全球超过980多家交易所高危漏洞导致500多亿价值数字资产受威胁!
全球超过980多家交易所高危漏洞导致500多亿价值数字资产受威胁!
近日,GENOCIDE安全团队联合LIJIA安全实验室,通过后台实验室服务器蜜罐捕捉到了交易所的漏洞,起因是由于第三方交易所代码源码泄露而导致的一些漏洞被发掘:
漏洞介绍
一、使用诸如BURP等工具进行攻击
当前市面上,99%的交易所都会使用第三方WAF或是CDN进行保护与流量防攻击。大部分都存在邮箱或是手机号码确验证码找回的漏洞,包括提现验证码的安全风险。攻击者可以使用诸如BURP等工具进行抓包重放,能过字典进行暴破
二、拿到RPC权限控制代币
一些山寨币或BITCOIN系的币种,一般都会用RPC接口进行通过,攻击者可以通过接入API我进行RPC帐号密码暴破,实验室环境进行测试发现:80%rpC 接口存在弱口令,如果拿到RPC权限后就可以完全控制代币
三、修改POST值
主流的一些交易所使用JSON通信,然而经过测试,在JSON通过过程中,通过修改POST值,可以暴出交易所的用户名
而最可怕的一点是,只要黑客能登录,根本不需要提币的操作,就能将账号里的数字货币洗劫一空:只需要找个小币种,进行"高买低卖"。
交易所是资金安全重地,用户应该设置独立的账号和密码,它们不和其他任何地方的账号密码相同或相似。
此外,也可以启用"谷歌验证"的安全手段进行保护。
目前,几乎所有交易所的用户名和密码,都在黑市出现过,但暂时无法核实数据真假。
未来的攻防大战,都将集中在数字货币领域。
而交易所,正在成为黑客眼中最重要的淘金地……
分享到:
閱讀更多 網絡安全焦點 的文章
