалисты по кибербезопасности команды 0d сообщили, что в системе мультиподписей сети Tron была обнаружена критическая уязвимость. Под угрозой оказались активы на полмиллиарда долларов, но уязвимость оперативно закрыли.
Команда 0d работает в составе компании dWallet Labs. Специалисты 0d утверждают, что уязвимость в Tron позволяла владельцу части подписи получить неограниченный доступ к защищенному мультиподписью кошельку и всем хранящимся там активам.
Команда 0d еще в феврале сообщила об уязвимости разработчикам Tron через проект HackerOne, и проблема была исправлена через несколько дней.
Представитель Tron подтвердил, что разработчики получили отчет проекта HackerOne и «максимально быстро исправили проблему, применив необходимые патчи, так что уязвимость не могла и не может быть использована». Сумма вознаграждения, выплаченная специалистам по кибербезопасности, не сообщается.
Как рассказал сооснователь компании Odsy Network Омер Садика (Omer Sadika), ошибка была достаточно тривиальной и исправить ее было весьма просто:
«При проверке мультиподписи в сети Tron проверялось, что данная подпись уже подсчитана, и предполагалось: две разные подписи для одной транзакции не могли быть созданы одним и тем же человеком. Для устранения уязвимости потребовалось сверять не подпись со списком подписей, а адрес подписанта со списком адресов».
В 2019 году разработчики Tron исправили уязвимость, которая позволяла обрушить всю сеть с одного единственного компьютера.
Разработчики Tron исправили уязвимость доступа к активам на $500 млн
Специалисты по кибербезопасности команды 0d сообщили, что в системе мультиподписей сети Tron была обнаружена критическая уязвимость. Под угрозой оказались активы на полмиллиарда долларов, но уязвимость оперативно закрыли.
Команда 0d работает в составе компании dWallet Labs. Специалисты 0d утверждают, что уязвимость в Tron позволяла владельцу части подписи получить неограниченный доступ к защищенному мультиподписью кошельку и всем хранящимся там активам.
Команда 0d еще в феврале сообщила об уязвимости разработчикам Tron через проект HackerOne, и проблема была исправлена через несколько дней.
Представитель Tron подтвердил, что разработчики получили отчет проекта HackerOne и «максимально быстро исправили проблему, применив необходимые патчи, так что уязвимость не могла и не может быть использована». Сумма вознаграждения, выплаченная специалистам по кибербезопасности, не сообщается.
Как рассказал сооснователь компании Odsy Network Омер Садика (Omer Sadika), ошибка была достаточно тривиальной и исправить ее было весьма просто:
«При проверке мультиподписи в сети Tron проверялось, что данная подпись уже подсчитана, и предполагалось: две разные подписи для одной транзакции не могли быть созданы одним и тем же человеком. Для устранения уязвимости потребовалось сверять не подпись со списком подписей, а адрес подписанта со списком адресов».
В 2019 году разработчики Tron исправили уязвимость, которая позволяла обрушить всю сеть с одного единственного компьютера.
Forwarded from Криптонец
#FPG #кибербезопасность #стоп
Криптоброкер FPG отключил вывод средств после взлома
Криптоброкер Floating Point Group (FPG), под управлением которого находятся активы на $50 млрд, сообщил об «инциденте в сфере кибербезопасности» и прекратил торговлю, а также ввод и вывод средств.
Пока деталей о взломе не слишком много. Представители FPG сообщили, что работают со сторонними компаниями для расследования инцидента. Для того, чтобы уберечь от рисков клиентские средства, все аккаунты и кошельки клиентов были заблокированы, а сами активы перемещены.
На текущий момент специалисты компании пытаются понять масштаб взлома и полученные ущерб. Сейчас потери FPG оцениваются в размере от $15 млн до $20 млн.
«Мы работаем с ФБР, Министерством внутренней безопасности, нашими регуляторами и компанией Chainalysis, чтобы понять, как произошел взлом и вернуть активы. Поскольку правоохранительные органы ведут расследование, в настоящее время мы не можем делиться подробностями, но будем держать вас в курсе по мере появления новостей», ― заявил представитель криптоброкера.
