曲速未來 警惕:出現Quoine Exchange帳戶被黑
區塊鏈安全諮詢公司 曲速未來 觀點:如果做不到不為自己的加密控制私鑰,那麼你就會無法控制它們發生的情況。這句話是多麼真實。網上有很多關於人們如何使用他們的Exchange帳戶被黑客攻擊的例子。其中一些是以下結果:
- 社交工程 - 永遠不要分享密碼
- 使用者安全設定 -始終利用強大的安全設定,例如2FA和IP白名單。
- 加密交換安全體系結構 -僅使用具有最佳實踐安全體系結構的交換
被黑著起初就是不相信這發生了什麼,但現在已經相信他的Quoine /Liquid帳戶可能已被洩露。研究人員一探究竟。
這一切是怎麼發生的呢?
Quoine/Liquid安全設定
首先,先啟用了他們允許的所有Quoine交換機的安全設定。
交換安全措施允許登入密碼,Google 2FA,登入時的電子郵件確認和提款地址的白名單。由於某些原因,所以無法在不聯絡工作人員的情況下禁用它,因此2FA會以奇怪的方式設定。
作為一個通常促進交易量的交易所,它將其置於前20個交易所,具體是登入會話和IP詳細資訊。
將Liquid與Binance上的安全設定進行比較:
1.防止偽造的Binance網站
2.撤銷地址的白名單
3.簡訊和/或Google身份驗證
4.用於訪問Binance網站的已批准裝置
5.次登入會話的詳細資訊
究竟是發生了什麼?
現在有了安全設定,所以不希望自己個人帳戶上進行未經授權的訪問。考慮啟用2FA並啟用登入電子郵件通知。從理論上講,還應該在2018/10/17收到一封來自Liquid的電子郵件,類似於以下內容:
那天據反映沒有收到電子郵件。相反,在2018-10-17的時候液體0.32醚平衡被賣給了摩納哥(MCO),幾乎是沒有。
這是黑客將使用的一種策略,因為他們無法撤回到某個地址:
- 使用自己的賬戶選擇低流量的流動性令牌(在這種情況下為MCO/ETH)
- 以更高的價格定價隨機令牌(當市場價格為0.02以太時,0.0398以太)
- 使用自己個人的帳戶以高價購買這些令牌
- 現在根據帳戶上留下了毫無價值的代幣(0.5 MCO~USD $ 2.40)
- 它們留有更高價值的代幣(0.32以太)
該如何是好?
在研究人員注意到這種不規則之後,便與Liquid支援人員聯絡,他們回覆:
顯然這是不夠的,因為都沒有進行這些交易。同樣非常令人擔憂的是,研究人員甚至沒有在17月10日收到Liquid.com上的電子郵件通知。
雖然他們已經表示他們正在進一步調查,但自從研究人員要求更新以來都沒有迴應。
區塊鏈安全諮詢公司 曲速未來 告誡:交易所安全漏洞不僅對受影響的人而且對整個行業都有重大影響。這是一個嚴重的問題。如果存在安全漏洞且影響到更多的人,那麼Liquid團隊需要立即就此情況公佈。
本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司整理編譯,轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。