守护价值互联网,提供创新的深度安全测试服务。
分析 | 降维:Grin隐私性被破坏是危言耸听:降维安全实验室CEO付东亮表示,研究人员Lvan Bogatyy发布的《Breaking Mimblewimble’s Privacy Model》,声称可以用极低的成本破坏Mimblewimble协议的隐私性,存在非常大的谬误。
Lvan Bogatyy研究认为,在网络中部署足够的节点,可以在交易打包前,从内存池中获取原始交易数据(未被CoinJoin混合的数据),并且通过在交易路径中监听“蒲公英网络”的方式,破坏MimbleWimble协议的匿名性,从而侦测到交易双方的信息。但实际上以Grin为例,无论使用在线交易(交易双方必须在线签署交易)或离线交易(通过文件传输签署交易,类似商业合同电子签名),Grin的初始发送地址都是一次性的临时地址(或者说根本不存在地址这个概念),且无法与其他相关地址进行分组匹配,从而无法破坏隐私性。
Grin是一个遵循比特币原教旨主义,并且通过技术革新,提高区块确认速度和减少区块体积的新链。现在这条链处于早期,但是已经拥有3000个以上节点。每个块的数据,并非全都是用户交易,其主要内容是匿名集。在最近1000个块中,有22%仅有一个交易TX,有30%不包含TX。用户交易信息永远不会超过Grin自身匿名集的大小。所以Grin的用户并不用担心所谓的隐私泄露问题。当然,Grin还有一些其他的隐私保护措施,可以参考Grin的源码及官方开发团队的信息。[2019/11/19]
降维安全实验室 JohnWick Lab 由百度安全、360 企业安全、看雪研究院等国内著名安全团队的核心成员创立。曾为微软、Google、360、腾讯、Facebook 等互联网独角兽公司输出安全能力,旨在打造区块链最全面、最有深度的服务解决方案,为区块链生态安全保驾护航。公司秉持「知攻击,善防守」的核心理念,围绕区块链生态环境,提供深度渗透测试、智能合约审计、整体安全解决方案、第三方监控预警、威胁情报输出等服务。
动态 | 降维安全:交易所被撞库 交易所自身占主要责任:据部分用户爆料,国内某知名数字资产交易所疑似被撞库攻击,目前已有部分用户账户被盗用,撞库攻击指的是攻击者通过利用已掌握的历史数据库中的用户名和密码对目标交易所进行登录,进而获取账号控制权。针对该交易所的漏洞,2018年9月份某白帽黑客在白细胞安全社区发布过该漏洞,白细胞安全社区已对该数字货币交易平台进行预警,但一直未得到该交易平台方面的回应。降维安全实验室认为:交易所被撞库,不应是用户责任而是交易所的责任,交易所应构建自己的风控体系,在登录IP、设备指纹、浏览器指纹等层面进行多因素认证,以抵御撞库攻击,并及时处理第三方安全公司安全预警。[2019/3/14]
由降维安全实验室核心成员领队,模拟真实攻击环境,对合作企业提供全方位、深层次的安全漏洞检测服务,旨在第一时间发现企业应用中存在的安全漏洞。
动态 | 黑客为挖矿攻击路由器 降维提示用户注意互联网安全:从今年4月份至今,黑客利用了约210,000台MikroTik路由器上存在的安全漏洞,通过此漏洞将挖矿木马Coinhive的Javascript注入用户浏览器访问的每个网页,最终迫使每台连接的电脑在不知情的情况下为黑客挖掘门罗币。
降维安全提示:黑客利用用户私人财产挖矿已成常态化。用户除了及时对自己的电脑、手机安装最新系统更新外,路由器安全也应放在日常关注之列。及时的安装安全补丁可以有效降低用户的路由器被攻破的风险,避免成为黑客非法挖矿的帮凶。[2018/8/4]
智能合约审计服务以业内知名安全专家团队人工审计为核心,结合降维安全实验室开发的 Autoaudit For Smart Contract 智能合约审计辅助工具,可有效提升审计覆盖度和准确率,全方位检测智能合约代码中存在的问题。
为有效降低交易所数字资产被盗风险,我们为交易所提供定制化的安全整体解决方案。从区块链生态的攻击链入手,在攻击发生前、中、后三个关键环节来进行预判、报警、溯源。
依靠对真实攻击过程的技术回溯还原完整攻击过程,与业内合作伙伴进行威胁情报共享以及攻击者网络画像。帮助企业进行法律证据固定及找回丢失资产。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。