Ранее был взломан криптовалютный кошелек Atomic Wallet. Пользователи кошелька потеряли активы на сумму свыше $100 млн.
Криптоброкер FPG отключил вывод средств после взлома
Криптоброкер Floating Point Group (FPG), под управлением которого находятся активы на $50 млрд, сообщил об «инциденте в сфере кибербезопасности» и прекратил торговлю, а также ввод и вывод средств.
Пока деталей о взломе не слишком много. Представители FPG сообщили, что работают со сторонними компаниями для расследования инцидента. Для того, чтобы уберечь от рисков клиентские средства, все аккаунты и кошельки клиентов были заблокированы, а сами активы перемещены.
На текущий момент специалисты компании пытаются понять масштаб взлома и полученные ущерб. Сейчас потери FPG оцениваются в размере от $15 млн до $20 млн.
«Мы работаем с ФБР, Министерством внутренней безопасности, нашими регуляторами и компанией Chainalysis, чтобы понять, как произошел взлом и вернуть активы. Поскольку правоохранительные органы ведут расследование, в настоящее время мы не можем делиться подробностями, но будем держать вас в курсе по мере появления новостей», ― заявил представитель криптоброкера.
Ранее был взломан криптовалютный кошелек Atomic Wallet. Пользователи кошелька потеряли активы на сумму свыше $100 млн.
Forwarded from Криптонец
#SolanaLabs #CertiK #кибербезопасность #уязвимость #SolanaSaga
Solana Labs: У криптосмартфона Solana Saga нет критических уязвимостей
Представители компании Solana Labs объявили, что сообщение экспертов по кибербезопасности из CertiK о «критической уязвимости устройств Solana Saga» не соответствует действительности.
Ведущий инженер программного обеспечения для мобильных устройств Solana Labs Стивен Лейвер (Steven Laver) уверяет: «видео CertiK не раскрывает каких-либо уникальных уязвимостей или угроз безопасности для владельцев Android-смартфонов Saga».
«В собственной документации системы Android, проекта с открытым исходным кодом, изначально описывается стандартная возможность блокировки и разблокировки загрузчика. Разблокировка загрузчика не является уязвимостью безопасности, а авторизованный пользователь может разрешить внесение таких изменений в свое устройство. Для устройств Saga — это расширенный функционал, который по умолчанию отключен», – утверждает ведущий инженер.
Стивен Лейвер настаивает, что решение Seed Vault «имеет наивысший уровень привилегий доступа к среде безопасности смартфона, от режимов работы процессора до выделенных элементов хранения сид-фраз, криптоключей и цифровых активов». Попытка разблокировки загрузчика смартфона Saga сопровождается предупреждением системы безопасности, а при продолжении действий происходит автоматическое обнуление устройства, включая удаление конфиденциальных данных доступа к цифровым активам и приватным паролям криптокошельков.
Напомним, что накануне специалисты по кибербезопасности CertiK опубликовали видеоотчет, в котором продемонстрировали взлом смартфонов Solana Saga и вывод криптоактивов из кошелька, сопряженного с устройством.
Solana Labs: У криптосмартфона Solana Saga нет критических уязвимостей
Представители компании Solana Labs объявили, что сообщение экспертов по кибербезопасности из CertiK о «критической уязвимости устройств Solana Saga» не соответствует действительности.
Ведущий инженер программного обеспечения для мобильных устройств Solana Labs Стивен Лейвер (Steven Laver) уверяет: «видео CertiK не раскрывает каких-либо уникальных уязвимостей или угроз безопасности для владельцев Android-смартфонов Saga».
«В собственной документации системы Android, проекта с открытым исходным кодом, изначально описывается стандартная возможность блокировки и разблокировки загрузчика. Разблокировка загрузчика не является уязвимостью безопасности, а авторизованный пользователь может разрешить внесение таких изменений в свое устройство. Для устройств Saga — это расширенный функционал, который по умолчанию отключен», – утверждает ведущий инженер.
