4 يوليو مساء، أصدرت شركة أمنية سلسلة كتلة تحذيرا الأمنية التي PeckShield: العثور على ثغرة أمنية يسمى "tradeRifle" من تبادل العملة الرقمية التي توفرها منصة OTC، يمكن للمهاجم استغلال هذه الثغرة الأمنية للتدخل معاملات العملة الرقمية عمليات سرقة منصة الأصول الرقمية للمستخدم للمستخدمين وتبادل تهديدا أمنيا خطيرا.
5 يوليو عند الظهر، أصدر مسؤول الصرف إشعار التي حصلت على اسم "tradeRifle" OTC آلية أمنية منصة تقارير الضعف PeckShield الصادرة عن فريق أمنها أنجزت إصلاحات طارئة هذا الضعف. فإنه لن يؤثر على العملية وسلامة المستخدم الأصول OTC برنامجه.
الآن، واللعب صرف العملة الرقمية في سلسلة كتلة من المعاملات المالية في النظام دورا هاما للغاية، OTC بورصة لتوفير أبسط طريقة لتجارة الخط الفاصل بين العطاء القانوني مع العملة الرقمية، ولكن بسبب هذا، خط والمخاطر الأمنية الصفقة ستكون أكبر. PeckShield تحليل متعددة على مستوى أعلى من تبادل OTC، وجدت أن هناك "رجل في هجوم الأوسط" من الثغرات الأمنية في محطة متنقلة الصرف OTC، ونحن سوف يطلق عليه اسم "tradeRifle"، أداء محددة:
لمزيد من التفاصيل عن الهجوم قبل الكشف عنها، فمن بالذكر يستحق أن ضعف يحذر نحن الصادر في 4 تموز، وفرق أمنية الصرف إلى الاستجابة بسرعة، وبسرعة حل هذه الثغرة الأمنية في الدعم الفني لدينا، وليس ل المستخدمين مباشرة الخسارة.
" tradeRifle " مهاجمة التفاصيل:
كما هو مبين، وعملية الصفقة OTC العادية، ويحتاج المشتري إلى الشروع في الطلب لمدة ثلاثة الخادم OTC التوالي لخلق أوامر والحصول على معلومات عن البائع، والبائع بعد نقل حساب مصرفي يمكن للمشتري. المشترين دفع ثمن العملية غير كاملة مرة أخرى OTC الخادم التي بعث بها خادم لتوجيه الرد نجاح الدفع للبائع. يتلقى البائع إخطار تؤكد الافراج عن العملة الرقمية العطاء القانوني للمشتري بعد وصوله، ليصل المبلغ لشراء العملة تنتهي عملية الصفقة.
(الشكل 1: عملية الصفقة عادي OTC)
ومع ذلك، في FIG 1 وتنفيذها من قبل جميع عمليات نقل البيانات بدلا من http بروتوكول HTTPS آمنة، وعملية الاتصال عرضة لتكرار الهجمات والهجوم الأوسط، على سبيل المثال، كما هو مبين في الشكل. 1 بنك المعلومات جزءا طلب الرسالة، قد يكون بدء الهجمات المتوسطة عبث مع معلومات بطاقة البنك، بحيث المشترين في القانون للشركات تحويل الأموال إلى Shique المهاجم لا يمكن الحصول على حساب العملة الرقمية (الشكل 2).
(الشكل 2: الباعة المزيفة من المعلومات المصرفية)
ويبين الشكل 3 طلب HTTP أرسلت من قبل المشتري، بنك البائع الاستعلام عن المعلومات في اختبار الهجوم.
(الشكل 3: معلومات المشتري الاستفسارات البائعين الدفع)
FIG 4 هو استعلام تنسيق البيانات نتيجة JSON.
(FIG 4: العودة إلى تنسيق البيانات والمعلومات حساب البائع JSON)
لأن خدمة OTC باستخدام HTTP اتفاق صريح، يمكن بسهولة العبث معلومات الحساب المصرفي عاد من الخادم (المربع الأحمر هو مبين في الشكل 4) المهاجم. والآخر هو هجوم إعادة، مهاجم يمكن أن تهاجم نتيجة مباشرة لهذا فقدان البيانات خطيرة على الباعة الأصول. نحن هنا الاستمرار في تقديم يعمل. على الوفاء من خلال عملية تأكيد التنصت بائع الائتمان، والبائع من المهاجم يمكن الحصول على كلمة المرور ورمز (الشكل 5).
(FIG 5: وضع الاعتمادات البائع لتأكيد الطلب الدفع)
ومنذ ذلك الحين المهاجم يمكن أن يكون صفقة أخرى (الشكل 6) الضحية البائع، يمكن للمهاجم إطلاق سراح الضحايا البائع في جميع أصول العملة الرقمية بيعها.
(الشكل 6: متنكرين في زي باعة هجمات إعادة التشغيل)
من نحن
PeckShield هو أفضل الشركات في صناعة أمن سلسلة كتلة ذات التوجه العالمي، من أجل تعزيز سلسلة كتلة العامة للأمن البيئية والخصوصية وتوفر البعثة. العمل مع وسائل الإعلام (بما في ذلك متطلبات التدقيق عقد الذكية)، يرجى برقية (https://t.me/peckshield)، تويتر أو البريد الإلكتروني (support@peckshield.com) في الاتصال بنا.
عندما نشر أسعار بيتكوين 44105.19
الأصل: الشبكي: //blog.csdn.net/peckshield/article/details/80976924 من = singlemessage وisappinstalled = 0؟
الكاتب: PeckShield
تحرير: نوبيتا حقوق النشر:
حقوق المؤلف محفوظة. مقالات لمؤلفين مستقلة لا تعبر بالضرورة عن موقف بابيت.
