LayerZero CEO否认漏洞传闻:所指应用配置并非漏洞,而是协议设计的一部分

LayerZero CEO否认漏洞传闻:所指应用配置并非漏洞,而是协议设计的一部分 PANews 7月1日消息,关于“LayerZero疑出现严重漏洞”一闻,LayerZero Labs联合创始人兼首席执行官Bryan Pellegrino在X平台回应称:“这一指控完全是毫无根据的。首先,提到的代码是2022年推送的,且均属于应用配置而非协议配置。有效负载大小限制是应用安全配置的一部分,用于设置DVNs。即便在最新版本中,应用程序也可覆盖此限制。若应用程序无法覆盖该配置,LayerZero可以通过将‘有效负载限制’设为0来阻止应用消息传递,但这与协议设计原则相悖。” 他进一步指出:“如之前回应所述,通过分叉并测试来验证这一漏洞是行不通的。若真能实现,那也只是某个应用程序的特殊设置,类似于以太坊上某些应用编写错误的合约配置。这并非漏洞,而是协议设计的一部分。任何将此类配置铭刻在协议中的消息传递协议,都应具备审查任何应用程序的能力。两者紧密相连,不可分割。”LayerZero… (点击链接阅读全文)

相关推荐

封面图片

【A16z和红杉为何青睐LayerZero Labs?】FTX Ventures与红杉、a16z共同领投了LayerZero L

【A16z和红杉为何青睐LayerZero Labs?】FTX Ventures与红杉、a16z共同领投了LayerZero Labs的1.35亿美元A+轮融资。该公司正在开发一项协议,旨在连接多个区块链的去中心化应用程序。 #抽屉IT
封面图片

微软被发现重大漏洞,黑客能够改变 Bing 搜索结果和主页内容,并且能够读取 Office 365 用户的数据

微软被发现重大漏洞,黑客能够改变 Bing 搜索结果和主页内容,并且能够读取 Office 365 用户的数据 Wiz Research 在 Azure Active Directory 中发现了一种新的攻击媒介,它会将配置错误的应用程序暴露给未经授权的访问。 我们(指 Wiz Research )发现了几个具有高影响力且易受攻击的 Microsoft 应用程序。其中一个应用程序是内容管理系统 (CMS),它为 提供支持,使我们不仅可以修改搜索结果,还可以对 Bing 用户发起高影响 XSS 攻击。这些攻击可能会损害用户的个人数据,包括 Outlook 电子邮件和 SharePoint 文档。 在这篇中,我们将展示 Microsoft 本身如何成为 AAD 配置挑战的牺牲品,并无意中将内部应用程序暴露给外部攻击者。这些应用程序允许我们查看和更改各种类型的敏感 Microsoft 数据。在一个特定案例中,我们能够操纵上的搜索结果并对 Bing 用户执行 XSS 攻击,从而可能暴露客户的 Office 365 数据,例如电子邮件、聊天和文档。此博客还将提供有关错误配置的详细信息,以及如何在您的环境中检测和缓解它们。
封面图片

谷歌公司增加了一个新的漏洞奖励计划(Mobile VRP),重点关注由谷歌开发或维护的第一方 Android 应用程序。

谷歌公司增加了一个新的漏洞奖励计划(Mobile VRP),重点关注由谷歌开发或维护的第一方 Android 应用程序。 披露影响由谷歌开发或维护的Android应用程序的合格漏洞的安全研究人员,可以根据漏洞类型、漏洞可被利用的场景以及受影响应用的重要程度获得奖励。 来源:
封面图片

【Inverse Finance再次遭受闪电贷漏洞攻击】

【Inverse Finance再次遭受闪电贷漏洞攻击】 Inverse Finance 再次遭受闪电贷漏洞攻击,攻击者利用 Tether (USDT) 和 Wrapped Bitcoin (WBTC) 窃取了 126 万美元。 最新的利用通过使用闪电贷款来操纵协议货币市场应用程序使用的流动性提供者 (LP) 代币的价格预言。这使得攻击者可以借用比他们发布的抵押品数量更多的协议稳定币DOLA,让他们将差额收入囊中。 金色财经此前报道,Inverse Finance遭遇攻击损失4,300枚ETH,约合1496万美元。
封面图片

代理软件 Tun模式 和 系统 的区别

代理软件 Tun模式 和 系统代理 的区别 系统代理模式工作在应用层,通过操作系统设置指定代理服务器,依赖应用程序是否支持系统代理设置。适用于只需为特定应用配置代理的场景,配置简单,资源消耗较小,但可能不适用于所有应用程序,尤其是使用自定义协议的应用。 TUN模式通过虚拟网络设备在传输层捕获和转发网络流量,适用于需要全局代理的场景,能处理几乎所有网络流量,不受应用程序支持限制。虽配置复杂且对系统性能有一定影响,但提供稳定全面的代理服务,适合确保所有网络流量都通过代理服务器。
封面图片

媒体关注后 苹果公司承诺修复长期被忽视的家长控制漏洞

媒体关注后 苹果公司承诺修复长期被忽视的家长控制漏洞 斯特恩在一篇关于"屏幕时间"的报道中说,她可以在儿子的iPad 上使用一串字符,绕过防止访问色情、暴力图片等网站的限制。她可以在运行 iOS 和 iPadOS 15、16 和 17 以及macOS Sonoma 的设备上绕过"屏幕时间"。苹果公司在给斯特恩的一份声明中说,它意识到"开发人员的底层网络技术协议存在问题,允许用户绕过网络内容限制"。苹果计划在"下一次软件更新"中修复该问题。接受 Stern 采访的安全研究人员表示,该漏洞最早是在 2021 年 3 月报告给苹果公司的,当时发现输入一串字符就可以绕过家长实施的网站限制和公司设备上的网络黑名单。黑客可以绕过 iPhone、iPad 和 Mac 上的限制。苹果公司告诉研究人员这不是一个安全问题,并指示他们使用反馈工具提交报告。报告提交后,苹果公司没有任何回复。研究人员试图重新向苹果公司提交该漏洞,但没有得到任何回复。苹果公司在长达三年的时间里一直忽视了这个问题,直到有人联系到 Stern 并公布了这个问题。由于发现该问题的两名安全研究人员从未分享过该解决方法,因此该解决方法似乎并不为人所知,也未被广泛利用。除了承诺修复外,苹果还表示将致力于改进接收和升级错误报告的流程。斯特恩的报告强调了"屏幕时间"的其他几个错误,包括应用程序限制、"屏幕时间"使用图表、更多时间通知和"要求购买"等问题。苹果在 iOS 17.5 中改进了"屏幕时间",对应用程序和设备使用跟踪、应用程序限制和时间请求进行了修复,但该公司表示在即将发布的软件版本中还会有更多更新。 ... PC版: 手机版:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人