Стивен Лейвер настаивает, что решение Seed Vault «имеет наивысший уровень привилегий доступа к среде безопасности смартфона, от режимов работы процессора до выделенных элементов хранения сид-фраз, криптоключей и цифровых активов». Попытка разблокировки загрузчика смартфона Saga сопровождается предупреждением системы безопасности, а при продолжении действий происходит автоматическое обнуление устройства, включая удаление конфиденциальных данных доступа к цифровым активам и приватным паролям криптокошельков.
Напомним, что накануне специалисты по кибербезопасности CertiK опубликовали видеоотчет, в котором продемонстрировали взлом смартфонов Solana Saga и вывод криптоактивов из кошелька, сопряженного с устройством.
Forwarded from Криптонец
#США #NVD #угрозы #кибербезопасность #Ordinals #токены #метки #BTCinscriptions
Власти США добавили токены-метки протокола Ordinals в список угроз кибербезопасности
Национальная база данных уязвимостей США (NVD) расширила список угроз кибербезопасности, внеся туда создаваемые в протоколе Ordinals токены-метки (BTC inscriptions).
BTC inscriptions — это особая разновидность цифрового актива в сети Биткоина. Такие «надписи» или, по-другому, токены-метки создаются с помощью протокола Ordinals. Согласно предупреждению NVD, в некоторых версиях Bitcoin Core и Bitcoin Knot ограничения на носители данных можно обойти путем запутывания данных в коде.
Добавление в список значит, что конкретная уязвимость была идентифицирована, каталогизирована и признана важной для общественного внимания. NVD сейчас активно анализирует уязвимости сети Биткоина. В качестве одного из потенциальных последствий NVD называет распространение в сети первой криптовалюты нетранзакционных данных и спама. Это может отрицательно сказаться на производительности и комиссиях.
Власти США добавили токены-метки протокола Ordinals в список угроз кибербезопасности
Национальная база данных уязвимостей США (NVD) расширила список угроз кибербезопасности, внеся туда создаваемые в протоколе Ordinals токены-метки (BTC inscriptions).
BTC inscriptions — это особая разновидность цифрового актива в сети Биткоина. Такие «надписи» или, по-другому, токены-метки создаются с помощью протокола Ordinals. Согласно предупреждению NVD, в некоторых версиях Bitcoin Core и Bitcoin Knot ограничения на носители данных можно обойти путем запутывания данных в коде.
Добавление в список значит, что конкретная уязвимость была идентифицирована, каталогизирована и признана важной для общественного внимания. NVD сейчас активно анализирует уязвимости сети Биткоина. В качестве одного из потенциальных последствий NVD называет распространение в сети первой криптовалюты нетранзакционных данных и спама. Это может отрицательно сказаться на производительности и комиссиях.
Forwarded from Криптонец
#hyundai #twitter #кибербезопасность
X-аккаунты Netgear и Hyundai взломали для продвижения криптоскама
В начале января криптовалютные скамеры взломали официальные аккаунты Netgear и Hyundai MEA в соцсети X с целью кражи пользовательских активов. В совокупности обе страницы насчитывают 160 000 подписчиков.
Аккаунт Netgear примерно с 6 января переименовали в BRC App и постили ссылки на вредоносный веб-сайт, обещая раздать первой тысяче зарегистрированных пользователей $100 000.
Учетную запись Hyundai MEA злоумышленники переделали под «поддерживаемую Binance Labs кроссплатформенную ролевую игру Overworld». При переходе пользователей на сайты и подключении кошельков к платформе, мошенники получали полный доступ к криптовалютам и NFT.
Разработчики оригинальной Overworld уже предупредили подписчиков о поддельных аккаунтах и призвали соблюдать осторожность.
На момент написания Hyundai восстановила доступ к учетной записи и очистила страницу от вредоносных ссылок. Netgear вернула контроль только частично.
X-аккаунты Netgear и Hyundai взломали для продвижения криптоскама
В начале января криптовалютные скамеры взломали официальные аккаунты Netgear и Hyundai MEA в соцсети X с целью кражи пользовательских активов. В совокупности обе страницы насчитывают 160 000 подписчиков.
Аккаунт Netgear примерно с 6 января переименовали в BRC App и постили ссылки на вредоносный веб-сайт, обещая раздать первой тысяче зарегистрированных пользователей $100 000.
