區(qū)塊鏈安全咨詢公司 曲速未來 觀點(diǎn)：如果做不到不為自己的加密控制私鑰，那么你就會無法控制它們發(fā)生的情況。這句話是多么真實(shí)。網(wǎng)上有很多關(guān)于人們?nèi)绾问褂盟麄兊腅xchange帳戶被黑客攻擊的例子。其中一些是以下結(jié)果：

1. 社交工程 -?永遠(yuǎn)不要分享密碼

2. 用戶安全設(shè)置 -始終利用強(qiáng)大的安全設(shè)置，例如2FA和IP白名單。

3. 加密交換安全體系結(jié)構(gòu) -僅使用具有最佳實(shí)踐安全體系結(jié)構(gòu)的交換

被黑著起初就是不相信這發(fā)生了什么，但現(xiàn)在已經(jīng)相信他的Quoine /Liquid帳戶可能已被泄露。研究人員一探究竟。

這一切是怎么發(fā)生的呢？

Quoine/Liquid安全設(shè)置

首先，先啟用了他們允許的所有Quoine交換機(jī)的安全設(shè)置。

在Liquid.com上設(shè)置密碼和2FA

交換安全措施允許登錄密碼，Google 2FA，登錄時(shí)的電子郵件確認(rèn)和提款地址的白名單。由于某些原因，所以無法在不聯(lián)系工作人員的情況下禁用它，因此2FA會以奇怪的方式設(shè)置。

作為一個(gè)通常促進(jìn)交易量的交易所，它將其置于前20個(gè)交易所，具體是登錄會話和IP詳細(xì)信息。

將Liquid與Binance上的安全設(shè)置進(jìn)行比較：

1.防止偽造的Binance網(wǎng)站

2.撤銷地址的白名單

3.短信和/或Google身份驗(yàn)證

4.用于訪問Binance網(wǎng)站的已批準(zhǔn)設(shè)備

5.次登錄會話的詳細(xì)信息

究竟是發(fā)生了什么？

現(xiàn)在有了安全設(shè)置，所以不希望自己個(gè)人帳戶上進(jìn)行未經(jīng)授權(quán)的訪問。考慮啟用2FA并啟用登錄電子郵件通知。從理論上講，還應(yīng)該在2018/10/17收到一封來自Liquid的電子郵件，類似于以下內(nèi)容：

那天據(jù)反映沒有收到電子郵件。相反，在2018-10-17的時(shí)候液體0.32醚平衡被賣給了摩納哥（MCO），幾乎是沒有。

在Liquid.com上執(zhí)行MCO/ETH交易

這是黑客將使用的一種策略，因?yàn)樗麄儫o法撤回到某個(gè)地址：

1. 使用自己的賬戶選擇低流量的流動性令牌（在這種情況下為MCO/ETH）

2. 以更高的價(jià)格定價(jià)隨機(jī)令牌（當(dāng)市場價(jià)格為0.02以太時(shí)，0.0398以太）

3. 使用自己個(gè)人的帳戶以高價(jià)購買這些令牌

4. 現(xiàn)在根據(jù)帳戶上留下了毫無價(jià)值的代幣（0.5 MCO~USD $ 2.40）

5. 它們留有更高價(jià)值的代幣（0.32以太）

該如何是好？

在研究人員注意到這種不規(guī)則之后，便與Liquid支持人員聯(lián)系，他們回復(fù)：

顯然這是不夠的，因?yàn)槎紱]有進(jìn)行這些交易。同樣非常令人擔(dān)憂的是，研究人員甚至沒有在17月10日收到Liquid.com上的電子郵件通知。

雖然他們已經(jīng)表示他們正在進(jìn)一步調(diào)查，但自從研究人員要求更新以來都沒有回應(yīng)。

區(qū)塊鏈安全咨詢公司 曲速未來 告誡：交易所安全漏洞不僅對受影響的人而且對整個(gè)行業(yè)都有重大影響。這是一個(gè)嚴(yán)重的問題。如果存在安全漏洞且影響到更多的人，那么Liquid團(tuán)隊(duì)需要立即就此情況公布。