區塊鏈安全諮詢公司 曲速未來 觀點：如果做不到不為自己的加密控制私鑰，那麼你就會無法控制它們發生的情況。這句話是多麼真實。網上有很多關於人們如何使用他們的Exchange帳戶被黑客攻擊的例子。其中一些是以下結果：

1. 社交工程 - 永遠不要分享密碼
2. 使用者安全設定 -始終利用強大的安全設定，例如2FA和IP白名單。
3. 加密交換安全體系結構 -僅使用具有最佳實踐安全體系結構的交換

被黑著起初就是不相信這發生了什麼，但現在已經相信他的Quoine /Liquid帳戶可能已被洩露。研究人員一探究竟。

​

這一切是怎麼發生的呢？

​

Quoine/Liquid安全設定

首先，先啟用了他們允許的所有Quoine交換機的安全設定。

​

交換安全措施允許登入密碼，Google 2FA，登入時的電子郵件確認和提款地址的白名單。由於某些原因，所以無法在不聯絡工作人員的情況下禁用它，因此2FA會以奇怪的方式設定。

​

作為一個通常促進交易量的交易所，它將其置於前20個交易所，具體是登入會話和IP詳細資訊。

​

將Liquid與Binance上的安全設定進行比較：

​

1.防止偽造的Binance網站

​

​

2.撤銷地址的白名單

​

​

3.簡訊和/或Google身份驗證

​

​

4.用於訪問Binance網站的已批准裝置

​

​

5.次登入會話的詳細資訊

​

究竟是發生了什麼？

現在有了安全設定，所以不希望自己個人帳戶上進行未經授權的訪問。考慮啟用2FA並啟用登入電子郵件通知。從理論上講，還應該在2018/10/17收到一封來自Liquid的電子郵件，類似於以下內容：

​

​

那天據反映沒有收到電子郵件。相反，在2018-10-17的時候液體0.32醚平衡被賣給了摩納哥（MCO），幾乎是沒有。

​

這是黑客將使用的一種策略，因為他們無法撤回到某個地址：

​

1. 使用自己的賬戶選擇低流量的流動性令牌（在這種情況下為MCO/ETH）
2. 以更高的價格定價隨機令牌（當市場價格為0.02以太時，0.0398以太）
3. 使用自己個人的帳戶以高價購買這些令牌
4. 現在根據帳戶上留下了毫無價值的代幣（0.5 MCO~USD $ 2.40）
5. 它們留有更高價值的代幣（0.32以太）

該如何是好？

在研究人員注意到這種不規則之後，便與Liquid支援人員聯絡，他們回覆：

​

​

顯然這是不夠的，因為都沒有進行這些交易。同樣非常令人擔憂的是，研究人員甚至沒有在17月10日收到Liquid.com上的電子郵件通知。

​

雖然他們已經表示他們正在進一步調查，但自從研究人員要求更新以來都沒有迴應。

​

區塊鏈安全諮詢公司 曲速未來 告誡：交易所安全漏洞不僅對受影響的人而且對整個行業都有重大影響。這是一個嚴重的問題。如果存在安全漏洞且影響到更多的人，那麼Liquid團隊需要立即就此情況公佈。

本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司整理編譯，轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。