漏洞再藏交易所,黑客盯上行情区

栏目: 编程工具 · 发布时间: 6年前

内容简介:XSS漏洞是一个跨域漏洞,一旦用户流量被劫持就十分危险,黑客将用户的JS文件替换成自己修改过的,就可以为所欲为。区块链的各类安全事故中,作为加密货币流通场所的数字资产交易平台一直是重灾区,API接口遭黑客攻击、用户账户被盗等安全事件频出。这一次,黑客盯上了展示行情的第三方组件。昨日,多家区块链安全平台预警,一个第三方组件存在名为XSS 0day的漏洞。降维安全实验室预警时指明,该组件为TradingView,供交易平台展示行情使用。

XSS漏洞是一个跨域漏洞,一旦用户流量被劫持就十分危险,黑客将用户的JS文件替换成自己修改过的,就可以为所欲为。

区块链的各类安全事故中,作为加密货币流通场所的数字资产交易平台一直是重灾区,API接口遭黑客攻击、用户账户被盗等安全事件频出。这一次,黑客盯上了展示行情的第三方组件。

昨日,多家区块链安全平台预警,一个第三方组件存在名为XSS 0day的漏洞。降维安全实验室预警时指明,该组件为TradingView,供交易平台展示行情使用。

公开信息显示,多家数字资产交易平台使用了该组件,包括币安、Bitfinex、火币Pro和Bithumb等这类大型知名平台。

慢雾科技预警称,该漏洞如被恶意利用,会导致数字货币交易所等平台的用户账号权限被盗、恶意操作等资产损失。

所幸,这一漏洞预警已被区块链安全平台下发给TradingView公司和涉及到的一些交易所。但安全人员透露,仍不乏影响力较大的交易平台轻视了该漏洞。

交易所行情展示组件藏漏洞

如果你多打开一些交易平台的行情页面,你就会发现,不少行情展示区的左下角都会显示,行情数据和表格来自TradingView。

据公开信息显示,TradingView本身是全球最大的图表技术分析交流社区,后来由TradingView公司开发成为行情展示第三方组件工具,不但大部分数字资产交易平台在使用,连证券和期货这些传统金融交易平台也是它的用户。

蜂巢财经查询后发现,在日交易量排名前十的交易所中,使用TradingView展示行情的包括币安、Bitfinex、火币和Bithumb等知名数字资产交易平台。

这一次,被区块链安全公司视作“高危漏洞”的XSS 0day就藏在这个与用户天天见面的 工具 里。而这一漏洞被定性为“高危”,经历近半个月的时间。

据慢雾科技消息,前后有两位白帽黑客反馈了XSS 0day漏洞。9月4日,第一位白帽黑客向慢雾科技反馈该漏洞,并把这个漏洞危害等级定义为“低危”。在相关交易所平台修复后,慢雾科技也没特别在意,直到9月18日,第二位白帽黑客和他们再次提及了这个漏洞后,他们开始对所有用户下发XSS漏洞预警。

漏洞再藏交易所,黑客盯上行情区

“降维安全也在两个礼拜之前就关注到这个漏洞,并且通过内部通知流程,陆续通知合作方修复。”降维安全实验室的运营负责人孙越接受蜂巢财经采访表示,已经有白帽黑客在Github上向TradingView官方报送了此漏洞,目前所有使用该组件且没有针对存在漏洞的JS文件(JavaScript语言写就的文件)做修补操作的交易所,都存在这个漏洞。”

从事区块链技术开发的Frozen表示,XSS漏洞是一个跨域漏洞,一旦用户流量被劫持就十分危险,黑客将用户的JS文件替换成自己修改过的,就可以为所欲为。

慢雾科技和降维安全实验室都提到,XSS漏洞一旦被恶意利用,黑客便可以获得用户的登陆权限,恶意操纵将带来资产损失。

已出现用户账号被劫持情况

XSS漏洞如此严重,为何会长期存在于交易所的TradingView组件中?

对此,孙越解释,主要原因在于TradingView一直属于一个第三方前端框架,一般条件下,它的安全不太引人关注。但是一旦使用它的是需要保障高安全性的系统,存在漏洞就会造成巨大危害。

漏洞再藏交易所,黑客盯上行情区

“目前我们并没有收到直接因为XSS攻击而造成财产损失的案例,但已经有多起因为这个漏洞而劫持用户账户并进行操作的情况发生。”孙越说,早期也有类似的漏洞发生,但是如此大范围的存在于数字货币交易所场景中还是第一次。

孙越强调,此次安全事件的责任方主要在TradingView公司,但交易所在选择第三方库时也应注意其安全性,需要及时关注官方的安全通告和第三方发布的安全预警。

目前已有部分交易所对此漏洞进行了修复,降维安全实验室也在第一时间紧急为其客户推送了修复方案,“但仍有不少交易所轻视这个问题,其中不乏有一些影响力较大的交易所。”对于具体包括哪些大交易所,孙越表示不方便透露。

使用TradingView的火币Pro更早时间发现了这一问题,相关人员告诉蜂巢财经,他们在8月份时就发现了该漏洞,已经进行修复。

用户要养成定期修改密码的习惯

但凡是计算机程序,都会存在BUG,区块链安全问题从来没有终极解决办法。对于如何防范类似安全事故发生,孙越认为,第三方公司、交易平台和用户应该各自为自己的产品、客户和资产安全保持警醒。

漏洞再藏交易所,黑客盯上行情区

孙越说,TradingView公司在代码发布前应该尽量做完善的代码审计,避免这种低级错误再发生。

而交易平台要慎重选择第三方库,保持对第三方库安全事件的关注,同时要与安全公司有良好的沟通,及时了解这些信息。除此之外,交易平台安全机制的加强也可以一定程度上保护用户,缓解漏洞危害。

对于广大的交易平台的使用者,孙越提醒,用户应该选择那些积极进行漏洞修复的平台进行交易,养成良好的安全习惯,“定期修改密码,在离开交易平台网站后,应从交易所网站手动下线,必要时手动清空cookie,这也能在一定程度上缓解被黑客攻击的风险。”

区块链技术开发者Frozen也提示,用户不要轻易连接不明WiFi,不要轻易相信搜索引擎给的某些所谓官网链接,更不要轻易点开他人给的链接。

来源:蜂巢财经News


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

SQL完全手册

SQL完全手册

格罗夫 / 电子工业 / 2006-6 / 68.00元

本书为专业和非专业用户、程序员、数据处理方面的专业人士和希望理解sQL在今天计算机产业中的影响的经理们提供了关于SQL语言的全面深入的介绍。本书为理解和使用SQL提供了一个概念上的框架,描述了SQL的历史和SQL的标准,解释了SQL在各种计算机产业领域(如企业级数据处理、数据仓库、Web站点体系结构)中的作用。这一版包含一些新的章节,专门讲述SQL在应用服务器体系结构中的作用、sQL与xML的集成......一起来看看 《SQL完全手册》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

MD5 加密
MD5 加密

MD5 加密工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具