騰訊安全玄武實驗室披露多個區塊鏈安全漏洞報告

區塊鏈安全持續引發關注。就在前不久，國家資訊保安漏洞庫（CNVD）和區塊鏈漏洞子庫（CNVD-BC）同時收錄了騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞，其中多個被評級為“高危”漏洞。

其中，“波場（TRON）遠端程式碼執行漏洞”獲得了CNVD危害評分最高分10分（TRON市值為291億人民幣2021-07-08）。在該遠端程式碼執行漏洞中，玄武實驗室發現，TRON透過舊版本的fastjson 庫(1.2.60)對HTTP請求進行反序列化解析，可以實現對開啟了HTTP 服務的TRON 節點的遠端程式碼執行攻擊，進而遠端控制服務節點，安裝並執行任意惡意程式碼。玄武實驗室在本地搭建的環境中發現，攻擊者可以透過該漏洞進一步劫持所有連線到被攻擊 HTTP 節點的瀏覽器外掛錢包、DApp、以及第三方錢包的轉賬功能，竊取使用者所轉賬的虛擬貨幣。

 

  

（玄武實驗室演示攻擊者對受害者轉賬進行劫持畫面）

 

另一個區塊鏈底層智慧合約虛擬機器漏洞“NEO現網拒絕服務”（NEO市值為159億人民幣2021-07-08），則是由於智慧合約虛擬機器因整數溢位導致的拒絕服務漏洞。利用該漏洞，攻擊者只需要極小的攻擊成本即可癱瘓整個NEO平臺。由於區塊鏈平臺是其上眾多應用的基礎設施，所以與傳統漏洞有所不同，拒絕服務類漏洞會同時波及上層應用，導致比較嚴重的攻擊後果。

玄武實驗室已於數月前就向受影響的波場（TRON）、NEO等區塊鏈平臺提交了詳細報告漏洞，以幫助平臺儘快修復安全問題。

區塊鏈是多項資訊科技的組合創新，具有去中心化、防篡改、透明可追溯、方便建立信用等特點，已經在數字政務、公益、版權保護、食藥溯源等多個領域有了規模化應用。中國正在加快佈局區塊鏈技術發展，“十四五”規劃也將區塊鏈納入新興數字產業之一。6月，工業和資訊化部、中央網路安全和資訊化委員會辦公室聯合釋出《關於加快推動區塊鏈技術應用和產業發展的指導意見》提出，到2025年，區塊鏈產業綜合實力達到世界先進水平，產業初具規模。

區塊鏈融合了分散式網路、加密技術、智慧合約等多種技術，整體發展尚未完全成熟。騰訊安全玄武實驗室負責人於暘表示：區塊鏈技術得益於分散式系統的高可用性與密碼學的高一致性，其本身具備的穩定、可信等技術特點使得區塊鏈技術天生具備長遠發展的基礎；但由於在設計上儘可能排除了人的影響，完全依賴技術所實現的信任鏈，這就使得區塊鏈技術的安全比其它IT技術的安全要更加重要，需要格外重視。玄武實驗室在對區塊鏈的網路層、合約層、應用層等不同層面進行的研究中，都曾發現過安全問題。

騰訊安全玄武實驗室素有“漏洞挖掘機”之稱，成立七年來，發現的安全漏洞中僅有CVE編號的就達上千個，其中區塊鏈相關漏洞超過一百個。在產業網際網路時代，5G、AI、物聯網、工業網際網路等新興技術的大量應用帶來新的安全問題，作為行業領先的安全研究機構，玄武實驗室也針對這些新技術及其應用展開研究，並逐步向行業輸出安全能力。去年，玄武實驗室釋出了一項針對5G通訊協議側通道攻擊的漏洞，在通訊行業引起廣泛影響。

未來，騰訊安全還將持續開放安全能力，踐行“安全前置”理念，助力區塊鏈新型基礎設施建設，以技術支撐產業，全力護航產業安全和使用者安全。