月亮链 月亮链
Ctrl+D收藏月亮链

OTC:“tradeRifle”安全漏洞细节披露,可能导致用户在交易所内的资产被盗_THE

作者:

时间:1900/1/1 0:00:00

编者按:本文来自PeckShield,星球日报经授权转载。

7月4日晚间,区块链安全公司PeckShield发出安全警告称:发现某个数字货币交易所提供的场外OTC平台存在名为“tradeRifle”的安全漏洞,攻击者可利用此漏洞介入数字货币交易流程,窃取平台用户的数字资产,给用户和交易所带来严重的安全威胁。7月5日午时,火币网官方发出公告称,火币接到安全机构PeckShield发出的名为“tradeRifle”的场外交易平台漏洞报告,火币安全团队已经完成对该漏洞的紧急修补,未对火币场外交易平台的运行及用户资产安全造成影响。现如今,数字货币交易所在区块链金融交易体系中扮演着极为重要的角色,OTC交易所提供一种更简单的法币与数字货币之间的线下交易方式,但正因为如此,线下交易存在的安全风险也会更大。PeckShield通过对多个顶级OTC交易所的分析,发现其中火币OTC移动端存在一种“中间人攻击”的安全漏洞,我们将之命名为“tradeRifle”,具体表现为:一、攻击者可以窃取买家/卖家敏感交易信息,修改并重放数据报文来模拟发出特权指令;二、攻击者可以通过中间人攻击的方式伪造商家银行账号给已下单的买家,以取本用于支付订单的法币。

Ripple与FLUF World达成合作,将通过The Root Network开启“The Open Metaverse”:6月17日消息,Ripple与NFT公司FLUF World达成合作,将通过The Root Network开启“The Open Metaverse”。The Root Network基于XRPL构建,XRPL将通过为NFT功能设置标准,并利用XRP作为The Root Network多代币gas经济中交易活动的默认数字资产,在该网络中发挥关键作用。(Business Wire)[2022/6/17 4:35:46]

在披露详细攻击细节前,值得一提的是,我们在7月4日发出漏洞预警后,火币网安全团队迅速做出回应,并在我们的技术支持下迅速修复了此漏洞,并未给用户带来直接损失。“tradeRifle”攻击细节:如图1所示,正常OTC交易流程,买家需要发起三个连续请求给OTC服务器以创建订单并获取卖家信息,之后买家可给卖家银行账户转账。支付操作完成买家再向OTC服务器发送付款成功通知并由服务器转发给卖家。卖家收到通知,确认法币到账后释放数字货币给买家,至此一笔买币交易流程结束。

腾讯音乐人首批“TME数字藏品”即将上链:8月13日,腾讯音乐娱乐集团(TME)旗下腾讯音乐人今日宣布,将联合张楚、周传雄、莫西子诗、肖全、张尕怂、一棵小葱等音乐人和艺术家,于近期推出首批“TME数字藏品”。“TME数字藏品”是TME在今年8月初推出的一种基于区块链技术的创新型电子收藏品,包括视频/语音、黑胶唱片、明星周边等,与实体专辑、手幅等实物一样具有收藏价值,且数字藏品种类更丰富,数量更稀缺,相比真假难鉴别、权利难证明的传统藏品也更加真实可信。(techweb)[2021/8/13 1:52:35]

然而,图1中所有数据传输都是通过http而不是安全协议https实现,通讯过程很容易受到中间人攻击和重放攻击。举例来说,如图1中所示的BankInfo请求报文部分,可以发起中间人攻击篡改银行卡信息,使买家在以为在给商家转账时却将法币转入攻击者账号而无法获得数字货币。

韩国“Tobesoft”公司将为虚拟货币交易所提供安全的交易环境:3月8日,韩国排名第一的用户界面和用户体验(UI/UX)解决方案公司“Tobesoft”表示,将向韩国两个代表性的虚拟货币交易所提供区块链和金融科技技术,同时也宣称正在区块链领域迅速扩展事业版图。据悉,“Tobesoft”为了向韩国虚拟货币交易所提供安全的交易环境,正在整顿安全、认证、清算等系统。[2018/3/8]

图3显示了买家发送的http请求,用于在攻击测试中查询卖家的银行信息。

图4是JSON格式的数据查询结果。

由于OTC服务使用的是http明文协议,攻击者可以很容易篡改服务端返回的银行帐户信息。另一种是重放攻击,攻击者可通过此攻击对卖家直接造成严重的数据资产损失。下面我们继续介绍它的工作原理。先通过通过窃听一个卖家确认放币的操作,攻击者可以获取卖家的Token和密码。

此后攻击者可以对该受害者卖家进行另一笔交易,攻击者可以自己释放受害者卖家在售的所有数字货币资产。

(图6:冒充卖家的重放攻击)

标签:OTC数字货币THEWOROTCBTC Token央行数字货币是真是假Shinji the Zombie SlayerElfworld

火币网下载官方app热门资讯
区块链:小米发布新品,用区块链产品“米粒”对用户进行奖励_加密货币

昨天,在小米金山云2018智能加速网络发布会上,小米发布了2B的米路通平台和2C的小米WiFi链,用户可以获取“米粒”作为奖励.

1900/1/1 0:00:00
比特币:比特币市值变化:从66%到33%,再逆袭_KKT

加密货币市场正在回暖。在经历了7个月的熊市后,7月24日,比特币自5月22日以来的首次突破8000美元大关。但不仅比特币开始重返牛市,比特币市值也重新占据了主导地位.

1900/1/1 0:00:00
JEX:前OK核心团队创立衍生品交易所「JEX」,认为期权产品能帮用户在熊市赚钱_WCOIN价格

币市正熊,韭菜后继无力,各家都在寻找新的赚钱方式,包括高频交易或波段操作,利用中短线波动赚钱;还有通过借出代币赚取相对稳定的固定收益等.

1900/1/1 0:00:00
OPERA:如何阻止黑客偷偷用你的电脑和手机挖矿?_ERA

编者按:本文来自CSDN,作者:NitanshRastogi,星球日报经授权转载。利用电脑和智能手机来挖矿,这个过程又称作“偷矿”,黑客会在你毫不知情的情况下利用你的处理器并消耗很多额外电量.

1900/1/1 0:00:00
区块链:区块链日报 | 区块链基金年亏损近50%?;上交所发研报探讨证券+区块链;BTC交易中心转至日本_玩区块链的都是什么人

头条区块链和加密货币基金2018年已亏损近50%根据美国对冲基金数据研究机构报告,区块链和加密货币基金自2018年初以来已经亏损了近50%.

1900/1/1 0:00:00
区块链:继网易、百度、京东后,苏宁正式上线区块链产品“星际家园”_ILY

8月8日,苏宁推出的区块链产品“星际家园”正式上线。据介绍,这是一款基于区块链技术的产品,通过场景整合方式,搭建家园商业模式,实现数据、流量变现.

1900/1/1 0:00:00