曲速未來 警惕:出現(xiàn)Quoine Exchange帳戶被黑區(qū)塊鏈
曲速未來:將你的加密平衡留在Quoine(液體),這將是你自己挖的坑。
區(qū)塊鏈安全咨詢公司 曲速未來 觀點(diǎn):如果做不到不為自己的加密控制私鑰,那么你就會無法控制它們發(fā)生的情況。這句話是多么真實(shí)。網(wǎng)上有很多關(guān)于人們?nèi)绾问褂盟麄兊腅xchange帳戶被黑客攻擊的例子。其中一些是以下結(jié)果:
社交工程 -?永遠(yuǎn)不要分享密碼
用戶安全設(shè)置 -始終利用強(qiáng)大的安全設(shè)置,例如2FA和IP白名單。
加密交換安全體系結(jié)構(gòu) -僅使用具有最佳實(shí)踐安全體系結(jié)構(gòu)的交換
被黑著起初就是不相信這發(fā)生了什么,但現(xiàn)在已經(jīng)相信他的Quoine /Liquid帳戶可能已被泄露。研究人員一探究竟。
這一切是怎么發(fā)生的呢?
Quoine/Liquid安全設(shè)置
首先,先啟用了他們允許的所有Quoine交換機(jī)的安全設(shè)置。
在Liquid.com上設(shè)置密碼和2FA
交換安全措施允許登錄密碼,Google 2FA,登錄時(shí)的電子郵件確認(rèn)和提款地址的白名單。由于某些原因,所以無法在不聯(lián)系工作人員的情況下禁用它,因此2FA會以奇怪的方式設(shè)置。
作為一個(gè)通常促進(jìn)交易量的交易所,它將其置于前20個(gè)交易所,具體是登錄會話和IP詳細(xì)信息。
將Liquid與Binance上的安全設(shè)置進(jìn)行比較:
1.防止偽造的Binance網(wǎng)站
2.撤銷地址的白名單
3.短信和/或Google身份驗(yàn)證
4.用于訪問Binance網(wǎng)站的已批準(zhǔn)設(shè)備
5.次登錄會話的詳細(xì)信息
究竟是發(fā)生了什么?
現(xiàn)在有了安全設(shè)置,所以不希望自己個(gè)人帳戶上進(jìn)行未經(jīng)授權(quán)的訪問。考慮啟用2FA并啟用登錄電子郵件通知。從理論上講,還應(yīng)該在2018/10/17收到一封來自Liquid的電子郵件,類似于以下內(nèi)容:
那天據(jù)反映沒有收到電子郵件。相反,在2018-10-17的時(shí)候液體0.32醚平衡被賣給了摩納哥(MCO),幾乎是沒有。
在Liquid.com上執(zhí)行MCO/ETH交易
這是黑客將使用的一種策略,因?yàn)樗麄儫o法撤回到某個(gè)地址:
使用自己的賬戶選擇低流量的流動性令牌(在這種情況下為MCO/ETH)
以更高的價(jià)格定價(jià)隨機(jī)令牌(當(dāng)市場價(jià)格為0.02以太時(shí),0.0398以太)
使用自己個(gè)人的帳戶以高價(jià)購買這些令牌
現(xiàn)在根據(jù)帳戶上留下了毫無價(jià)值的代幣(0.5 MCO~USD $ 2.40)
它們留有更高價(jià)值的代幣(0.32以太)
該如何是好?
在研究人員注意到這種不規(guī)則之后,便與Liquid支持人員聯(lián)系,他們回復(fù):
顯然這是不夠的,因?yàn)槎紱]有進(jìn)行這些交易。同樣非常令人擔(dān)憂的是,研究人員甚至沒有在17月10日收到Liquid.com上的電子郵件通知。
雖然他們已經(jīng)表示他們正在進(jìn)一步調(diào)查,但自從研究人員要求更新以來都沒有回應(yīng)。
區(qū)塊鏈安全咨詢公司 曲速未來 告誡:交易所安全漏洞不僅對受影響的人而且對整個(gè)行業(yè)都有重大影響。這是一個(gè)嚴(yán)重的問題。如果存在安全漏洞且影響到更多的人,那么Liquid團(tuán)隊(duì)需要立即就此情況公布。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。