区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > UNI > 正文

RAD:“tradeRifle”安全漏洞细节披露,可能导致用户在交易所内的资产被盗_DERI

作者:

时间:

编者按:本文来自PeckShield,星球日报经授权转载。

7月4日晚间,区块链安全公司PeckShield发出安全警告称:发现某个数字货币交易所提供的场外OTC平台存在名为“tradeRifle”的安全漏洞,攻击者可利用此漏洞介入数字货币交易流程,窃取平台用户的数字资产,给用户和交易所带来严重的安全威胁。7月5日午时,火币网官方发出公告称,火币接到安全机构PeckShield发出的名为“tradeRifle”的场外交易平台漏洞报告,火币安全团队已经完成对该漏洞的紧急修补,未对火币场外交易平台的运行及用户资产安全造成影响。现如今,数字货币交易所在区块链金融交易体系中扮演着极为重要的角色,OTC交易所提供一种更简单的法币与数字货币之间的线下交易方式,但正因为如此,线下交易存在的安全风险也会更大。PeckShield通过对多个顶级OTC交易所的分析,发现其中火币OTC移动端存在一种“中间人攻击”的安全漏洞,我们将之命名为“tradeRifle”,具体表现为:一、攻击者可以窃取买家/卖家敏感交易信息,修改并重放数据报文来模拟发出特权指令;二、攻击者可以通过中间人攻击的方式伪造商家银行账号给已下单的买家,以取本用于支付订单的法币。

NBA芝加哥公牛队将在Coinbase推出其标志性LOGO的NFT系列“The Aurochs”:9月9日消息,NBA芝加哥公牛队宣布计划于本月底之前在Coinbase NFT市场推出基于其56年历史LOGO的NFT系列“The Aurochs”。据悉,芝加哥公牛队标志性LOGO由商业设计师迪恩·韦塞尔(Dean Wessel)创建,迄今从未更改过,目前芝加哥公牛队已邀请了来自NFT行业的超过23位技术娴熟的艺术家和设计师,包括Michael Salisbury、Bobby Hundreds、Blake Jamieson和Maliha Abidi来重新设计其NBA标NFT,这些NFT将在以太坊区块链上铸造,拟于9月22日开始拍卖,起拍价为0.2 ETH。(business2community)[2022/9/9 13:19:05]

在披露详细攻击细节前,值得一提的是,我们在7月4日发出漏洞预警后,火币网安全团队迅速做出回应,并在我们的技术支持下迅速修复了此漏洞,并未给用户带来直接损失。“tradeRifle”攻击细节:如图1所示,正常OTC交易流程,买家需要发起三个连续请求给OTC服务器以创建订单并获取卖家信息,之后买家可给卖家银行账户转账。支付操作完成买家再向OTC服务器发送付款成功通知并由服务器转发给卖家。卖家收到通知,确认法币到账后释放数字货币给买家,至此一笔买币交易流程结束。

动态 | 芯动回应“T2T-30T”事件:产品算力达标 “低档位替代高档位机器”系曲解:今日,芯动就“T2T-30T”事件发文进行回应,部分回应内容如下: 1. 网传文章在未经多方求证核实的情况下断章取义,倾向性明显,仅凭道听途说就妄下断论。 2. 对于网传T2T-30T算力不能达标的问题,经核实发现,大多数客户批量运行的机器平均算力实际已经达到标称。少数客户反馈算力不达标的情况,经确认要么是固件没有按官宣升级,要么矿场有局部过温等环境状况,经过固件升级和过温整改后算力迅速达标。实际情况是,T2T-30T产品是可靠的,算力是达标的。 3. 对于所谓“低档位替代高档位机器”的指责,我们调查发现,这完全是道听途说和断章取义的曲解。对于6月下旬部分延迟发货的客户,我们深表歉意,预期本月内产能爬坡会缓解延迟。销售部门正根据具体的延期情况拟定相应的优惠券政策,后续公布。[2019/7/6]

然而,图1中所有数据传输都是通过http而不是安全协议https实现,通讯过程很容易受到中间人攻击和重放攻击。举例来说,如图1中所示的BankInfo请求报文部分,可以发起中间人攻击篡改银行卡信息,使买家在以为在给商家转账时却将法币转入攻击者账号而无法获得数字货币。

“TFBOYS饭票”项目为TFBOYS粉丝所建立:就在刚刚,TFBOYS团体所属公司发表声《关于所谓“TFBOYS饭票”相关澄清及声明》,金色财经查证后发现,“TFBOYS饭票”为TFBOYS粉丝后援团体自发创立的区块链项目,该项目并非官方所建立。[2018/2/10]

图3显示了买家发送的http请求,用于在攻击测试中查询卖家的银行信息。

图4是JSON格式的数据查询结果。

由于OTC服务使用的是http明文协议,攻击者可以很容易篡改服务端返回的银行帐户信息。另一种是重放攻击,攻击者可通过此攻击对卖家直接造成严重的数据资产损失。下面我们继续介绍它的工作原理。先通过通过窃听一个卖家确认放币的操作,攻击者可以获取卖家的Token和密码。

此后攻击者可以对该受害者卖家进行另一笔交易,攻击者可以自己释放受害者卖家在售的所有数字货币资产。

(图6:冒充卖家的重放攻击)

标签:OTC数字货币RADDERIhotcoinglobal交易所下载2022数字货币局RAD币最新行情DERI价格

UNI热门资讯
ETR:你投资的石油币,正在被委内瑞拉政府用来建设保障性住房_petrodollar

据CCN报道,委内瑞拉总统马杜罗批准了一个保障性住房项目,该项目的投入预算是90.9万石油币和750亿玻利瓦尔。石油币,也称PetroDollar,是第一个由国家发行的法定数字货币.

VER:硅谷富豪用比特币购买百万美元钻石,加密支付在奢侈品行业加速快跑_SILKROAD币

对于加密投资者来说,2018年可能不是最好的一年,仍有不少“玩家”在踊跃入场。最近,有硅谷富豪使用比特币购买了价值数百万美元的昂贵手表、钻石等奢侈品.

ILV:马耳他正式通过数字货币新法案,禁止内幕交易、市场操纵和发布带误导性的白皮书_区块链域名是什么意思

据外媒Bitcoin报道,本周三,马耳他正式通过了有关数字资产、区块链及分布式账本技术(DLT)的三条法案。新法案中提到将禁止内幕交易,市场操纵和误导性的白皮书.

加密货币:比特币ETF,我们明年再见_SHI

编者按:本文来自哈希派,作者:哈希派,星球日报经授权转发。我们一直都有在做跟踪比特币区块链转账数据的工作,而进入2018年7月后,我们突然发现大额的异常转账突然多了起来,比如下面这几个:7月29.

BTC:日本国税厅简化加密货币报税方法,个人年收入超1780美元需报税_数字货币和加密货币的区别在哪

据Bitcoin报道,日本国家税务厅(NTA)宣布于7月15日实施一项新的战略政策,以简化个人、公司自动申报加密货币所得税。此外,如果个人在加密货币方面的年收入超过1780美元,需申报纳税.

CAS:港版支付宝上线基于区块链的跨境汇款服务_PAY

6月25日,港版支付宝AlipayHK上线基于区块链的电子钱包跨境汇款服务。AlipayHK的用户可以用手机向菲律宾钱包Gcash实现基于区块链技术的转账.