本文共 1090 字,大约阅读时间需要 3 分钟。
Quoine/Liquid安全事件调查报告
近期,关于Quoine/Liquid账户安全事件引发了广泛关注。本文将深入分析此事件的发生背景、攻击手法以及当前的应对措施。
一、安全设置与防护措施
Quoine/Liquid在账户安全方面实施了多项防护措施,包括:
强化账户安全:启用了账户的基础防护功能,包括登录密码、Google 2FA以及登录时的邮件确认。 IP白名单管理:通过限制登录IP范围,加强账户防护。 交易所结构优化:采用了行业最佳实践的安全架构,确保交易所自身具备较高的安全性。 二、事件经过
2018年10月17日,相关研究人员发现自己的Quoine/Liquid账户遭到未经授权的访问。初期并未察觉此事,但随着对账户资金流动的仔细审查,发现部分交易异常。具体来看:
交易记录异常:发现某些交易涉及MCO(MonaCoin)和ETH的流动性令牌。 交易金额不符:部分交易金额显得异常,例如将市场价格为0.02以太的MCO/ETH随机令牌定价为0.0398以太,且以高价购买。 三、攻击手法解析
通过对事件细节的分析,可以推断出攻击者的操作模式:
选择低流动性令牌:攻击者优先选择MCO/ETH等流动性较低的交易对。 高价交易策略:在市场价格较低时,以较高价格购买令牌,导致随机交易对的价值显著高于实际持有价值。 利用账户余额:攻击者利用账户中持有的代币进行交易,最大限度地挖掘账户价值。 四、应对措施与挑战
目前,研究人员已联系Liquid客服寻求帮助,但未能获得满意的解决方案。值得注意的是:
2FA设置异常:尽管启用了Google 2FA,但由于系统设置问题,无法正常功能。 电子邮件通知缺失:预期应在2018年10月17日收到Liquid的电子邮件通知,但未有此事。 交易所响应不力:客服回复显示部分交易未被记录,且仍未提供进一步的更新。 五、当前状况与建议
鉴于此事件对用户财产安全造成严重影响,以下建议可以帮助保护账户安全:
定期审查交易记录:养成定期检查账户交易记录的习惯,有助于及时发现异常。 强化2FA设置:确保Google 2FA正常工作,并设置邮件通知功能。 警惕社交工程攻击:从未将账户密码泄露给他人,尤其是通过社交平台。 关注交易所公告:及时了解交易所的安全公告和系统更新。 六、总结
区块链安全是交易所和用户共同责任的范畴。Quoine/Liquid事件反映出交易所安全漏洞对用户财产的严重影响。希望Liquid团队能够对此事件进行全面调查,并采取有效措施加固安全防护体系。
本文内容由区块链安全咨询公司曲速未来整理编译,转载请注明出处。