博客
关于我
曲速未来 警惕:出现Quoine Exchange帐户被黑
阅读量:176 次
发布时间:2019-02-28

本文共 1284 字,大约阅读时间需要 4 分钟。

 

 

区块链安全咨询公司 曲速未来 观点:如果做不到不为自己的加密控制私钥,那么你就会无法控制它们发生的情况。这句话是多么真实。网上有很多关于人们如何使用他们的Exchange帐户被黑客攻击的例子。其中一些是以下结果:

 

  1. 社交工程 - 永远不要分享密码
  2. 用户安全设置 -始终利用强大的安全设置,例如2FA和IP白名单。
  3. 加密交换安全体系结构 -仅使用具有最佳实践安全体系结构的交换

 

被黑着起初就是不相信这发生了什么,但现在已经相信他的Quoine /Liquid帐户可能已被泄露。研究人员一探究竟。

这一切是怎么发生的呢?

Quoine/Liquid安全设置

 

首先,先启用了他们允许的所有Quoine交换机的安全设置。

在Liquid.com上设置密码和2FA

 

 

交换安全措施允许登录密码,Google 2FA,登录时的电子邮件确认和提款地址的白名单。由于某些原因,所以无法在不联系工作人员的情况下禁用它,因此2FA会以奇怪的方式设置。

作为一个通常促进交易量的交易所,它将其置于前20个交易所,具体是登录会话和IP详细信息。

将Liquid与Binance上的安全设置进行比较:

1.防止伪造的Binance网站

2.撤销地址的白名单

3.短信和/或Google身份验证

4.用于访问Binance网站的已批准设备

5.次登录会话的详细信息

 

究竟是发生了什么?

 

现在有了安全设置,所以不希望自己个人帐户上进行未经授权的访问。考虑启用2FA并启用登录电子邮件通知。从理论上讲,还应该在2018/10/17收到一封来自Liquid的电子邮件,类似于以下内容:

那天据反映没有收到电子邮件。相反,在2018-10-17的时候液体0.32醚平衡被卖给了摩纳哥(MCO),几乎是没有。

在Liquid.com上执行MCO/ETH交易

 

 

这是黑客将使用的一种策略,因为他们无法撤回到某个地址:

  1. 使用自己的账户选择低流量的流动性令牌(在这种情况下为MCO/ETH)
  2. 以更高的价格定价随机令牌(当市场价格为0.02以太时,0.0398以太)
  3. 使用自己个人的帐户以高价购买这些令牌
  4. 现在根据帐户上留下了毫无价值的代币(0.5 MCO~USD $ 2.40)
  5. 它们留有更高价值的代币(0.32以太)

 

该如何是好?

 

在研究人员注意到这种不规则之后,便与Liquid支持人员联系,他们回复:

显然这是不够的,因为都没有进行这些交易。同样非常令人担忧的是,研究人员甚至没有在17月10日收到Liquid.com上的电子邮件通知。

虽然他们已经表示他们正在进一步调查,但自从研究人员要求更新以来都没有回应。

 

区块链安全咨询公司 曲速未来 告诫:交易所安全漏洞不仅对受影响的人而且对整个行业都有重大影响。这是一个严重的问题。如果存在安全漏洞且影响到更多的人,那么Liquid团队需要立即就此情况公布。

 

本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。

你可能感兴趣的文章
MAC M1大数据0-1成神篇-25 hadoop高可用搭建
查看>>
mac mysql 进程_Mac平台下启动MySQL到完全终止MySQL----终端八步走
查看>>
Mac OS 12.0.1 如何安装柯美287打印机驱动,刷卡打印
查看>>
MangoDB4.0版本的安装与配置
查看>>
Manjaro 24.1 “Xahea” 发布!具有 KDE Plasma 6.1.5、GNOME 46 和最新的内核增强功能
查看>>
mapping文件目录生成修改
查看>>
MapReduce程序依赖的jar包
查看>>
mariadb multi-source replication(mariadb多主复制)
查看>>
MariaDB的简单使用
查看>>
MaterialForm对tab页进行隐藏
查看>>
Member var and Static var.
查看>>
memcached高速缓存学习笔记001---memcached介绍和安装以及基本使用
查看>>
memcached高速缓存学习笔记003---利用JAVA程序操作memcached crud操作
查看>>
Memcached:Node.js 高性能缓存解决方案
查看>>
memcache、redis原理对比
查看>>
memset初始化高维数组为-1/0
查看>>
Metasploit CGI网关接口渗透测试实战
查看>>
Metasploit Web服务器渗透测试实战
查看>>
MFC模态对话框和非模态对话框
查看>>
Moment.js常见用法总结
查看>>