链资讯 链资讯
Ctrl+D收藏链资讯

OTC:“tradeRifle”安全漏洞细节披露,可能导致用户在交易所内的资产被盗_数字货币

作者:

时间:

编者按:本文来自PeckShield,星球日报经授权转载。

7月4日晚间,区块链安全公司PeckShield发出安全警告称:发现某个数字货币交易所提供的场外OTC平台存在名为“tradeRifle”的安全漏洞,攻击者可利用此漏洞介入数字货币交易流程,窃取平台用户的数字资产,给用户和交易所带来严重的安全威胁。7月5日午时,火币网官方发出公告称,火币接到安全机构PeckShield发出的名为“tradeRifle”的场外交易平台漏洞报告,火币安全团队已经完成对该漏洞的紧急修补,未对火币场外交易平台的运行及用户资产安全造成影响。现如今,数字货币交易所在区块链金融交易体系中扮演着极为重要的角色,OTC交易所提供一种更简单的法币与数字货币之间的线下交易方式,但正因为如此,线下交易存在的安全风险也会更大。PeckShield通过对多个顶级OTC交易所的分析,发现其中火币OTC移动端存在一种“中间人攻击”的安全漏洞,我们将之命名为“tradeRifle”,具体表现为:一、攻击者可以窃取买家/卖家敏感交易信息,修改并重放数据报文来模拟发出特权指令;二、攻击者可以通过中间人攻击的方式伪造商家银行账号给已下单的买家,以取本用于支付订单的法币。

Lens Protocol发布名为“Token Gated Publications”的新功能:1月11日消息,去中心化社交媒体协议 Lens 发布了一项名为“Token Gated Publications”的新功能。该功能旨在让创作者向在加密钱包中持有某些代币的成员提供内容访问权限。Token Gated 内容可通过 Lens 的应用程序编程接口 (API) 获得。它由 LIT 协议提供支持——一种加密机制,可让作者和出版商安全地加密其内容并控制对其的访问。[2023/1/11 11:06:55]

在披露详细攻击细节前,值得一提的是,我们在7月4日发出漏洞预警后,火币网安全团队迅速做出回应,并在我们的技术支持下迅速修复了此漏洞,并未给用户带来直接损失。“tradeRifle”攻击细节:如图1所示,正常OTC交易流程,买家需要发起三个连续请求给OTC服务器以创建订单并获取卖家信息,之后买家可给卖家银行账户转账。支付操作完成买家再向OTC服务器发送付款成功通知并由服务器转发给卖家。卖家收到通知,确认法币到账后释放数字货币给买家,至此一笔买币交易流程结束。

Twitter正在为NFT启动“Tweet Tiles”功能:金色财经报道,Twitter正在与OpenSea、Rarible、Magic Eden、Dapper Labs等合作,为NFT启动一项“Tweet Tiles”的功能,使开发人员和收藏家能够通过创建以移动为中心的帖子和增强的视觉显示来扩展NFT体验,并且嵌入“Call to Action”按钮以促进销售。[2022/10/21 16:34:28]

然而,图1中所有数据传输都是通过http而不是安全协议https实现,通讯过程很容易受到中间人攻击和重放攻击。举例来说,如图1中所示的BankInfo请求报文部分,可以发起中间人攻击篡改银行卡信息,使买家在以为在给商家转账时却将法币转入攻击者账号而无法获得数字货币。

Fei Protocol在Immunefi上推出针对“TRIBE Buybacks”的特殊漏洞赏金计划:10月20日消息,算法稳定币项目Fei Protocol在Immunefi上推出特殊漏洞赏金计划,专注于TRIBE Buybacks发行前阶段。与他们的主要漏洞赏金计划不同,该特殊计划对高危漏洞的赏金高达5万美元,对关键漏洞的赏金高达20万美元。这是一个有时间限制的漏洞赏金计划,有效期至2021年11月2日23:59:59(UTC时间)。[2021/10/20 20:42:55]

图3显示了买家发送的http请求,用于在攻击测试中查询卖家的银行信息。

图4是JSON格式的数据查询结果。

由于OTC服务使用的是http明文协议,攻击者可以很容易篡改服务端返回的银行帐户信息。另一种是重放攻击,攻击者可通过此攻击对卖家直接造成严重的数据资产损失。下面我们继续介绍它的工作原理。先通过通过窃听一个卖家确认放币的操作,攻击者可以获取卖家的Token和密码。

此后攻击者可以对该受害者卖家进行另一笔交易,攻击者可以自己释放受害者卖家在售的所有数字货币资产。

(图6:冒充卖家的重放攻击)

标签:OTC数字货币SHISHIELDhotcoinglobal交易所在中国有备案吗加密货币和数字货币的区别RSHIBTenzShield

比特币行情热门资讯
区块链:星球日报 | 上半年区块链因安全问题损失超27亿美元;谷歌与区块链BaaS平台公司合作;星巴克称不会接受数字资产支付_COI

头条 报告:上半年区块链因安全问题损失超27亿美元据腾讯安全联合知道创宇近日发布的《2018上半年区块链安全报告》显示.

加密货币:ING报告:未来,欧洲和美国的加密货币持有者将增加一倍_数字货币

据CCN报道,荷兰国际集团的研究报告显示,尽管目前比特币和其它加密货币的价格,仍徘徊在低点,但是美国和欧洲的人们,对这一新兴技术的很有兴趣,持有加密数字货币的人,有可能在未来增加一倍以上.

加密货币:美国数字平台架构服务提供商Clear Markets获900万美元风险投资,欲进军加密衍生品市场_ELD

总部位于美国北卡罗来纳州夏洛特市的数字平台架构服务提供商ClearMarkets宣布完成了一笔900万美元的风险投资,投资方为日本金融服务巨头SBIHoldings.

区块链:区块链日报 | 约3619份以太坊合约存漏洞;火币、OK成韩国首批过审数字货币交易所;加密货币总市值跌至月度最低_加密货币是钱吗

头条 慢雾区:约3619份以太坊代币合约存在“假充值”漏洞风险据慢雾区不完全统计,有3619份存在“假充值”漏洞风险,其中不乏知名代币。由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击.

区块链:哪些中国上市公司最懂区块链?纳斯达克首支中国区块链ETF揭开秘密_kucoin交易平台app下载

本文来自:链闻ChainNews,作者:链闻,星球日报经授权转发。今年春天,总部位于美国圣迭戈的资产管理公司RealityShares,计划推出一支专门投资于中国的区块链相关上市公司的ETF产品.

加密货币:日本加密币税率或从最高55%降至一律20%,减税=利好吗?_小硬币历险记300

6月25日,日本参议院在一次会议上谈及,加密货币税目是否应从现在的“杂项收入”改为“申报单独征税”,也就是将投资所得按15%-55%不等的累进税改为统一固定税率20%.