AMD曝光安全漏洞 38分鐘內攻破4096密鑰

AMD曝光安全漏洞 38分鐘內攻破4096密鑰




根據網上的消息可以看到，新型漏洞被命名為SQUIP，由PIC Leak 漏洞研究團隊及奧地利格拉茨科技大學的團隊聯合發現，它跟處理器的SMT多線程架構設計有關，AMD的Zen架構中每個執行單元都有自己的調度程序隊列，就會被SQUIP影響，讓黑客有機會進行側信道進行攻擊、提權。這個漏洞可以讓黑客在38分鐘內攻破RSA-4096 密鑰。

AMD將這個漏洞編號為MD-SB-1039，確認影響的處理器包括Zen1、Zen2及Zen3/3+架構處理器，也就是銳龍2000到銳龍6000在內的桌面版、移動版、服務器版，全家都中招了。

目前該漏洞普遍出現在AMD處理器上，由于Intel的CPU使用了不同的架構，所以不存在這個問題。與AMD CPU架構類似的蘋果的M1處理器架因為不支持SMT多線程也躲過此劫。

幣圈多家機構暫停服務 Hotbit宣布暫停存取款、交易功能

繼安銀（AEX）、虎符（Hoo）之后，又一家虛擬貨幣交易平臺宣布暫停存取款、交易功能，在幣圈掀起風波。

8月11日，加密交易平臺Hotbit發布公告，宣布暫停充提及交易功能，具體恢復時間目前無法確定。

加密交易平臺Hotbit暫停存取款及交易功能

近日，加密交易平臺Hotbit宣布暫停充提及交易功能，具體恢復時間目前無法確定。官方表示，暫停是因為一名4月離職的Hotbit前管理人員去年參與了一個項目，執法部門現在認為該項目涉嫌觸犯刑法。

自7月底以來，Hotbit多位高級管理人員已被執法部門傳喚，正在協助調查。此外，執法部門凍結了Hotbit的部分資金，導致Hotbit無法正常運行。

Hotbit表示，公司及公司管理層其余員工均未參與該項目，對項目涉及的違法信息一無所知。所有用戶的資產在Hotbit上都是安全的，將在資產解凍后立即恢復正常服務。Hotbit正在努力繼續配合并跟進執法部門的調查進展，并將盡快公布調查結果。

公告稱，Hotbit將在資產解凍后立即恢復正常服務。Hotbit上所有用戶的資產和數據都是安全和正確的。

根據另一份公告，Hotbit在暫停服務期間將對用戶資產進行如下處理：服務恢復前，用戶未成交的掛單將被取消為防止持倉造成損失，2022年8月10日北京時間晚上8點前，用戶所有杠桿ETF持倉將被清算，用戶投資產品收益將正常分配，用戶補償方案將在網站恢復時公布。

針對上述情況，有幣圈網友表示，“分散風險很重要，要選擇老平臺才能長久穩定?！边€有人指出，Hotbit的這一公告大概是兇多吉少了。

累計注冊用戶超過200萬

曾遭黑客攻擊

公開資料顯示，Hotbit Global是區塊鏈數字資產國際站，向全球超過210個國家及地區的用戶提供超過450幣種的數字貨幣交易服務，累計注冊用戶超過200萬。Hotbit成立于2018年1月，總部位于香港，深耕俄羅斯、土耳其、東南亞等全球新興市場。

2021年4月，Hotbit曾遭到黑客攻擊，部分服務一度停擺。Hotbit在2021年4月30日公告稱，平臺遭受了嚴重網絡攻擊，導致大量基礎服務癱瘓。同時，攻擊者嘗試黑進Hotbit的錢包，但這一行為被風控系統識別和阻止。

彼時，Hotbit表示，所有資產都是安全的。Hotbit有200多萬用戶與200多個服務器，需要完全重建所有服務器；攻擊者在獲取資產失敗后惡意刪除了用戶數據庫，需要對整體數據進行全面檢查。同時，Hotbit用戶被告知整個調查和恢復的過程大約需要7-14天時間，因為需要大量的時間來分析備份數據，然后才能開始系統恢復過程。

