区块链安全-以太坊智能合约静态分析
Gao Feng of Qihoo 360 IceSword LabHuang Shao Mang of Qihoo 360 IceSword Lab概述目前,以太坊智能合约的安全事件频发,从The DAO事件到最近的Fomo3D奖池被盗,每次安全问题的破坏力都是巨大的,如何正确防范智能合约的安全漏洞成了当务之急。本文主要讲解了如何通过对智能合约的静态分析进而发现智能合约中的漏洞。由于智能合约部署...
针对韩国长达5年的跨境网络电信诈骗
概要电信诈骗自诞生以来并迅速发展蔓延,诈骗手法也随着科技发展不断更新,而随着Android设备的普及,诈骗手法进一步升级,Android木马也开始被应用于电信诈骗,360烽火实验室对此类木马保持着持续的关注,早在2016年就发表了一篇针对网络电信诈骗的报告《深入分析跨平台网络电信诈骗》,深入分析还原了跨平台网络电信诈骗的整个过程。近期,360烽火实验室捕获到了一个针对韩国的跨境网络电信诈骗木马家族...
Operation Poison Needles - APT Group Attacked the Polyclinic of the Presidential Administration of Russia, Exploiting a Zero-day
OverviewIn recent years, disputes over territorial issues between Ukraine and Russia never stops, including the disputes over Crimean Peninsula, Russia-Ukraine gas disputes, and the conflict in easter...
“毒针”行动 - 针对“俄罗斯总统办所属医疗机构”发起的0day攻击
概述近年来,乌克兰和俄罗斯两国之间围绕领土问题的争执不断,发生了克里米亚半岛问题、天然气争端、乌克兰东部危机等事件。伴随着两国危机事件愈演愈烈之时,在网络空间中发生的安全事件可能比现实更加激烈。2015年圣诞节期间乌克兰国家电力部门受到了APT组织的猛烈攻击,使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬,城市陷入恐慌损失惨重,而相应的俄罗斯所遭受的APT攻击,外界却极少有披露。201...
条条大路通罗马:实现数字货币双花攻击的多种方法
Zhiniang Peng from Qihoo 360 Core SecurityYuki Chen of Qihoo 360 Vulcan Team[摘要]2008年,中本聪提出了一种完全通过点对点技术实现的电子现金系统(比特币)。该方案的核心价值在于其提出了基于工作量证明的解决方案,使现金系统在点对点环境下运行,并能够防止双花攻击。如今比特币已经诞生十年,无数种数字货币相应诞生,但人们对双花...
All roads lead to Rome: Many ways to double spend your cryptocurrency
Zhiniang Peng from Qihoo 360 Core SecurityYuki Chen of Qihoo 360 Vulcan Team[Abstract]In 2008, Satoshi Nakamoto proposed an electronic cash system (bitcoin) that is completely realized by peer-to-peer...
被遗漏的0day ? —APT-C-06组织另一网络武器库分析揭秘
前言近日,360核心安全事业部高级威胁应对团队又发现若干vbscript漏洞的在野利用。其中包括CVE-2016-0189、CVE-2018-8373和另一个此前不为人所知的漏洞(我们暂未确定它的cve编号)。这三个漏洞,加上我们在今年4月发现的CVE-2018-8174,一共是4个vbscript在野利用。经过分析,我们发现这4个文件的混淆和利用手法都高度一致,我们怀疑背后有一个写手(或团队),...
A Missed 0day ? - Reveal another Cyber Arsenal of APT-C-06
IntroductionRecently, the Advanced Threat Response Team of 360 Core Security has discovered several VBScript vulnerabilities exploited in the wild, including CVE-2016-0189, CVE-2018-8373 and another p...
Not a fair game, Dice2win公平性分析
Zhiniang Peng from Qihoo 360 Core SecurityDice2win 目前是以太坊上一款异常火爆的区块链博彩游戏。号称“可证明公平的”Dice2win目前每日有近千以太(一百五十万人民币)的下注额,是总交易量仅次于etheroll的第二大以太坊博彩游戏。然而我们分析发现,dice2win中的所有游戏都存在公平性漏洞,庄家可以利用这些漏洞操纵游戏结果。Dice2win...
Not A Fair Game – Fairness Analysis of Dice2win
Zhiniang Peng from Qihoo 360 Core SecurityDice2win is currently an extremely popular blockchain betting game on Ethereum. Known for its "provable fairness", Dice2win currently has a bet of n...