腾讯安全玄武实验室披露波场和NEO区块链安全漏洞报告

【腾讯安全玄武实验室披露波场和NEO区块链安全漏洞报告】据国家信息安全漏洞库（CNVD）和区块链漏洞子库（CNVD-BC）消息，腾讯安全玄武实验室提交的多个区块链相关安全漏洞已被收录，其中「波场（TRON）远程代码执行漏洞」获得CNVD危害评分最高分10分，玄武实验室发现TRON通过旧版本的fastjson 库(1.2.60)对 HTTP请求进行反序列化解析，可以实现对开启了HTTP 服务的TRON 节点的远程代码执行攻击，进而远程控制服务节点，安装并执行任意恶意代码。玄武实验室在本地搭建的环境中发现，攻击者可以通过该漏洞进一步劫持所有连接到被攻击 HTTP 节点的浏览器插件钱包、DApp、以及第三方钱包的转账功能，窃取用户所转账的虚拟货币。 另一个区块链底层智能合约虚拟机漏洞“NEO现网拒绝服务” 是由于智能合约虚拟机因整数溢出导致的拒绝服务漏洞，攻击者只需要极小的攻击成本即可瘫痪整个NEO平台。据悉，玄武实验室已于数月前就向受影响的波场（TRON）、NEO等区块链平台提交了详细报告漏洞，以帮助平台尽快修复安全问题。