龐博文 - 智能合約攻擊方法（二）｜暗網潛航

最近我與團隊開展安全監控中心及漏洞研究隊伍，對一些NFT項目進行安全監控。過程中發現及制止不少攻擊行為，因此整理八種智能合約威脅，將分幾期與大家分享。這些威脅大部份是因編寫智能合約與鑄幣程序時，其程序邏輯混亂和配置錯誤而引起。它們可分為惡意行為（Malicious Acts）、弱協議（Weak Protocol）、令牌詐騙（Token d...

詳細

最近我其中一個技術服務團隊接獲數個NFT項目，由於這些項目比較新穎有趣，所以我也參與在不同層面當中，甚至開了一個網絡安全的頻道，每天抽時間回答各類訊息安全問題。我亦趁機遊走不同NFT項目的Discord社群，查看項目的路線圖及鑄幣網站，觀察社群發展和技術。這段時間，我觀察到加入Discord購買NFT的一般使用者，對訊息安全的認知非常參差...

詳細

很多Discord使用者都會開啟伺服器功能，透過建立社群和頻道聚集同好，然而不時會發生被攻擊、盜取帳號、霸佔伺服器的事情發生。今期與大家分享Discord伺服器管理員應該注意的安全事項。不論是伺服器管理員或使用者，都需要注意上期提到的2FA認證、避免開啟不明連結等事項。此外，由於使用者的安全水平及加入社群的目的也不同，不管是公開或私人的社...

詳細

近年通訊軟件Discord發展迅速，由最初僅活躍於網上遊戲群組，發展至今天的NFT虛擬資產買賣，成為討論及投票用的社群。由今期起我會分享一些在Discord的安全事項，而今次我會先針對一般使用者。在使用任何即時通訊軟件前，使用者都要將其手機系統更新到最新版本，以及不要胡亂下載來歷不明的盜版App。如果手機本身不安全，不管如何防禦都一定出事...

詳細

這個學期我正在教授與Hacking有關課程，當中涉及一個比較技術性的軟件編碼攻擊方法。在課堂上為了讓學生有更好練習環境，我在網絡上設置兩個真實的目標進行模擬攻擊，期間有學生在練習時遇上reCAPTCHA阻擋攻擊程序。一直以來，為了保護網絡程式，我們都一定會設置reCAPTCHA來阻擋自動化機械人，因為網絡程式本來就是設計給人類使用，如果讓...

詳細

烏俄戰爭日趨激烈，除了傳統上的武器對抗，雙方都開始投入各種形式的信息戰。其中一種最令信息安全專家關注的莫過於DDoS攻擊，相信大部份讀者對於DDoS攻擊不會感到陌生。我也在之前的文章上分享過各種不同的攻擊手法，但這次最令人驚訝的，就是出現一個在去年8月出版的學術論文中所提出的概念「反射式DDoS」。這種新型反射式攻擊手法，利用大部份網絡安...

詳細

教宗方濟各對烏俄戰爭發表的言論令我非常感慨，他說：「那些開戰的人忘記人性⋯⋯他們輕信武器窮凶極惡又道德淪喪的邏輯⋯⋯在任何一場衝突中，真正的受害者都是百姓。」這番說話完全勾起我20多年來在信息安全行業裏的所見所聞，由以往只是小偷小盜的安全漏洞，慢慢演變成被利用在信息戰爭中，而且「戰爭」幾乎每天都在上演。例如，幾年前出現由收藏在美國國家安全...

詳細

上期提到買賣NFT要小心，言猶在耳，OpenSea就出事了。有人透過冒稱NFT交易平台OpenSea，誘騙使用者點擊惡意的釣魚連結，結果逾30名用戶簽署了來自攻擊者的惡意交易，令其加密資產遭受轉移。被當成目標的大部份都是無聊猿、Cool Cats等價值較高的加密資產。這些遭受惡意轉移的資產馬上被攻擊者在Rarible及Looksrare等...

詳細

最近半年NFT的販賣市場呈爆炸式增長，購買NFT的市民日漸增加，而販賣NFT的公司和團隊也如雨後春筍般湧現。有部份團隊的銷售方法、產品、路線圖、市場推廣甚至區塊鏈使用技術都是千奇百怪。對於他們是否了解去中心化和加密技術，我仍感到疑惑。對此笑話，只要心臟稍弱都會有機會被他們嚇死或氣死。自從早前出現「魷魚幣騙局」後，與NFT有關的「天仙局」開...

詳細

隨着智慧城市技術逐漸普及，資訊安全教育相信會是未來的發展重點。而在黑客攻擊技術上，最令我印象深刻的一定是以色列網絡情報公司NSO Group，利用間諜軟件「飛馬」攻擊iPhone，其技巧高超令我甘拜下風。飛馬高超之處在於不倚靠任何腳本引擎，單憑一次性遠距代碼執行，就可以利用古老的單次漏洞建立監控管道，成功遠距離操作咪高風、鏡頭、蒐集用戶訊...

詳細