買以太坊 買以太坊
Ctrl+D 買以太坊
ads

OTC:“tradeRifle”安全漏洞細節披露,可能導致用戶在交易所內的資產被盜_數字貨幣

Author:

Time:1900/1/1 0:00:00

編者按:本文來自PeckShield,星球日報經授權轉載。

7月4日晚間,區塊鏈安全公司PeckShield發出安全警告稱:發現某個數字貨幣交易所提供的場外OTC平臺存在名為“tradeRifle”的安全漏洞,攻擊者可利用此漏洞介入數字貨幣交易流程,竊取平臺用戶的數字資產,給用戶和交易所帶來嚴重的安全威脅。7月5日午時,火幣網官方發出公告稱,火幣接到安全機構PeckShield發出的名為“tradeRifle”的場外交易平臺漏洞報告,火幣安全團隊已經完成對該漏洞的緊急修補,未對火幣場外交易平臺的運行及用戶資產安全造成影響。現如今,數字貨幣交易所在區塊鏈金融交易體系中扮演著極為重要的角色,OTC交易所提供一種更簡單的法幣與數字貨幣之間的線下交易方式,但正因為如此,線下交易存在的安全風險也會更大。PeckShield通過對多個頂級OTC交易所的分析,發現其中火幣OTC移動端存在一種“中間人攻擊”的安全漏洞,我們將之命名為“tradeRifle”,具體表現為:一、攻擊者可以竊取買家/賣家敏感交易信息,修改并重放數據報文來模擬發出特權指令;二、攻擊者可以通過中間人攻擊的方式偽造商家銀行賬號給已下單的買家,以騙取本用于支付訂單的法幣。

Cashfree推出提供卡代幣化互操作性的解決方案“Token Vault”:6月29日消息,支付提供商Cashfree Payments周三宣布其代幣化解決方案“Token Vault”將提供卡代幣化的互操作性。Token Vault的互操作性特性將幫助使用多個支付網關的企業通過其選擇的任何支付網關和卡網絡處理代幣化卡交易。

使用Cashfree支付網關的企業可以與Token Vault集成,以安全地代幣化所有主要卡網絡發行的卡,包括RuPay、Visa和萬事達卡。藉由此功能,企業將不再需要花費時間與多個代幣服務提供商集成來代幣化卡和執行交易。(The Economic Times)[2022/6/29 1:39:12]

在披露詳細攻擊細節前,值得一提的是,我們在7月4日發出漏洞預警后,火幣網安全團隊迅速做出回應,并在我們的技術支持下迅速修復了此漏洞,并未給用戶帶來直接損失。“tradeRifle”攻擊細節:如圖1所示,正常OTC交易流程,買家需要發起三個連續請求給OTC服務器以創建訂單并獲取賣家信息,之后買家可給賣家銀行賬戶轉賬。支付操作完成買家再向OTC服務器發送付款成功通知并由服務器轉發給賣家。賣家收到通知,確認法幣到賬后釋放數字貨幣給買家,至此一筆買幣交易流程結束。

騰訊音樂人首批“TME數字藏品”即將上鏈:8月13日,騰訊音樂娛樂集團(TME)旗下騰訊音樂人今日宣布,將聯合張楚、周傳雄、莫西子詩、肖全、張尕慫、一棵小蔥等音樂人和藝術家,于近期推出首批“TME數字藏品”。“TME數字藏品”是TME在今年8月初推出的一種基于區塊鏈技術的創新型電子收藏品,包括視頻/語音、黑膠唱片、明星周邊等,與實體專輯、手幅等實物一樣具有收藏價值,且數字藏品種類更豐富,數量更稀缺,相比真假難鑒別、權利難證明的傳統藏品也更加真實可信。(techweb)[2021/8/13 1:52:35]

然而,圖1中所有數據傳輸都是通過http而不是安全協議https實現,通訊過程很容易受到中間人攻擊和重放攻擊。舉例來說,如圖1中所示的BankInfo請求報文部分,可以發起中間人攻擊篡改銀行卡信息,使買家在以為在給商家轉賬時卻將法幣轉入攻擊者賬號而無法獲得數字貨幣。