幣圈多家知名機構暫停服務

自5月幣圈“LUNA”項目爆雷后，虛擬貨幣市場總市值蒸發近萬億美元，多家金融機構被曝無法兌付用戶資產，包括三箭資本在內的多家知名機構紛紛暫停服務，走上破產清算的道路。

近日，全球最大的虛擬貨幣借貸平臺Celsius深陷破產危機。Celsius曾在7月披露其破產缺口高達12億美元，負債為55億美元，資產僅為43億美元。并且其中高達47億美元的負債屬于儲戶。

7月25日，幣圈交易所虎符（Hoo）在官網發布《關于虎符債幣轉換方案、合伙人投資及其它業務優化方案》公告。公告稱，虎符將于8月1日起停止所有交易服務，撤銷所有業務狀態，用戶資產轉移至錢包賬戶，同時推出債幣轉換方案與合伙人投資方案，并對金融衍生品合約交易做出優化。

雖然虎符在各平臺表示，將針對多個幣種開放提現，并保證客戶資產不會有任何損失，但多數用戶留言表示，依然提不出來。

7月17日，幣圈老牌交易平臺AEX（安銀）交易所發布公告表示，將于7月17日15:32暫停平臺相關服務。

早在今年6月16日，AEX交易平臺就曾宣布暫停提現。7月14日，AEX再次表示，因為平臺短期流動性問題暫未完全解決，AEX短期內無力兌付提幣需要，所以平臺已經關閉了提幣功能。

事實上，自6月虛擬貨幣貨幣市場暴跌以來，AEX平臺就因LUNA幣近乎歸零陷入流動性危機，彼時已經難以為繼。

AEX在6月發布的公告中表示，因LUNA幣爆雷，AEX合計流出各類資產市值總額達4.5億泰達幣（約合人民幣30億元），快速消耗了短期流動性資產和部分中期資產。AEX目前正面臨超10億美元規模的擠兌。

專家：爆雷事件將接連出現

對此，中國通信工業協會區塊鏈專委會共同主席于佳寧表示，交易所主要承載著法定數字貨幣與加密資產兌換、加密資產互相兌換、為加密資產交易提供信息中介和定價服務，以及加密資產衍生品交易等相關業務活動，在加密資產獲取流動性的過程中扮演著極為重要的角色。

于佳寧表示，目前加密資產市場正處于資金流出、資產價格下行、新興資產大量崩盤、部分交易平臺和機構暴雷的衰退期?！爸挥邢袌雠菽?，讓市場進行價值重估，才能讓真正優秀的項目脫穎而出，帶來新商業模式，重構分配模式、市場結構、組織形態以及產業關系?！庇诩褜幦缡钦f。

北京計算機學會數字經濟專委會秘書長王娟則表示，在拜登簽署數字資產法令之后，加密數字貨幣市場的監管日益密集。原則上來說，交易所是以手續費為重要收入來源的，主要依靠交易量和市場熱度。但是加密數字貨幣市場由于信息披露不充分等原因，交易所本身對市場不止是中介角色，還有很大的市場操縱成份。這造成一旦監管系統化介入，市場不規范性帶來的爆雷事件將接連出現。

加密貨幣頭部交易所營收猛降60%

在多個加密貨幣交易所頻頻宣布暫停交易的同時，頭部交易所的經營情況也令人擔憂。

據華夏時報，8月10日，美國加密貨幣交易所Coinbase Global在Form 10-Q文件中表示，已收到美國證券交易監督委員會(SEC)的調查傳票和要求，內容涉及其上市資產的流程、某些上市資產的分類、質押服務計劃、穩定幣和收益產品等方面。

對于被調查的情況，Coinbase表示：“公司相信，現有法律和監管調查事項的最終解決不會對公司的財務狀況、經營結果或現金流產生重大不利影響?！?br />
該份文件中還公布了Coinbase在2022年第二季度的業務情況，數據顯示，Coinbase第二季度凈營收為8.03億美元，與2021年同期相比下降60%；凈虧損10.94億美元(約合人民幣73.7億元)，而去年同期為盈利16.06億美元。值得注意的是，這是Coinbase連續第二個季度虧損，其數據也創造了五個季度以來的最低水平。