Учетную запись Hyundai MEA злоумышленники переделали под «поддерживаемую Binance Labs кроссплатформенную ролевую игру Overworld». При переходе пользователей на сайты и подключении кошельков к платформе, мошенники получали полный доступ к криптовалютам и NFT.
Разработчики оригинальной Overworld уже предупредили подписчиков о поддельных аккаунтах и призвали соблюдать осторожность.
На момент написания Hyundai восстановила доступ к учетной записи и очистила страницу от вредоносных ссылок. Netgear вернула контроль только частично.
Forwarded from Криптонец
#Curve #уязвимость #выплаты #проект #кибербезопасность
Команда Curve Finance выплатила $250 000 за обнаружение критической уязвимости
Уязвимость, которая была обнаружена в протоколе децентрализованного финансирования Curve Finance, можно было использовать для манипулирования балансами и вывода средств из пулов ликвидности, объявила команда проекта.
Исследователь кибербезопасности под псевдонимом Марко Крок (Marco Croc), связанный с Kupia Security, получил вознаграждение в $250 000 за выявление этой критической уязвимости. Команда Curve Finance признала, что эксплойт мог позволить хакерам совершать многомиллионные кражи активов из пулов ликвидности DeFi-протокола.
Администрация Curve Finance заверила, что вознаграждение Марко Крока было максимально возможным.
«Большое спасибо за раскрытие ошибки! Если бы атака в этом направлении состоялась, то она могла бы вызвать серьезные проблемы. Это пример очень профессиональной работы», – заявили в Curve Finance.
Команда Curve Finance выплатила $250 000 за обнаружение критической уязвимости
Уязвимость, которая была обнаружена в протоколе децентрализованного финансирования Curve Finance, можно было использовать для манипулирования балансами и вывода средств из пулов ликвидности, объявила команда проекта.
Исследователь кибербезопасности под псевдонимом Марко Крок (Marco Croc), связанный с Kupia Security, получил вознаграждение в $250 000 за выявление этой критической уязвимости. Команда Curve Finance признала, что эксплойт мог позволить хакерам совершать многомиллионные кражи активов из пулов ликвидности DeFi-протокола.
Администрация Curve Finance заверила, что вознаграждение Марко Крока было максимально возможным.
«Большое спасибо за раскрытие ошибки! Если бы атака в этом направлении состоялась, то она могла бы вызвать серьезные проблемы. Это пример очень профессиональной работы», – заявили в Curve Finance.
Forwarded from Криптонец
#хакер #кибербезопасность #криптовалюты #WBTC #ETH #MatchSystems
Хакер вернул почти все средства потерявшему $68 млн пользователю
Хакер, который в начале мая украл 1 155 WBTC у пользователя, вернул почти все похищенные средства. После атаки злоумышленник перевел WBTC в ETH, но затем сумма почти полностью вернулась пострадавшему.
В результате переговоров было возвращено около 95% украденных $68 млн, что составило $65,7 млн по текущему курсу. Хакер осуществил свыше 225 транзакций, переводя от 29 до 67 ETH в каждой операции. Изначально договорились, что хакер сохранит 10% от украденных средств, но в итоге почти все суммы были возвращены.
Компания Match Systems сообщила, что жертва больше не имеет претензий к злоумышленнику, что может быть результатом усиленных переговорных позиций.
Хакер вернул почти все средства потерявшему $68 млн пользователю
Хакер, который в начале мая украл 1 155 WBTC у пользователя, вернул почти все похищенные средства. После атаки злоумышленник перевел WBTC в ETH, но затем сумма почти полностью вернулась пострадавшему.
В результате переговоров было возвращено около 95% украденных $68 млн, что составило $65,7 млн по текущему курсу. Хакер осуществил свыше 225 транзакций, переводя от 29 до 67 ETH в каждой операции. Изначально договорились, что хакер сохранит 10% от украденных средств, но в итоге почти все суммы были возвращены.
Компания Match Systems сообщила, что жертва больше не имеет претензий к злоумышленнику, что может быть результатом усиленных переговорных позиций.