CyberVein 受邀出席第四屆ChainSights峰會并宣布“Token Hunt”品牌活動:據官方消息稱 9月5日,CyberVein 中國區聯合發起人Jerry受邀出席第四屆《ChainSights全球區塊鏈與數字金融峰會》,宣布開啟CVT全國范圍內的“Token Hunt”活動。在會上,Jerry表示:“以后只要是CVT的市場活動,都會給每個支持CVT技術和熱愛CVT的粉絲準備大禮包,以此回贈市場。”

據了解,9月CVT還將開展第三站全國品牌行、出席金色財經主辦的《共為創業者大會》和《2020廈門國際投資貿易洽談會》。同時線上AMA和空投等活動也將在本月陸續發布,間接影響用戶十萬人次。

據OKEx交易所數據顯示,CVT當前價格為0.115 usdt/cvt,市值在全球排名前60名。[2020/9/5]

圖3顯示了買家發送的http請求,用于在攻擊測試中查詢賣家的銀行信息。

圖4是JSON格式的數據查詢結果。

由于OTC服務使用的是http明文協議,攻擊者可以很容易篡改服務端返回的銀行帳戶信息。另一種是重放攻擊,攻擊者可通過此攻擊對賣家直接造成嚴重的數據資產損失。下面我們繼續介紹它的工作原理。先通過通過竊聽一個賣家確認放幣的操作,攻擊者可以獲取賣家的Token和密碼。

此后攻擊者可以對該受害者賣家進行另一筆交易,攻擊者可以自己釋放受害者賣家在售的所有數字貨幣資產。

(圖6:冒充賣家的重放攻擊)

Tags:OTC數字貨幣CVTTOKAIOTC數字貨幣可靠嗎會被騙嗎cvt幣下線tokencan怎么讀

比特幣交易
MES:鯨準研究院丨分片技術分析_big-bang-game-coin

分片是區塊鏈擴容的熱門方向之一。不僅以太坊基金會把分片作為官方欽定的擴容方向,有分片概念的一眾公鏈在近期也受到投資界熱捧。本文就分片技術的分類和實現方法進行討論.

1900/1/1 0:00:00
OPEN:區塊鏈:通往自主主權身份的道路_ICO OpenLedger

本文來自:infoQ,作者:季宙棟,星球日報經授權轉發,有刪減。為什么我們需要自主主權身份?各國政府和商業公司正在共享海量的信息,從商品的瀏覽習慣、白天工作的地理位置、晚上睡覺的地方甚至到我們與.

1900/1/1 0:00:00
LASM:一文看懂V神力推的以太坊新擴容方案Plasma!_asm幣什么時候才會漲價

據TrustNode消息,V神稱以太坊最新擴容方案Plasma“基本準備好了”,但是沒有透露具體時間規劃。另外,他相信在Plasma部署完成后,法定數字貨幣可以立馬或者在短期內上線以太坊網絡.

1900/1/1 0:00:00
區塊鏈:區塊鏈日報 | 樂視網遭深交所問詢;以太坊活躍地址數降至近兩月最低?;HTC區塊鏈手機成熱詞第一_EOS

頭條樂視網收到深交所問詢函,要求說明區塊鏈業務可行性樂視網收到深交所問詢函,要求說明公司區塊鏈業務是否具有可行性,開展與區塊鏈相關業務是否存在政策與法律風險,是否存在利用熱點概念炒作股價情形.

1900/1/1 0:00:00
OIN:押注聯盟鏈,京東將于8月上線全球區塊鏈防偽追溯聯盟主鏈_全球加密貨幣市值

7月5日消息,星球日報獲悉,由京東自主研發的區塊鏈即服務平臺即將正式上線,全球區塊鏈防偽追溯聯盟主鏈即將在8月初正式上線.

1900/1/1 0:00:00
區塊鏈:研究了EOS體系224個Dapp后,最大贏家還是超級節點_TPS

編者按:本文來自區間集,作者:熊貓、Vinnie,星球日報經授權發布。2018年是公鏈角逐最激烈的一年,底層公鏈層出不窮,其中最引人注目的當屬EOS.

1900/1/1 0:00:00
ads