具體來看，Coinbase在交易規模和用戶規模方面也都出現了下滑。數據顯示，二季度平臺每月交易用戶為900萬，較上一季度環比下降2%；總交易額下降至2170億美元，較第一季度環比下降30%。此外，Coinbase平臺資產規模為960億美元，較第一季度末的2560億美元環比下降63%，較去年同期同比下降近50%。

對于Coinbase業績的下滑，于佳寧表示，造成該局面的主要原因就是加密市場正在經歷衰退期，用戶的交易信心和交易量相對之前并不充足。從周期上看，目前全球金融市場都在二季度經歷了大幅度的回調，加密市場勢必也不能幸免。

為降低成本，Coinbase曾在6月14日宣布裁員18%。在本次季報中，Coinbase披露已經裁員約1100人，但截至6月30日，該公司員工仍然有4977名。

面對于接下來加密貨幣的走勢，Coinbase預計今年第三季度的交易量可能更加疲軟，每月平均交易用戶可能降低至700萬-900萬區間。

我國集中整治虛擬貨幣炒作亂象

8月10日，國家網信辦表示，隨著虛擬貨幣的興起，與之相關的投機、炒作、詐騙等活動愈演愈烈，一些網民受投資虛擬貨幣可獲高額回報等虛假宣傳迷惑，盲目參與到相關交易活動中，給自身財產帶來較大損失。

今年以來，國家網信辦貫徹落實黨中央決策部署，高度重視網民舉報線索，多舉措、出重拳清理處置一批宣傳炒作虛擬貨幣的違法違規信息、賬號和網站。按照《關于進一步防范和處置虛擬貨幣交易炒作風險的通知》精神，國家網信辦督促指導主要網站平臺切實落實主體責任，持續保持對虛擬貨幣交易炒作高壓打擊態勢，加大對誘導虛擬貨幣投資等信息內容和賬號自查自糾力度。微博、百度等網站平臺根據用戶協議，關閉@ICE暴雪創始人、@幣圈爆爺等1.2萬個違規用戶賬號，清理“投資比特幣輕松賺錢”等違規信息5.1萬余條。

國家網信辦加強督導檢查，對打著“金融創新”“區塊鏈”的旗號，誘導網民進行“虛擬貨幣”“虛擬資產”“數字資產”投資的@飛哥的故事江湖、@絕對盤感比特幣等989個微博、貼吧賬號和微信公眾號依法予以關閉。此外，指導地方網信部門約談涉虛擬貨幣宣傳炒作的“鏈節點”、“創投圈”等經營主體500余家次，要求全面清理宣傳炒作虛擬貨幣交易的信息內容。對專門為虛擬貨幣營銷鼓吹、發布教程講解跨境炒幣、虛擬貨幣“挖礦”的“幣頭條”等105家網站平臺，國家網信辦會同相關部門依法予以關閉。

下一步，國家網信辦將繼續會同相關部門，加強對虛擬貨幣相關非法金融活動的打擊力度，依法保護人民群眾財產安全。提醒廣大網民樹立正確投資理念，增強風險防范意識，不參與虛擬貨幣交易炒作活動，謹防個人財產受損。

萬臺VNC服務器毫無防護暴露在互聯網上

安全研究員發現近萬臺VNC（虛擬網絡計算）節點暴露在互聯網上，而且不需要身份驗證，存在極大安全隱患。

經過簡單的篩查分析，大部分節點位于中國、瑞典、美國、巴西和西班牙，占了此次數據的一半左右。不少節點內部網絡屬于水處理設施等工控系統，別說沒身份驗證了，暴露在互聯網上就不應該，企業和機構需要立即著手自查自家資產中的VNC設備，排除安全隱患。

此次報告還有統計，平均每個月針對VNC默認端口有超過600萬次攻擊，攻擊地址多為荷蘭、美國和俄羅斯，算是揭開了VNC攻擊與防護的冰山一角。