7月5日，區塊鏈安全公司PeckShield發現數字貨幣交易所Coinw的移動終端應用程式存在“tradeRifle”安全漏洞。攻擊者可通過Coinw中部分功能所暴露的明文報文截獲使用者Token，並可通過Token進行重放攻擊，建立訂單任意傳送交易請求，導致使用者資產被竊取。PeckShield安全人員在進行攻擊測試後第一時間將此漏洞報給Coinw技術團隊，7⽉19⽇，Coinw技術團隊回覆已完成對該漏洞的緊急修補、版本升級。Coinw官網並沒有對此漏洞修復做公告，出於安全考慮，我們選擇延後一個月公佈漏洞細節。

下面我們就來詳細描述漏洞細節，首先我們展示下Coinw正常的使用者登入、幣幣交易。如圖1所示，使用者在登入後伺服器將返回該使用者的Token作為使用者身份標識，使用者使用Token即可進行幣幣交易。

（ 圖1： 正常交易流程）  

登入時Coinw使用的是雙因素認證和https通訊用來保證安全性，然而當用戶發起交易與伺服器通訊，卻改為http協議進行通訊，攻擊者可以通過竊聽協議報文來捕獲使用者交易密碼和Token。 雖然又通過http 301重定向到https協議，但此時使用者Token和交易密碼都已洩漏，https已無意義（如圖2所示）。利用捕獲到的使用者Token和交易密碼，攻擊者可以以極低的價格賣出使用者數字貨幣來竊取使用者資產。如果攻擊者擁有大量受害使用者，還可能會造成市場行情大幅波動。

（ 圖2： 明文報文交易請求）  

通過得到的使用者的Token，攻擊者還可給Coinw伺服器發任意請求以獲取使用者其他的資訊，如下圖3 所示，使用者的真實姓名、身份證號等身份資訊可被竊取。

（ 圖3： 利用獲取到的Token模擬使用者傳送身份資訊）  

分析還發現該軟體存在“Log敏感資訊洩露”的漏洞，通過日誌匯出可以看到完整的通訊資料報文，從而獲取使用者的全部通訊資料明文資訊。

 （ 圖4： 使用logcat 檢視Coinw明文資料通訊日誌資訊）

總結：迄今為止，PeckShield釋出的“tradeRifle”漏洞預警已影響三個知名交易所：火幣OTC、LBank以及本文所述的Coinw。值得慶幸的是三家交易所在接到 PeckShield通報後，均做出緊急響應，修復漏洞並完成升級。在此，我們再次感謝上述幾個交易所對使用者負責任的態度，但同時也暴露出數字貨幣交易所缺乏必要的產品上線安全審查流程，我們強烈呼籲交易所將此問題重視起來，也可聘請專業的第三方安全團隊對產品上線流程做全面的安全評估，以保證投資者資產安全。

關於我們

PeckShield是面向全球的業內頂尖區塊鏈安全公司，以提升區塊鏈生態整體的安全性、隱私性及可用性為己任。商業與媒體合作（包括智慧合約審計需求），請通過telegram（https://t.me/peckshield）、twitter或電子郵件（[email protected]）與我們聯絡。