降维安全

降维安全简介

降维安全实验室 JohnWick Lab 由百度安全、360 企业安全、看雪研究院等国内著名安全团队的核心成员创立。曾为微软、Google、360、腾讯、Facebook 等互联网独角兽公司输出安全能力，旨在打造区块链最全面、最有深度的服务解决方案，为区块链生态安全保驾护航。公司秉持「知攻击，善防守」的核心理念，围绕区块链生态环境，提供深度渗透测试、智能合约审计、整体安全解决方案、第三方监控预警、威胁情报输出等服务。

由降维安全实验室核心成员领队，模拟真实攻击环境，对合作企业提供全方位、深层次的安全漏洞检测服务，旨在第一时间发现企业应用中存在的安全漏洞。

智能合约审计服务以业内知名安全专家团队人工审计为核心，结合降维安全实验室开发的 Autoaudit For Smart Contract 智能合约审计辅助工具，可有效提升审计覆盖度和准确率，全方位检测智能合约代码中存在的问题。

为有效降低交易所数字资产被盗风险，我们为交易所提供定制化的安全整体解决方案。从区块链生态的攻击链入手，在攻击发生前、中、后三个关键环节来进行预判、报警、溯源。

依靠对真实攻击过程的技术回溯还原完整攻击过程，与业内合作伙伴进行威胁情报共享以及攻击者网络画像。帮助企业进行法律证据固定及找回丢失资产。

【分析 | 某交易所客户疑因账号敏感信息泄露损失9万人民币】降维安全实验室（johnwick.io）了解到有用户反映在某知名交易所出现异常交易。该用户账号在9月2日早7：50至9：30之间出现共19笔异常交易，主要为EDO/ETH，LEV/BTC交易对的高抛低吸操作。该操作并非本人所为，共计损失人民币9万元，期间没有提现操作，该用户怀疑是API秘钥对泄露导致。如有用户遭遇类似情况，请联系降维安全实验室，我们将竭诚为您提供帮助。

【独家 | Chrome扩展被植入窃密代码 降维发布数字货币威胁预警】降维安全实验室观测到有未知攻击者向Google官方扩展商店上传了文件共享服务MEGA的一个木马版本version3.39.4，该恶意代码可以窃取amazon、live、github和google以及myetherwallet、mymonero、idex market 等网站的登录凭证和钱包私钥。MEGA在4个小时后释出了干净的扩展版本version3.39.5。 降维安全提示：如果在9月4日22时30分到次日2时30分期间安装了MEGA Chrome扩展3.39.4版本，请重置相关网站的密码并升级到3.39.5版本。需要了解更多详细的攻击信息可以联系降维安全。

【分析 | XSS漏洞修复方式存在缺陷 降维发布二次预警】降维安全近日曾发布有关XSS tradingview dom-xss漏洞预警，通过白细胞安全社区了解到仍有大量数字资产金融服务商tradingview dom-xss修复方式存在缺陷导致可被继续利用。目前已有部分表示早已完成修复的交易所但因为该漏洞修复不正确而导致用户权限被盗事件发生。

【动态 | 某钓鱼工单系统持续对交易所用户进行攻击】据降维安全实验室（johnwick.io）消息，有攻击者长期潜伏在各大交易所的电报群，一旦发现用户有需求寻找官方客服，会立马伪装成官方客服与用户私聊，引导用户通过伪造的工单系统来处理问题，来获取小白用户的账户及密码，甚至是邮箱、GA权限，从而盗取用户资产，币安OK等交易所均受影响，已有用户丢币事件发生，请广大用户提高安全意识，同时更多攻击细节及技术分析已经通过白细胞安全社区（white.io）预警。

标签：降维安全

官方信息

• 

  Facebook

• 

  Twitter

• 

  微博

• 

  YouTube